アカウント名:
パスワード:
コインチェック流出の際に、客集めにばっか金かけてセキュリティに金かけてなかった「カス中のカス」と吐き捨てた北尾の会社がSBI証券で、二要素認証すらなかったところです。https://ascii.jp/elem/000/001/624/1624722/ [ascii.jp]
2要素はないけど、2段階はある。未知のブラウザでログインしようとすると、メール通知でログイン許可するか聞いてくる。ワンクリックで許可できる。もしSBIとメールサービスでパスワード使い回すなどしてたらアウトだが。それでも取引パスワードが別にあるし、どうやったのやら。
偽造した本人確認書とか、結構周到にやってたようだな。事前に認証情報を抜いておいて、本人確認書を作った上で実行したのか。
https://www.sankei.com/economy/news/200917/ecn2009170036-n1.html [sankei.com]paypayのSMS認証突破された、今日のニュース。メール認証に意味があるかわからないよ。
これはPayPayなどの口座作るときのSMS認証に飛ばし携帯使ったというのだからちょっと違うくない?
よくわからん記事だなPayPayのアカウント作ったのは攻撃者じゃないのか?攻撃者が設定した電話番号にSMSが届くのは当然なのではSIMの契約なんかは多重債務者でも使ってやればいいんじゃないの
そのSMS認証は銀行口座に登録されている番号にSMSを送ってるわけではなくて、決済サービスに新規登録する際に入力した番号に送ってるの銀行口座名義本人かどうかの確認は、ドコモ口座だろうとPayPayだろうと、口座振替登録の可否でしか行ってないSMS認証が突破されたわけではない
その記事には
何らかの形で入手した、本人確認が不十分な携帯電話を用いたようだ
と書かれているけど、自分で用意せずSMS認証代行業者に頼んでいる可能性もあるし、
「携帯電話不正利用防止法」で、携帯電話事業者は契約時に本人確認を行うことが義務付けられている。
と書かれているけど、通話はできずSMSの受信はできるデータ専用SIMは、本人確認義務がない
#3890951 [srad.jp]にリンク張られてる日経の記事によると、被害者は取引パスワードをログインパスワードと同じものに変更してたようだ。また、IDとパスワードはスマホ内のメモで管理してたっていうことなので、そこ見られたら一発でやられる状態になっていたらしい。また、記事には「登録外の端末からアクセスがあった際、メールなどで本人に通知をする仕組みもなかった」とある。不正に作られた銀行口座は、生年月日などの情報は本人のものと異なっていたということなので、その辺の情報が全部流出したわけではなさそう。
スマホにマルウェア仕込まれたかソーシャルハックされたかで、ログイン情報知られただけのシンプルな事件のような気がする。
いうても6口座やで?被害者のうちの一人から聞いた話やろ?
一番被害額がでかかった人だな。1人で総額で3400万近くやられてる。
これ自分に落ち度があると言ってるようなもんだし、SBIの「全額補償」の対象になるんかねぇ。
> なので、SBI証券へのログインのところさえなんとかなれば、その後は一直線だと思う。
いや、無理っぽい。
取引パスワード変更は旧の取引パスワードが必要。取引パスワードの再設定は生年月日、登録emailアドレス、登録電話番号の入力が必要。で、登録emailアドレスの変更は取引パスワードが必要。なので「メールアドレスの変更後に取引パス変更をすれば自分の手元に来る」はちょっと無理。
結局、取引パスワードの再設定の必要情報を全部持っていて、かつ登録メールアドレス宛のメールを見る事が可能ならば、取引パスワードを変える事が可能だろう。そのスジだけだね。結構ハードルは高いだろう。
# ところで、法人口座でも生年月日を聞いて来るぞ。# 設立年月日を入れるのかな、この場合。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
この事件のポイントは (スコア:2, 興味深い)
コインチェック流出の際に、客集めにばっか金かけてセキュリティに金かけてなかった「カス中のカス」と吐き捨てた北尾の会社がSBI証券で、二要素認証すらなかったところです。
https://ascii.jp/elem/000/001/624/1624722/ [ascii.jp]
Re:この事件のポイントは (スコア:0)
2要素はないけど、2段階はある。
未知のブラウザでログインしようとすると、メール通知でログイン許可するか聞いてくる。
ワンクリックで許可できる。
もしSBIとメールサービスでパスワード使い回すなどしてたらアウトだが。
それでも取引パスワードが別にあるし、どうやったのやら。
偽造した本人確認書とか、結構周到にやってたようだな。
事前に認証情報を抜いておいて、本人確認書を作った上で実行したのか。
Re:この事件のポイントは (スコア:1)
https://www.sankei.com/economy/news/200917/ecn2009170036-n1.html [sankei.com]
paypayのSMS認証突破された、今日のニュース。
メール認証に意味があるかわからないよ。
Re: (スコア:0)
これはPayPayなどの口座作るときのSMS認証に飛ばし携帯使ったというのだからちょっと違うくない?
Re: (スコア:0)
よくわからん記事だな
PayPayのアカウント作ったのは攻撃者じゃないのか?
攻撃者が設定した電話番号にSMSが届くのは当然なのでは
SIMの契約なんかは多重債務者でも使ってやればいいんじゃないの
Re: (スコア:0)
そのSMS認証は銀行口座に登録されている番号にSMSを送ってるわけではなくて、
決済サービスに新規登録する際に入力した番号に送ってるの
銀行口座名義本人かどうかの確認は、ドコモ口座だろうとPayPayだろうと、口座振替登録の可否でしか行ってない
SMS認証が突破されたわけではない
その記事には
何らかの形で入手した、本人確認が不十分な携帯電話を用いたようだ
と書かれているけど、自分で用意せずSMS認証代行業者に頼んでいる可能性もあるし、
「携帯電話不正利用防止法」で、携帯電話事業者は契約時に本人確認を行うことが義務付けられている。
と書かれているけど、通話はできずSMSの受信はできるデータ専用SIMは、本人確認義務がない
Re: (スコア:0)
#3890951 [srad.jp]にリンク張られてる日経の記事によると、被害者は取引パスワードをログインパスワードと同じものに変更してたようだ。
また、IDとパスワードはスマホ内のメモで管理してたっていうことなので、そこ見られたら一発でやられる状態になっていたらしい。
また、記事には「登録外の端末からアクセスがあった際、メールなどで本人に通知をする仕組みもなかった」とある。
不正に作られた銀行口座は、生年月日などの情報は本人のものと異なっていたということなので、その辺の情報が全部流出したわけではなさそう。
スマホにマルウェア仕込まれたかソーシャルハックされたかで、ログイン情報知られただけのシンプルな事件のような気がする。
Re: (スコア:0)
いうても6口座やで?被害者のうちの一人から聞いた話やろ?
Re: (スコア:0)
一番被害額がでかかった人だな。
1人で総額で3400万近くやられてる。
Re: (スコア:0)
これ自分に落ち度があると言ってるようなもんだし、
SBIの「全額補償」の対象になるんかねぇ。
Re: (スコア:0)
> なので、SBI証券へのログインのところさえなんとかなれば、その後は一直線だと思う。
いや、無理っぽい。
取引パスワード変更は旧の取引パスワードが必要。
取引パスワードの再設定は生年月日、登録emailアドレス、登録電話番号の入力が必要。
で、登録emailアドレスの変更は取引パスワードが必要。
なので「メールアドレスの変更後に取引パス変更をすれば自分の手元に来る」はちょっと無理。
結局、取引パスワードの再設定の必要情報を全部持っていて、かつ登録メールアドレス宛のメールを見る事が可能ならば、取引パスワードを変える事が可能だろう。そのスジだけだね。結構ハードルは高いだろう。
# ところで、法人口座でも生年月日を聞いて来るぞ。
# 設立年月日を入れるのかな、この場合。