アカウント名:
パスワード:
『「ドコモ口座」から不正に引き出し 中国銀行で被害発生』https://www.asahi.com/articles/ASN983RPWN98PPZB006.html [asahi.com]
七十七銀行に固有の問題じゃなくて、地銀ならどこでも起きるんじゃないかコレ
リンク先のドコモからのお知らせには■対象金融機関 ・七十七銀行 ・中国銀行 ・大垣共立銀行となってるね。
「ドコモ口座」使った不正利用、東邦銀でも 七十七、中国銀に続き :日本経済新聞 [nikkei.com]記事には大垣共立銀行が反映されてないが、4行目。NTTドコモはドコモ口座のサービス自体を一度停止したほうがいいと思うが、d払いと統合されてるので無理なんだろうか。既に金融庁にも報告が上がってるとのこと。
続報「ドコモ口座」で不正利用 地銀各行が相次ぎ確認:時事ドットコム [jiji.com]
七十七銀行中国銀行東邦銀行滋賀銀行鳥取銀行大垣共立銀行イオン銀行
「ドコモ口座」(d払い)への当行口座の新規登録の一時停止について|お知らせ|大分銀行 [oitabank.co.jp]「d払い」/「ドコモ口座」新規口座登録の一時停止のお知らせ [tajimabank.co.jp]
大分銀行、但馬銀行では、自行での被害は確認されていないが自主的にドコモ口座への新規登録を当面の間停止。
さらに続報、時事通信が速報でドコモ口座の不正利用が地銀など17行にのぼることが分かったと。
一部銀行の銀行口座登録および銀行口座変更の申込受付停止について|dポイントがたまるスマホ決済!d払い / ドコモ払い [docomo.ne.jp]
■対象金融機関
・七十七銀行・中国銀行・大垣共立銀行
一部銀行の銀行口座登録および銀行口座変更の申込受付停止について(2020年9月9日追加分)|dポイントがたまるスマホ決済!d払い / ドコモ払い [docomo.ne.jp]
■対象金融機関 ・イオン銀行 ・池田泉州銀行 ・大分銀行 ・紀陽銀行 ・滋賀銀行 ・仙台銀行 ・第三銀行 ・但馬銀行 ・鳥取銀行 ・北洋銀行 ・みちのく銀行 ・伊予銀行 ・東邦銀行 ・琉球銀行
えっええーっと、私は、対象金融機関に入った池田泉州銀行を使っていて、ちょっと前に LINE PAY の口座登録で、Web口振を利用したのですがその時は(池田泉州のサイト側で)「漢字の口座名義人」と「記帳されている最新残高」の入力が必要でした。
この方式だと「通帳そのものを盗まれた」場合にはどうしようもないけど、ネット上での流出情報を元にした不正利用は無理でしょう。
それでも池田泉州がサービス停止対象に入ってるってことは、ドコモ口座のWeb口振申込が、もっと簡易なものになっちゃってるってことなのでしょうか…
#私は上記のLINE PAY に登録するときは、手元に通帳を置いてなかったのと、#「記帳されている最新残高」を「口座の最新残高」と勘違いして、#ネットバンキングで残高を調べてそれで申し込んでエラーに。#エラー理由が表示されないから、名前か口座番号を間違えたかなと、#リトライするうちに、試行回数オーバーでWeb口振停止になってしまいました。#結局、通帳と印鑑もって銀行窓口に行って解除してもらう羽目に…
これ、新規登録停止じゃなくて、全面利用停止にしなきゃだめだろ。すでに他人に紐づけられてるドコモ口座はこのまま他人の金を不正利用し放題か?
既に金融庁にも報告が上がってるとのこと。
金融庁検査が入るのかな
金融庁検査官はおねえ言葉で銀行員をファーストネームで呼んで部下のキンタマを握りつぶすイメージ(すぐテレビに影響されるタイプ)
地銀に限らないような…
多くの地銀が導入してるこれが共通点
Web口振受付サービスhttps://www.chigin-cns.co.jp/services/web_service/index.php [chigin-cns.co.jp]
ああ中小向けのシェアが高い製品に穴があったと。ありがちな話ですな。
いつのまにこんなこと勝手にできるようにしたんや停止手続きしてこな
ドコモ口座で振込できる銀行一覧がドコモのサイトにあるけど、実はWeb口振受付サービスを提供してる銀行全部やばくね?リストにない銀行でも収納機関に「株式会社NTTドコモ(dカード)」とか出てくるんですけど大丈夫なん?
都市銀行(ゆうちょ銀行もかな?)は多要素認証を強制してるんで無理だったんでしょう
どこでも起きるという話なら、なんとかペイとかバーチャルプリペイドカードも同じように口座連携機能があるのに、どうしてドコモ口座が使われたのかってのは興味あるな。ドコモ口座だけ何か落ち度があったのか、それとも単に出金しやすいから使われただけで原理上は他のサービスでも可能なのか、とか。
今回問題になってる紐付け方法は「Web口振受付サービス」 [chigin-cns.co.jp]というもので、従来、紙で申請していた口座振替(銀行引き落とし)の申し込みをネットで行えるようにしたもの。なので、インターネットバンキングの登録は必須ではありません。それぞれ独自で結構簡易な認証を採用してるみたいです。ドコモ口座の対応金融機関 [docomokouza.jp]からちょっと見たところ、
みずほ: 暗証番号+通帳に記帳した最終残高(≠最新の残高) or インターネットバンキングログイン どちらか選択三井住友: 詳細不明 小さいキャプチャ画像を見るかぎり、簡易認証 or インターネットバンキング どちらか選択っぽいゆうちょ: 暗証番号+生年月日、インターネットバンキングログイン認証不可
みたいな感じ。かなり緩い方式ですけど、生年月日とか残高とかを入力させれば、スプレー攻撃は防げそうです。
あと、銀行側のWeb口振の情報を見ると「入力する情報は収納機関によって異なります」って記述している銀行がいくつかありました。また、「口座情報等を当行所定の回数相違した場合: 当日中のご利用はできませんが、翌日自動的にご利用が再開されます」と記述してる銀行もあったので、おそらくスプレー攻撃対策でIPアドレスか何かによるBANもやってる所もなるのでしょう。
銀行によっても収納機関によっても入力する情報が変わるので、七十七などの銀行と、ドコモ口座との組み合わせが一番ザルだった、ってことなんでしょうか…
そもそもWeb口座振替受付サービスの仕組みは料金の収納業務(銀行=>収納機関)に使用するのが前提で、ドコモ口座の様に「銀行=>収納機関=>誰かのプリペイド口座」のような使い方は当初は想定外だったと思うんですよね。前者であれば信頼のおける事業者にのみサービスを提供(収納機関が攻撃者にならないことを担保)することでネットバンキングレベルのセキュリティーはいらなかったわけです。ところが後者は悪意のある誰かが攻撃者になりえます。
なのでLINE PayやPayPayなどの同種事業者はアカウントに電話番号の登録(+SMS認証もしくは通話認証)を必須にして最低限の騙りへの耐性を担保しているところ、ドコモ口座は何の対策もせずアカウント作り放題だったため攻撃者の踏み台として大いに利用されてしまった、と。ドコモ口座も昔はドコモ回線の契約が必要だったのに途中からその制限を外したという話も聞きますので、そうだとすれば自ら大穴を開けてしまったわけでつくづくセキュリティーの難しさを思い知らされます。
金融機関としてもWeb口座振替受付サービスの利用目的の変化に伴いセキュリティー対策の向上が求められていたところ、都銀と比較して地銀は乗り遅れているところが多そうですので結果として、
七十七などの銀行と、ドコモ口座との組み合わせが一番ザルだった、ってことなんでしょうか…
で合っていると思います。
三井住友はインターネットバンキングの契約があれば、キャッシュカード暗証番号でのログインは不可のようでした。
よくあるご質問 > スマホ決済アプリで銀行口座を連携するには?https://qa.smbc.co.jp/faq/show/3319 [smbc.co.jp]
Web口座振替受付サービスは、マルチペイメント(マルペイ)のおまけ機能として、15年以上前に設計されたものです。15年間、朴訥なセキュリティの仕組みで問題なく運用できて来ていたのは、公共料金の収納というマルペイの範囲を超えなかったからです。
しかし、この1~2年の間に出てきたQRコード決済に安易に拡大してしまった馬鹿がいた、しかも、日本マルチペイメントネットワーク推進協議会を構成するQRコード会社も銀行も政府・自治体も気が付かず、みんな馬鹿だったということです。
au PayでWeb口座振替受付サービスを使わなかったKDDIなど、一部は気が付いていたようですが、全体的な動きにはなりませんでした。
ドコモ口座がターゲットになった理由は、厳密な本人確認なしでアカウントが作成できて、現金化も簡単であるからだろう。例えばLINE Payは現在、アカウントに本人確認書類の撮影データが必須であり、架空アカウントは基本作成できない仕様。みずほ銀行などと提携している関係もあり、法的義務はないが厳重に管理しているのでは。
これは、セブンペイで問題になった前例のあるリスク(PayPayでもあったか)そのもの。それにも関わらず、対策なしでサービスを提供していた大企業ドコモ。想定できなかったで済む話ではない、不正出金を許した。ITリテラシーが低いで済む問題ではない。こういったリスクも考慮せず、ドコモと提携した金融機関にも責任がある。
ちなみに他にもあるぞ。「Bank Pay」で検索してみて。デビットカード推進協議会が母体のQRコード決済。本人確認なしでアカウント作成できる。しかも加盟金融機関ももっと多い。殆ど利用されていないサービスだろうがそれが不味い。紐付けされていない口座が狙い撃ちされそう。
コロナでも浮き彫りになったが、日本は本当にIT後進国だよ。
攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結する [itmedia.co.jp]からと考えらるそうです。
ドコモ口座が狙われたのは、厳密な本人確認なしでアカウントを作成でき、かつ現金化も容易だからだろう。例えばLINE Payなんかは現在、アカウント利用のためには本人確認書類が必要となっているので(スマホカメラで撮影)、架空アカウントなどは基本作成できない。セブンペイと同じ原因。セブンペイであれだけ問題になったのに、大企業ドコモが知らなかった、想定していなかったでは済まない。ただ銀行側もそういうリスクも考慮せずにドコモと契約した責任はある。地方銀行の経営者の多くが、ITには疎いだろうと思われる。
ドコモのリンク先 [docomokouza.jp]には地方銀行の名前しかないんですがそれは…
最終的に原因等が分かって結果が出た後ならまだしも、対象となる銀行が3つだけの今の時点で「しか」って言われても…犯人像も見えてないのに
絞って発表&受付停止ってことは、手口を把握してるってことかもよ。本当に何もわかってないのなら銀行口座連携全部を止める必要がある。
ゆうちょも被害出たしどうやら場当たり的に被害報告のあった銀行を止めていただけだったみたいですね。
結局全部止まります。
不正利用相次ぐ「ドコモ口座」、利用可能な全35行で新規登録停止へhttps://www.yomiuri.co.jp/economy/20200909-OYT1T50244/ [yomiuri.co.jp]
とりあえずは新規登録停止だけど、近いうちに全取引停止になるのでは?
詳しくないけどやっぱり、新銀行東京とか東京スター銀行が一番便利なんだろうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
中国銀行でも報告あった模様 (スコア:5, 参考になる)
『「ドコモ口座」から不正に引き出し 中国銀行で被害発生』
https://www.asahi.com/articles/ASN983RPWN98PPZB006.html [asahi.com]
七十七銀行に固有の問題じゃなくて、地銀ならどこでも起きるんじゃないかコレ
Re:中国銀行でも報告あった模様 (スコア:2, 参考になる)
リンク先のドコモからのお知らせには
■対象金融機関
・七十七銀行
・中国銀行
・大垣共立銀行
となってるね。
Re:中国銀行でも報告あった模様 (スコア:4, 興味深い)
「ドコモ口座」使った不正利用、東邦銀でも 七十七、中国銀に続き :日本経済新聞 [nikkei.com]
記事には大垣共立銀行が反映されてないが、4行目。NTTドコモはドコモ口座のサービス自体を一度停止したほうがいいと思うが、d払いと統合されてるので無理なんだろうか。既に金融庁にも報告が上がってるとのこと。
Re:中国銀行でも報告あった模様 (スコア:1)
続報
「ドコモ口座」で不正利用 地銀各行が相次ぎ確認:時事ドットコム [jiji.com]
七十七銀行
中国銀行
東邦銀行
滋賀銀行
鳥取銀行
大垣共立銀行
イオン銀行
「ドコモ口座」(d払い)への当行口座の新規登録の一時停止について|お知らせ|大分銀行 [oitabank.co.jp]
「d払い」/「ドコモ口座」新規口座登録の一時停止のお知らせ [tajimabank.co.jp]
大分銀行、但馬銀行では、自行での被害は確認されていないが自主的にドコモ口座への新規登録を当面の間停止。
Re:中国銀行でも報告あった模様 (スコア:4, 参考になる)
さらに続報、時事通信が速報でドコモ口座の不正利用が地銀など17行にのぼることが分かったと。
一部銀行の銀行口座登録および銀行口座変更の申込受付停止について|dポイントがたまるスマホ決済!d払い / ドコモ払い [docomo.ne.jp]
■対象金融機関
・七十七銀行
・中国銀行
・大垣共立銀行
一部銀行の銀行口座登録および銀行口座変更の申込受付停止について(2020年9月9日追加分)|dポイントがたまるスマホ決済!d払い / ドコモ払い [docomo.ne.jp]
■対象金融機関
・イオン銀行
・池田泉州銀行
・大分銀行
・紀陽銀行
・滋賀銀行
・仙台銀行
・第三銀行
・但馬銀行
・鳥取銀行
・北洋銀行
・みちのく銀行
・伊予銀行
・東邦銀行
・琉球銀行
Re:中国銀行でも報告あった模様 (スコア:2)
えっええーっと、私は、対象金融機関に入った池田泉州銀行を使っていて、
ちょっと前に LINE PAY の口座登録で、Web口振を利用したのですが
その時は(池田泉州のサイト側で)「漢字の口座名義人」と「記帳されている最新残高」の入力が必要でした。
この方式だと「通帳そのものを盗まれた」場合にはどうしようもないけど、
ネット上での流出情報を元にした不正利用は無理でしょう。
それでも池田泉州がサービス停止対象に入ってるってことは、
ドコモ口座のWeb口振申込が、もっと簡易なものになっちゃってるってことなのでしょうか…
#私は上記のLINE PAY に登録するときは、手元に通帳を置いてなかったのと、
#「記帳されている最新残高」を「口座の最新残高」と勘違いして、
#ネットバンキングで残高を調べてそれで申し込んでエラーに。
#エラー理由が表示されないから、名前か口座番号を間違えたかなと、
#リトライするうちに、試行回数オーバーでWeb口振停止になってしまいました。
#結局、通帳と印鑑もって銀行窓口に行って解除してもらう羽目に…
Re: (スコア:0)
これ、新規登録停止じゃなくて、全面利用停止にしなきゃだめだろ。
すでに他人に紐づけられてるドコモ口座はこのまま他人の金を不正利用し放題か?
「に、だ、ん、か、い、認証は!?」 (スコア:0)
既に金融庁にも報告が上がってるとのこと。
金融庁検査が入るのかな
金融庁検査官はおねえ言葉で銀行員をファーストネームで呼んで部下のキンタマを握りつぶすイメージ(すぐテレビに影響されるタイプ)
Re: (スコア:0)
地銀に限らないような…
Re:中国銀行でも報告あった模様 (スコア:4, 参考になる)
多くの地銀が導入してるこれが共通点
Web口振受付サービス
https://www.chigin-cns.co.jp/services/web_service/index.php [chigin-cns.co.jp]
Re: (スコア:0)
ああ中小向けのシェアが高い製品に穴があったと。ありがちな話ですな。
Re: (スコア:0)
いつのまにこんなこと勝手にできるようにしたんや
停止手続きしてこな
Re: (スコア:0)
ドコモ口座で振込できる銀行一覧がドコモのサイトにあるけど、
実はWeb口振受付サービスを提供してる銀行全部やばくね?
リストにない銀行でも収納機関に「株式会社NTTドコモ(dカード)」とか出てくるんですけど
大丈夫なん?
Re:中国銀行でも報告あった模様 (スコア:1)
都市銀行(ゆうちょ銀行もかな?)は多要素認証を強制してるんで無理だったんでしょう
どこでも起きるという話なら、なんとかペイとかバーチャルプリペイドカードも同じように口座連携機能があるのに、どうしてドコモ口座が使われたのかってのは興味あるな。ドコモ口座だけ何か落ち度があったのか、それとも単に出金しやすいから使われただけで原理上は他のサービスでも可能なのか、とか。
Re:中国銀行でも報告あった模様 (スコア:5, 参考になる)
今回問題になってる紐付け方法は「Web口振受付サービス」 [chigin-cns.co.jp]というもので、
従来、紙で申請していた口座振替(銀行引き落とし)の申し込みをネットで行えるようにしたもの。
なので、インターネットバンキングの登録は必須ではありません。それぞれ独自で結構簡易な認証を採用してるみたいです。
ドコモ口座の対応金融機関 [docomokouza.jp]からちょっと見たところ、
みずほ: 暗証番号+通帳に記帳した最終残高(≠最新の残高)
or インターネットバンキングログイン どちらか選択
三井住友: 詳細不明 小さいキャプチャ画像を見るかぎり、簡易認証 or インターネットバンキング どちらか選択っぽい
ゆうちょ: 暗証番号+生年月日、インターネットバンキングログイン認証不可
みたいな感じ。
かなり緩い方式ですけど、生年月日とか残高とかを入力させれば、スプレー攻撃は防げそうです。
あと、銀行側のWeb口振の情報を見ると「入力する情報は収納機関によって異なります」って記述している銀行がいくつかありました。
また、「口座情報等を当行所定の回数相違した場合: 当日中のご利用はできませんが、翌日自動的にご利用が再開されます」と記述してる銀行もあったので、おそらくスプレー攻撃対策でIPアドレスか何かによるBANもやってる所もなるのでしょう。
銀行によっても収納機関によっても入力する情報が変わるので、
七十七などの銀行と、ドコモ口座との組み合わせが一番ザルだった、ってことなんでしょうか…
Re:中国銀行でも報告あった模様 (スコア:1)
そもそもWeb口座振替受付サービスの仕組みは料金の収納業務(銀行=>収納機関)に使用するのが前提で、ドコモ口座の様に「銀行=>収納機関=>誰かのプリペイド口座」のような使い方は当初は想定外だったと思うんですよね。
前者であれば信頼のおける事業者にのみサービスを提供(収納機関が攻撃者にならないことを担保)することでネットバンキングレベルのセキュリティーはいらなかったわけです。
ところが後者は悪意のある誰かが攻撃者になりえます。
なのでLINE PayやPayPayなどの同種事業者はアカウントに電話番号の登録(+SMS認証もしくは通話認証)を必須にして最低限の騙りへの耐性を担保しているところ、ドコモ口座は何の対策もせずアカウント作り放題だったため攻撃者の踏み台として大いに利用されてしまった、と。
ドコモ口座も昔はドコモ回線の契約が必要だったのに途中からその制限を外したという話も聞きますので、そうだとすれば自ら大穴を開けてしまったわけでつくづくセキュリティーの難しさを思い知らされます。
金融機関としてもWeb口座振替受付サービスの利用目的の変化に伴いセキュリティー対策の向上が求められていたところ、都銀と比較して地銀は乗り遅れているところが多そうですので結果として、
七十七などの銀行と、ドコモ口座との組み合わせが一番ザルだった、ってことなんでしょうか…
で合っていると思います。
Re: (スコア:0)
三井住友はインターネットバンキングの契約があれば、キャッシュカード暗証番号でのログインは不可のようでした。
よくあるご質問 > スマホ決済アプリで銀行口座を連携するには?
https://qa.smbc.co.jp/faq/show/3319 [smbc.co.jp]
Re: (スコア:0)
Web口座振替受付サービスは、マルチペイメント(マルペイ)のおまけ機能として、15年以上前に設計されたものです。
15年間、朴訥なセキュリティの仕組みで問題なく運用できて来ていたのは、公共料金の収納というマルペイの範囲を超えなかったからです。
しかし、この1~2年の間に出てきたQRコード決済に安易に拡大してしまった馬鹿がいた、しかも、日本マルチペイメントネットワーク推進協議会を構成するQRコード会社も銀行も政府・自治体も気が付かず、みんな馬鹿だったということです。
au PayでWeb口座振替受付サービスを使わなかったKDDIなど、一部は気が付いていたようですが、全体的な動きにはなりませんでした。
Re:中国銀行でも報告あった模様 (スコア:2, 参考になる)
ドコモ口座がターゲットになった理由は、厳密な本人確認なしでアカウントが作成できて、現金化も簡単であるからだろう。
例えばLINE Payは現在、アカウントに本人確認書類の撮影データが必須であり、架空アカウントは基本作成できない仕様。
みずほ銀行などと提携している関係もあり、法的義務はないが厳重に管理しているのでは。
これは、セブンペイで問題になった前例のあるリスク(PayPayでもあったか)そのもの。それにも関わらず、対策なしでサービスを提供していた大企業ドコモ。想定できなかったで済む話ではない、不正出金を許した。ITリテラシーが低いで済む問題ではない。こういったリスクも考慮せず、ドコモと提携した金融機関にも責任がある。
ちなみに他にもあるぞ。
「Bank Pay」で検索してみて。デビットカード推進協議会が母体のQRコード決済。
本人確認なしでアカウント作成できる。しかも加盟金融機関ももっと多い。
殆ど利用されていないサービスだろうがそれが不味い。紐付けされていない口座が狙い撃ちされそう。
コロナでも浮き彫りになったが、日本は本当にIT後進国だよ。
Re: (スコア:0)
攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結する [itmedia.co.jp]からと考えらるそうです。
Re: (スコア:0)
ドコモ口座が狙われたのは、厳密な本人確認なしでアカウントを作成でき、かつ現金化も容易だからだろう。例えばLINE Payなんかは現在、アカウント利用のためには本人確認書類が必要となっているので(スマホカメラで撮影)、架空アカウントなどは基本作成できない。セブンペイと同じ原因。セブンペイであれだけ問題になったのに、大企業ドコモが知らなかった、想定していなかったでは済まない。ただ銀行側もそういうリスクも考慮せずにドコモと契約した責任はある。地方銀行の経営者の多くが、ITには疎いだろうと思われる。
Re: (スコア:0)
ドコモのリンク先 [docomokouza.jp]には地方銀行の名前しかないんですがそれは…
Re: (スコア:0)
最終的に原因等が分かって結果が出た後ならまだしも、対象となる銀行が3つだけの今の時点で「しか」って言われても…犯人像も見えてないのに
Re: (スコア:0)
絞って発表&受付停止ってことは、手口を把握してるってことかもよ。
本当に何もわかってないのなら銀行口座連携全部を止める必要がある。
Re: (スコア:0)
ゆうちょも被害出たしどうやら場当たり的に被害報告のあった銀行を止めていただけだったみたいですね。
Re: (スコア:0)
結局全部止まります。
不正利用相次ぐ「ドコモ口座」、利用可能な全35行で新規登録停止へ
https://www.yomiuri.co.jp/economy/20200909-OYT1T50244/ [yomiuri.co.jp]
とりあえずは新規登録停止だけど、近いうちに全取引停止になるのでは?
Re: (スコア:0)
詳しくないけどやっぱり、新銀行東京とか東京スター銀行が一番便利なんだろうか。