七十七銀行でドコモ口座を利用した不正な引き落し被害が相次ぐ 83
ストーリー by nagazou
七十七銀行の口座を持っている方は確認を 部門より
七十七銀行の口座を持っている方は確認を 部門より
七十七銀行において「ドコモコウザ」という名義で勝手にお金が引き出される事例が複数発生しているそうだ。七十七銀行とNTTドコモは、5日以降の七十七銀行の銀行口座登録・銀行口座変更を停止した(七十七銀行、ドコモ、CNET)。
七十七銀行によると、NTTドコモのウォレットサービス「ドコモ口座」から、同行の口座に対する不正利用が発生しているという。不正に盗み出した口座番号やキャッシュカードの暗証番号等により発生しているとみられている。七十七銀行側は同行のシステムから顧客情報が漏洩した事実は確認されていないと発表している。
Twitter上でも被害報告が複数上がっており、すべてが七十七銀行の口座を持つユーザーである模様。ドコモ口座は、dアカウントがあれば開設できるため、ドコモ以外のユーザーでも利用可能とされ、今回の件ではドコモ口座を利用したことがないユーザーであっても被害にあっているようだ。
フィッシングサイトなど、何らかの方法で七十七銀行の口座番号と名義、暗証番号を不正に入手し、被害者の名義のdアカウント作成して口座から現金を引き落とすという手口であるようだ。CNETによると、ドコモ口座での銀行口座登録は銀行側の仕様に準拠するとのこと(Togetter)。
あるAnonymous Coward 曰く、
七十七銀行によると、NTTドコモのウォレットサービス「ドコモ口座」から、同行の口座に対する不正利用が発生しているという。不正に盗み出した口座番号やキャッシュカードの暗証番号等により発生しているとみられている。七十七銀行側は同行のシステムから顧客情報が漏洩した事実は確認されていないと発表している。
Twitter上でも被害報告が複数上がっており、すべてが七十七銀行の口座を持つユーザーである模様。ドコモ口座は、dアカウントがあれば開設できるため、ドコモ以外のユーザーでも利用可能とされ、今回の件ではドコモ口座を利用したことがないユーザーであっても被害にあっているようだ。
フィッシングサイトなど、何らかの方法で七十七銀行の口座番号と名義、暗証番号を不正に入手し、被害者の名義のdアカウント作成して口座から現金を引き落とすという手口であるようだ。CNETによると、ドコモ口座での銀行口座登録は銀行側の仕様に準拠するとのこと(Togetter)。
あるAnonymous Coward 曰く、
- 緊急掲載情報 | 七十七銀行
- お知らせ|ドコモ口座
- 「ドコモ口座」利用した引き落とし被害が発生 盗んだ個人情報から不正登録 七十七銀行が注意喚起 — ねとらぼ
- 銀行口座から「ドコモコウザ」名義で身に覚えのない引き落としが何度も行われる事案が複数発生…いったい何が起こっているの? — Togetter
総当たりで突破されたのか、または事前に口座情報が何らかの方法で犯人の手に渡っていたのか、あるいはドコモ口座連携の仕様に抜け道があり任意の口座との紐付けを許してしまったのか、気になるところ。
中国銀行でも報告あった模様 (スコア:5, 参考になる)
『「ドコモ口座」から不正に引き出し 中国銀行で被害発生』
https://www.asahi.com/articles/ASN983RPWN98PPZB006.html [asahi.com]
七十七銀行に固有の問題じゃなくて、地銀ならどこでも起きるんじゃないかコレ
Re:中国銀行でも報告あった模様 (スコア:2, 参考になる)
リンク先のドコモからのお知らせには
■対象金融機関
・七十七銀行
・中国銀行
・大垣共立銀行
となってるね。
Re:中国銀行でも報告あった模様 (スコア:4, 興味深い)
「ドコモ口座」使った不正利用、東邦銀でも 七十七、中国銀に続き :日本経済新聞 [nikkei.com]
記事には大垣共立銀行が反映されてないが、4行目。NTTドコモはドコモ口座のサービス自体を一度停止したほうがいいと思うが、d払いと統合されてるので無理なんだろうか。既に金融庁にも報告が上がってるとのこと。
Re:中国銀行でも報告あった模様 (スコア:1)
続報
「ドコモ口座」で不正利用 地銀各行が相次ぎ確認:時事ドットコム [jiji.com]
七十七銀行
中国銀行
東邦銀行
滋賀銀行
鳥取銀行
大垣共立銀行
イオン銀行
「ドコモ口座」(d払い)への当行口座の新規登録の一時停止について|お知らせ|大分銀行 [oitabank.co.jp]
「d払い」/「ドコモ口座」新規口座登録の一時停止のお知らせ [tajimabank.co.jp]
大分銀行、但馬銀行では、自行での被害は確認されていないが自主的にドコモ口座への新規登録を当面の間停止。
Re:中国銀行でも報告あった模様 (スコア:4, 参考になる)
さらに続報、時事通信が速報でドコモ口座の不正利用が地銀など17行にのぼることが分かったと。
一部銀行の銀行口座登録および銀行口座変更の申込受付停止について|dポイントがたまるスマホ決済!d払い / ドコモ払い [docomo.ne.jp]
■対象金融機関
・七十七銀行
・中国銀行
・大垣共立銀行
一部銀行の銀行口座登録および銀行口座変更の申込受付停止について(2020年9月9日追加分)|dポイントがたまるスマホ決済!d払い / ドコモ払い [docomo.ne.jp]
■対象金融機関
・イオン銀行
・池田泉州銀行
・大分銀行
・紀陽銀行
・滋賀銀行
・仙台銀行
・第三銀行
・但馬銀行
・鳥取銀行
・北洋銀行
・みちのく銀行
・伊予銀行
・東邦銀行
・琉球銀行
Re:中国銀行でも報告あった模様 (スコア:2)
えっええーっと、私は、対象金融機関に入った池田泉州銀行を使っていて、
ちょっと前に LINE PAY の口座登録で、Web口振を利用したのですが
その時は(池田泉州のサイト側で)「漢字の口座名義人」と「記帳されている最新残高」の入力が必要でした。
この方式だと「通帳そのものを盗まれた」場合にはどうしようもないけど、
ネット上での流出情報を元にした不正利用は無理でしょう。
それでも池田泉州がサービス停止対象に入ってるってことは、
ドコモ口座のWeb口振申込が、もっと簡易なものになっちゃってるってことなのでしょうか…
#私は上記のLINE PAY に登録するときは、手元に通帳を置いてなかったのと、
#「記帳されている最新残高」を「口座の最新残高」と勘違いして、
#ネットバンキングで残高を調べてそれで申し込んでエラーに。
#エラー理由が表示されないから、名前か口座番号を間違えたかなと、
#リトライするうちに、試行回数オーバーでWeb口振停止になってしまいました。
#結局、通帳と印鑑もって銀行窓口に行って解除してもらう羽目に…
「に、だ、ん、か、い、認証は!?」 (スコア:0)
既に金融庁にも報告が上がってるとのこと。
金融庁検査が入るのかな
金融庁検査官はおねえ言葉で銀行員をファーストネームで呼んで部下のキンタマを握りつぶすイメージ(すぐテレビに影響されるタイプ)
Re: (スコア:0)
地銀に限らないような…
Re:中国銀行でも報告あった模様 (スコア:4, 参考になる)
多くの地銀が導入してるこれが共通点
Web口振受付サービス
https://www.chigin-cns.co.jp/services/web_service/index.php [chigin-cns.co.jp]
Re: (スコア:0)
ああ中小向けのシェアが高い製品に穴があったと。ありがちな話ですな。
Re:中国銀行でも報告あった模様 (スコア:1)
都市銀行(ゆうちょ銀行もかな?)は多要素認証を強制してるんで無理だったんでしょう
どこでも起きるという話なら、なんとかペイとかバーチャルプリペイドカードも同じように口座連携機能があるのに、どうしてドコモ口座が使われたのかってのは興味あるな。ドコモ口座だけ何か落ち度があったのか、それとも単に出金しやすいから使われただけで原理上は他のサービスでも可能なのか、とか。
Re:中国銀行でも報告あった模様 (スコア:5, 参考になる)
今回問題になってる紐付け方法は「Web口振受付サービス」 [chigin-cns.co.jp]というもので、
従来、紙で申請していた口座振替(銀行引き落とし)の申し込みをネットで行えるようにしたもの。
なので、インターネットバンキングの登録は必須ではありません。それぞれ独自で結構簡易な認証を採用してるみたいです。
ドコモ口座の対応金融機関 [docomokouza.jp]からちょっと見たところ、
みずほ: 暗証番号+通帳に記帳した最終残高(≠最新の残高)
or インターネットバンキングログイン どちらか選択
三井住友: 詳細不明 小さいキャプチャ画像を見るかぎり、簡易認証 or インターネットバンキング どちらか選択っぽい
ゆうちょ: 暗証番号+生年月日、インターネットバンキングログイン認証不可
みたいな感じ。
かなり緩い方式ですけど、生年月日とか残高とかを入力させれば、スプレー攻撃は防げそうです。
あと、銀行側のWeb口振の情報を見ると「入力する情報は収納機関によって異なります」って記述している銀行がいくつかありました。
また、「口座情報等を当行所定の回数相違した場合: 当日中のご利用はできませんが、翌日自動的にご利用が再開されます」と記述してる銀行もあったので、おそらくスプレー攻撃対策でIPアドレスか何かによるBANもやってる所もなるのでしょう。
銀行によっても収納機関によっても入力する情報が変わるので、
七十七などの銀行と、ドコモ口座との組み合わせが一番ザルだった、ってことなんでしょうか…
Re:中国銀行でも報告あった模様 (スコア:1)
そもそもWeb口座振替受付サービスの仕組みは料金の収納業務(銀行=>収納機関)に使用するのが前提で、ドコモ口座の様に「銀行=>収納機関=>誰かのプリペイド口座」のような使い方は当初は想定外だったと思うんですよね。
前者であれば信頼のおける事業者にのみサービスを提供(収納機関が攻撃者にならないことを担保)することでネットバンキングレベルのセキュリティーはいらなかったわけです。
ところが後者は悪意のある誰かが攻撃者になりえます。
なのでLINE PayやPayPayなどの同種事業者はアカウントに電話番号の登録(+SMS認証もしくは通話認証)を必須にして最低限の騙りへの耐性を担保しているところ、ドコモ口座は何の対策もせずアカウント作り放題だったため攻撃者の踏み台として大いに利用されてしまった、と。
ドコモ口座も昔はドコモ回線の契約が必要だったのに途中からその制限を外したという話も聞きますので、そうだとすれば自ら大穴を開けてしまったわけでつくづくセキュリティーの難しさを思い知らされます。
金融機関としてもWeb口座振替受付サービスの利用目的の変化に伴いセキュリティー対策の向上が求められていたところ、都銀と比較して地銀は乗り遅れているところが多そうですので結果として、
七十七などの銀行と、ドコモ口座との組み合わせが一番ザルだった、ってことなんでしょうか…
で合っていると思います。
Re:中国銀行でも報告あった模様 (スコア:2, 参考になる)
ドコモ口座がターゲットになった理由は、厳密な本人確認なしでアカウントが作成できて、現金化も簡単であるからだろう。
例えばLINE Payは現在、アカウントに本人確認書類の撮影データが必須であり、架空アカウントは基本作成できない仕様。
みずほ銀行などと提携している関係もあり、法的義務はないが厳重に管理しているのでは。
これは、セブンペイで問題になった前例のあるリスク(PayPayでもあったか)そのもの。それにも関わらず、対策なしでサービスを提供していた大企業ドコモ。想定できなかったで済む話ではない、不正出金を許した。ITリテラシーが低いで済む問題ではない。こういったリスクも考慮せず、ドコモと提携した金融機関にも責任がある。
ちなみに他にもあるぞ。
「Bank Pay」で検索してみて。デビットカード推進協議会が母体のQRコード決済。
本人確認なしでアカウント作成できる。しかも加盟金融機関ももっと多い。
殆ど利用されていないサービスだろうがそれが不味い。紐付けされていない口座が狙い撃ちされそう。
コロナでも浮き彫りになったが、日本は本当にIT後進国だよ。
Re: (スコア:0)
ドコモのリンク先 [docomokouza.jp]には地方銀行の名前しかないんですがそれは…
Re: (スコア:0)
最終的に原因等が分かって結果が出た後ならまだしも、対象となる銀行が3つだけの今の時点で「しか」って言われても…犯人像も見えてないのに
Re: (スコア:0)
絞って発表&受付停止ってことは、手口を把握してるってことかもよ。
本当に何もわかってないのなら銀行口座連携全部を止める必要がある。
Re: (スコア:0)
詳しくないけどやっぱり、新銀行東京とか東京スター銀行が一番便利なんだろうか。
えーっと・・・ (スコア:5, 興味深い)
http://docomokouza.jp/detail/faq/?category=deposit [docomokouza.jp]
まず、チャージ用には本人名義の口座しか登録出来ない
ドコモ口座側は銀行側に遷移してそちらで本人確認が完了したら戻ってきてねって仕様になっている。
なので、七十七銀行の側の本人確認が口座番号と暗証番号だけになってるからこういうパスワードスプレー攻撃でぶっこ抜かれた
で、銀行コードはわかるし代理店コードも公開情報だから総当たりで銀行コード+代理店コード+口座番号があれば
全銀ネットワークの振り込み処理の途中までで名前はわかるので同一名称は事実上セキュリティにならない。
だから、ハードウェアトークンなり最近だとスマホアプリによる本人確認なんかが必須なんだけどそれがないのか
登録していない口座でも登録出来てしまったのでこうなってる。
ドコモ側の落ち度としてはなんか変なBOT動作している奴を検知して弾かなかった事が問題だけど
まぁ多方面にサービスしてる場合に、IPを変えて何度もアクセスされても気づかないし
パスワードスプレーだと一回エラーだったら抜けるので「古い口座登録しようとして忘れたのかな?」って考えるので対応しないよね
後はまぁサービス拡大のためにテンプレート的なセキュリティを銀行に強制しなかったのも問題ではあるんだけど
銀行側も古いところはやろうともしないのに新しい物に飛びついて利用者拡大とか夢見てるのもあるからなんともいえん・・・あ
正直古い銀行、ネットバンクの仕様がイケてない所は使うのやめようって話が主かなぁ
Re:えーっと・・・ (スコア:1)
> 正直古い銀行、ネットバンクの仕様がイケてない所は使うのやめようって話が主かなぁ
なんというか、地銀大整理の流れに沿ったニュースだなぁと...
Re: (スコア:0)
ち、地銀最大手の浜銀は頑張ってるから!!!
Re:えーっと・・・ (スコア:1)
横浜銀行は都銀気取りだから、千葉銀が実質地銀一位。
……だったのも今は昔。
メガバン3社体制が固まった今、実質地銀首位はりそな。
Re: (スコア:0)
七十七銀行と浜銀は勘定系システムを共同利用しているわけですが……
https://www.nttdata.com/jp/ja/news/services_info/2019/051700/ [nttdata.com]
Re: (スコア:0)
都市銀もイケイケすぎるとログインが面倒なので、急を要さない少額の振り込みとか「出勤ついでにATMで振り込むか」ってなる。
Re:えーっと・・・ (スコア:2, 興味深い)
自分、りそなのソフトウェアトークンがスマホでマトモに動かず、振り込みが出来なくなった。
仕方ないからコンビニATMで対処している。
アンインストールして再度登録したら1回だけ動いたりはするんだが、数回やって面倒に。
二段階認証程度ならまだ使えたのだろうけど。
Re: (スコア:0)
正直、もうメインはネット専業銀行にしてしまっている。
ソニー銀行ならセブンATMで月数回出金無料だし
スマホアプリで認証も送金手続きもやった物が出てくるのでプッシュするだけで楽
Re:えーっと・・・ (スコア:1)
2019年末には勝手のドコモ口座が開設されたという報告が多数上がっている。(ドコモ自身も認識している)
んでここまで放置していたわけなんですが。
情状酌量の余地は無いように思いますが。
Re: (スコア:0)
代理店コードじゃない、支店コードだった
Re: (スコア:0)
生年月日はFBから漏れたりで本人確認足り得ない場合があるからなぁ
Re: (スコア:0)
むかあああしひろみちゅがポンタ規約だかで燃え上がってましたねw
誕生日は秘密情報だから人に教えんな!みたいなの
Re: (スコア:0)
昔の話ですね
Re: (スコア:0)
口座番号の把握は特別給付金の申請情報でもまとめて盗んだのかな。
思い返せばアレ、うちに来た奴は封筒の透かし見対策とかも無かったし、
口座番号だけでは入金のみで引き出せないと見て管理がザルな自治体も多かろう。
通帳表紙のコピーを要求されてバックドア仕掛けられたコピー機使っちゃった奴も居るだろう。
そろそろ締切だから提出されるだろう口座番号はあらかた出揃ったろうし、
あんまり寝かしてると他の奴がこの攻撃して穴が塞がれてしまうから、
同じリーク元にリーチ出来る攻撃者同士でタイミング読み合ってただろうし。
Re: (スコア:0)
口座番号の把握なんてそんなリスク取らなくってわかるよ
桁数わかってるし親コメでもいってるように
銀行コードと支店コード、口座種別(この場合は全て普通だろう)で
口座番号総当たりすれば氏名は全銀ネットワーク経由の口座情報取得で手に入る
Re: (スコア:0)
振込先の名義人を確認できるサービスはあるから不可能ではないと思うが口座番号総当たりなんかは対策されてんじゃないの。
可能なら口座番号名簿作って逆引きできるようにしたい。ドコモ口座不正なんかよりはるかにヤバくねーか?
Re: (スコア:0)
暗証番号トライに失敗してロックがかかっても、時間がたつと自動解除されてしまうのも問題だよね。
新生銀行だとロック解除は自動ではなく、コールセンター対応だった。
暗証番号4桁はネットサービス向けではない (スコア:1)
暗証番号4桁が許されたのは、
・物理的なカードを物理的にATMに突っ込んで人間が物理的にATM操作する
・3回間違えたら無効っていう対策がある
これらの要因があったから
ネットサービスでは、スクリプトでどんどん試せるんだし、暗証番号複数回間違えてロックされたとしても、
べつのIPアドレス・別の口座番号でどんどん試せばいいので、4桁暗証番号のみで認証とか狂ってる
ココモドウゾ (スコア:0)
数字の銀行は読み方でよく悩んでしまう。
Re:ココモドウゾ (スコア:1)
七十七銀行はななじゅうなな銀行ではなくしちじゅうしち銀行
第四銀行はだいよん銀行ではなくだいし銀行
第一勧銀は読み間違えようがないけど合併して名前変わっちゃったしな
Re:ココモドウゾ (スコア:1)
わたしは「どこもろ座」って読んでしばらく悩んだ。
Re: (スコア:0)
同じく。どこもろ座って一体どんな星座?
「糸色望」「続けて書くな!」の気分。
「ななじゅうなな」も、「つくも」とか「いそろく」みたいな別の読み方があるのかとしばし悩んだ。
Re: (スコア:0)
ヒチヒチとか
ひちじゅうひち銀行でも通じる(東北弁
Re: (スコア:0)
劇団どこもろ座かもしれない。
まとめサイトの煽り記事 (スコア:0)
によると「とにかくドコモ口座がやばい。勝手に作られて勝手に金落とされる」とか意味不明な内容になっててなんとも。
いや、そんなところ見てるのがだめなんですけどね。というかこれ七十七銀行がだめって話というか、口座番号だの暗証番号だの
抜かれた時点でだめなので、ある意味ドコモダメでも何でも無いような。
Re:まとめサイトの煽り記事 (スコア:2, 興味深い)
おそらく地銀は海外送金は見張っていたがドコモへの送金は見張っていなかった。(信用していた)ドコモは銀行のセキュリティを信用して海外送金を見張っていなかった。という事のあわせ技で、地銀のカネをドコモ経由で抜いた話だと思う。
Re:まとめサイトの煽り記事 (スコア:1)
>抜かれた時点でだめなので、
その通り.
>ある意味ドコモダメでも何でも無いような。
だからDoCoMoはダメなのは事実では。
ダメなのがDoCoMoだけじゃないというのなも、あるけれど。
ドコモが良い仕事をしたなんて言う人はいないでしょ。
なんでこの流れでドコモを擁護するのに必死なんですか……
Re:まとめサイトの煽り記事 (スコア:1)
ドコモは預金を不正流出させるツールを提供しただけだよねー
Re:まとめサイトの煽り記事 (スコア:1)
そんなあなたに、朝日新聞
https://www.asahi.com/articles/ASN986X6LN98ULFA00L.html [asahi.com]
>NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが、全国の地方銀行で相次いでいることが明らかになった。ドコモは9日未明までに、地銀など17の銀行の口座とドコモ口座の連携を中断したと発表。被害はさらに広がる可能性がある。ドコモは本人確認が不十分だったと認め、セキュリティーを強化するとしている。
ドコモ本人も非を認めていますよ。
Re:まとめサイトの煽り記事 (スコア:1)
最新情報
ドコモ口座不正引き出し、狙われた脆弱性 キャッシュレス推進にも逆風 産経新聞 [sankei.com]
ドコモ口座経由での不正引き出し 全35行との新規ひも付け停止 産経新聞 [sankei.com]
>ある意味ドコモダメでも何でも無いような。
>今回の不正引き出しではドコモ口座が悪用されたが、キャッシュレスのセキュリティーに詳しい決済サービスコンサルティングの宮居雅宣社長は「本人確認が不十分な決済事業者はドコモだけではない」と警鐘を鳴らす。
産経新聞より
7Pay、ペイペイに続く重大事故ですから、日本はキャッシュレス決済自体が駄目ということでしょうか。(皮肉)
物理的にATMや窓口をつかわなくていい (スコア:0)
従来の銀行システムは、物理的なATMマシンを必要とするので、
不正利用するには「出し子」を準備しないといけないが、
オンラインで出し子不要で不正利用ができるようになった
出し子を用意しないといけないってのが犯罪抑止になってたんでしょう
Re:今朝の朝刊 (スコア:1)
そもそもこれ5日前の古いニュースなんですが。