アカウント名:
パスワード:
コインチェック流出の際に、客集めにばっか金かけてセキュリティに金かけてなかった「カス中のカス」と吐き捨てた北尾の会社がSBI証券で、二要素認証すらなかったところです。https://ascii.jp/elem/000/001/624/1624722/ [ascii.jp]
2要素はないけど、2段階はある。未知のブラウザでログインしようとすると、メール通知でログイン許可するか聞いてくる。ワンクリックで許可できる。もしSBIとメールサービスでパスワード使い回すなどしてたらアウトだが。それでも取引パスワードが別にあるし、どうやったのやら。
偽造した本人確認書とか、結構周到にやってたようだな。事前に認証情報を抜いておいて、本人確認書を作った上で実行したのか。
ログインさえできればメールアドレス宛に取引パス再設定ってできるから、アカウントの持ち主に後日ばれても構わないなら取引パスワードの突破は別に難しくない。もしメールアカウントにもログインできてるなら何の障害もないし、そうでないとしてもメールアドレスの変更後に取引パス変更をすれば自分の手元に来る。なので、SBI証券へのログインのところさえなんとかなれば、その後は一直線だと思う。
> なので、SBI証券へのログインのところさえなんとかなれば、その後は一直線だと思う。
いや、無理っぽい。
取引パスワード変更は旧の取引パスワードが必要。取引パスワードの再設定は生年月日、登録emailアドレス、登録電話番号の入力が必要。で、登録emailアドレスの変更は取引パスワードが必要。なので「メールアドレスの変更後に取引パス変更をすれば自分の手元に来る」はちょっと無理。
結局、取引パスワードの再設定の必要情報を全部持っていて、かつ登録メールアドレス宛のメールを見る事が可能ならば、取引パスワードを変える事が可能だろう。そのスジだけだね。結構ハードルは高いだろう。
# ところで、法人口座でも生年月日を聞いて来るぞ。# 設立年月日を入れるのかな、この場合。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
この事件のポイントは (スコア:2, 興味深い)
コインチェック流出の際に、客集めにばっか金かけてセキュリティに金かけてなかった「カス中のカス」と吐き捨てた北尾の会社がSBI証券で、二要素認証すらなかったところです。
https://ascii.jp/elem/000/001/624/1624722/ [ascii.jp]
Re: (スコア:0)
2要素はないけど、2段階はある。
未知のブラウザでログインしようとすると、メール通知でログイン許可するか聞いてくる。
ワンクリックで許可できる。
もしSBIとメールサービスでパスワード使い回すなどしてたらアウトだが。
それでも取引パスワードが別にあるし、どうやったのやら。
偽造した本人確認書とか、結構周到にやってたようだな。
事前に認証情報を抜いておいて、本人確認書を作った上で実行したのか。
Re: (スコア:-1)
ログインさえできればメールアドレス宛に取引パス再設定ってできるから、
アカウントの持ち主に後日ばれても構わないなら取引パスワードの突破は別に難しくない。
もしメールアカウントにもログインできてるなら何の障害もないし、
そうでないとしてもメールアドレスの変更後に取引パス変更をすれば自分の手元に来る。
なので、SBI証券へのログインのところさえなんとかなれば、その後は一直線だと思う。
Re:この事件のポイントは (スコア:0)
> なので、SBI証券へのログインのところさえなんとかなれば、その後は一直線だと思う。
いや、無理っぽい。
取引パスワード変更は旧の取引パスワードが必要。
取引パスワードの再設定は生年月日、登録emailアドレス、登録電話番号の入力が必要。
で、登録emailアドレスの変更は取引パスワードが必要。
なので「メールアドレスの変更後に取引パス変更をすれば自分の手元に来る」はちょっと無理。
結局、取引パスワードの再設定の必要情報を全部持っていて、かつ登録メールアドレス宛のメールを見る事が可能ならば、取引パスワードを変える事が可能だろう。そのスジだけだね。結構ハードルは高いだろう。
# ところで、法人口座でも生年月日を聞いて来るぞ。
# 設立年月日を入れるのかな、この場合。