2020年9月7日

銀行口座から「ドコモコウザ」名義で身に覚えのない引き落としが何度も行われる事案が複数発生…いったい何が起こっているの?

556
なっつるん @nattsurun

金融取引被害に遭いました。メインバンクから、「ドコモコウザ」名義で、4回に渡って30万円ものお金が引きだされ、行方不明に。銀行は「ドコモから情報が漏れたんだろう」ドコモは「銀行から情報が漏れたんだろう」でまともに調べてくれず。警察がなんとか捜査はしてくれるそうですが…😭

2020-09-03 22:40:19
さとー @chrono5398

@ymnykatsura 自分も同じ被害に遭いました。額は計五万で5回に渡り一万ずつ引き出されました。ちなみに七十七銀行です

2020-09-05 18:39:01
ヨネコ @yoneeeeko15369

@ymnykatsura はじめまして、検索でツイートをお見かけしました。私も全く同様の被害に遭っています。dポイント等を含めドコモ関連の契約経験が無いにもかかわらず被害に遭ってしまいました。引出された銀行も同じ地方銀行です。先程中央警察署に相談に行ってきました。早く犯人が捕まって欲しいですね。

2020-09-04 19:51:58
れおん@潜水中 @RagnarokGriffon

銀行にドコモコウザという身に覚えがない引き落としがありました dアカウント作成して、本人の名前でドコモ口座作成して引き出す手口のようです 本人が未開設でも起きます 銀行の記帳し、ドコモコウザという引き落としがないかご確認ください pic.twitter.com/AP3HAyMLin

2020-09-05 07:24:11
拡大
なっつるん @nattsurun

@RagnarokGriffon 私も被害に遭いました。七十七銀行は一応真面目に調査してくれてるみたいですが、ドコモは、七十七銀行に「本人にしか言えない」と言っておいて、私が出向いてさえ、「あなたのではない口座にお金が移されたのだから、警察の令状がないと情報は開示できない」と、調査するつもりもあるのか怪しいです。

2020-09-06 23:46:02
れおん@潜水中 @RagnarokGriffon

@ymnykatsura 私もドコモには微妙な対応をされました 何で本人確認が必要ないシステムが安全と言いきれるのですかと聞いても、口座番号と暗証番号知っている人間が本人以外にいますか?って言うような事を言われました 当初、警察にはドコモが不正に利用されたと証言しないと動けないと言われ頭を悩ませられました

2020-09-07 00:00:21
紫陽花 @kirakira_fb

RTした件呟いてる本人ではないのですが、わたしのリア友も同じ手口で「ドコモコウザ」へ数十万引かれたとの事。 警察、銀行、docomo相談したけど現状どこにも取り合って貰えないとの事です。 本人確認なしで口座番号と暗証番号だけで操作可能な仕組み怖すぎる。 いつ自分も食らうかわからない。

2020-09-05 13:50:59
トックリ @tokkuri_tktk

これ私もやられました…現在銀行と警察に相談中 ドコモはほぼほぼ対応してくれませんでした! twitter.com/RagnarokGriffo…

2020-09-05 13:34:34
トックリ @tokkuri_tktk

銀行に調査して頂いた結果、 ・七十七銀行口座にアクセス~ドコモ口座開設、全額引き落としまで約30分で完了 ・ドコモ口座の一回の引き落とし限度額(10万)を最初に引き落とそうとする ・残高が10万に満たない場合、希望額を5万、4万…と変更しながら最終的に1000円単位まで引き落とそうとする

2020-09-06 19:00:09
れおん@潜水中 @RagnarokGriffon

現在、Twitterにいる他の被害者のデータを集約すると ・七十七銀行を使用している ・ドコモユーザー以外も被害にあっている ・ドコモコウザと記載はされているが、被害者のドコモ口座ではない (被害者がドコモ口座を利用してなくても起きている) ・警察には被害届は出せないが相談届は受け付けている

2020-09-06 00:05:43
@mutsusn

事実関係 七十七銀行口座から「ドコモコウザ」名義で、1回30万円を4回引き落とされる 総合口座のため定期預金を担保として引き落としされ預金残高はマイナス 七十七銀行アプリで残高は確認している なお、七十七銀行の登録停止中 docomokouza.jp/sp/maintenance…

2020-09-06 15:24:25
リンク www.77bank.co.jp 緊急掲載情報 | 七十七銀行 七十七銀行のウェブサイト。仙台を中心とした地域の皆さまとともに歩む銀行です。サービス紹介、インターネットバンキング、各種ローンや資産運用のご紹介など。 135 users 23
玄狼 @Genrou_com

ドコモ口座の不正開設取引の件、七十七銀行に緊急情報が掲載されている。 77bank.co.jp/emergency/deta…

2020-09-06 19:07:29
パンターF@C58難民 @PanthertypeF

@RagnarokGriffon 「ドコモコウザ」引き落としの件ですが、ドコモと七十七銀行が動かないなら、ドコモは総務省へ、七十七銀行は金融庁へ、どちらも「うちの流出ではない」と取り合ってくれないという話を送付してはどうでしょうか? 国の監督省庁から怒られるとすぐ動きますから。

2020-09-06 09:49:46

どんな手口なのか…?

@mutsusn

考えられる手口 犯人が、被害者名義のdアカウント作成し、ドコモ口座開設 その手続き中に、銀行ウェブサイト(アプリ)側で登録する画面があるはずだけど、パスワード(暗証番号)が甘い、もしくは、フィッシングなどで漏れてる

2020-09-06 15:31:01
@mutsusn

犯人に開設されたドコモ口座の入手金の開示請求かな そこから、他人のドコモ口座に移動してたとか、d払いなどで買い物してたなどわかれば、窃盗が確認できるな

2020-09-06 15:33:15
ターチャーン Tha Chang ท่าช้าง @Tha_Chang

ドコモ口座の銀行紐付けって、暗証番号がどうやって漏れたのか気になる。普通3回間違えるとロックされるよね?まさか回数制限無かったんかな。。

2020-09-07 06:16:16
U/K ☌ 私はポラタイムに躍る @yuyuyu_gorogoro

口座名義→既存の口座に振込しようとすれば取得できる 数字4桁の暗証番号→多くても1万通り 同じ暗証番号を1万口座で試したら6割以上の確率で当たるのに…例題に出る様なシステムが今どき実在するとは… ドコモぉ… 開発に関わった人ぉ… (´༎ຶོρ༎ຶོ`) twitter.com/RagnarokGriffo…

2020-09-07 01:52:16
空太郎 @soratarou730

ドコモコウザの話しってどうなんですかねアレ 番号に紐付けされたdアカウントってwifi経由だとつくれないしそもそも本名とかどうやって知るん? とか思いました _(:3」∠)_ @tama_2424_tama

2020-09-05 18:19:43
ria @ri07ri07

ドコモコウザで被害が一つの銀行に集中してるの、犯人ATMの後ろでスマホで撮影してるか銀行の内部の人のどっちかじゃないと無理じゃない? 名義人、口座番号、暗証番号を複数人分手に入れる方法ってそうそう無さそう

2020-09-07 01:14:57
森山 明宏 / ユーリカ @hiro_ux

#ドコモ口座 を使った詐欺が流行していると聞きました。 ドコモ口座と銀行口座と連携させるためにドコモ口座アプリから銀行にログインする必要があるのですが、一部の銀行では、銀行口座番号と4桁暗証番号の入力だけで契約者本人がログインしたと見なすそうです。 docomokouza.jp/sp/maintenance…

2020-09-06 00:44:17
てーさん @teacuiller

ドコモ口座はドコモ口座を通して銀行からお金を入出金するわけで ドコモ口座からお金を動かすには銀行の暗証番号とか口座番号とかは必須なんだよなあ ドコモから情報が漏れたっていうけど dアカウント作成自体はgoogleアカウント作る要領でできるけど 銀行の暗証番号の情報はドコモにないぞ……?

2020-09-05 21:25:16
てーさん @teacuiller

ドコモ側だとどこdアカウントから引き出されたかはわかっても、それが誰の作ったアカウントか調べる方法が警察からのプロバイダ情報請求しかないってことじゃないかなあ その点銀行は口座番号と暗証番号の情報どこから流出したってかんじ……

2020-09-05 21:27:04
残りを読む(8)

コメント

べにかわむき @lVXrA2f37kbVBzi 2020年9月7日
My docomoにはめんどくさい認証パスワード入れないと入れないのに、口座はそんなにすぐ連携できんのか
154
悪役令嬢 @luvgymnastics99 2020年9月7日
ん?これは七十七銀行の脆弱性の問題なの?他の銀行でも発生しているのかしら?
88
ゆーき @yuki073 2020年9月7日
lVXrA2f37kbVBzi 口座連携の認証は銀行の管轄ですね。登録時も銀行側のWEBサイトに飛ばされるはず。
35
ゆーき @yuki073 2020年9月7日
4桁の暗証番号の入力3回までのシステムなら3万件の口座番号があれば暗証番号不明でも100件近くの認証に成功するはず。よく使われる暗証番号で攻撃すればもっと成功するかも。
81
n @lovelive_aabbcc 2020年9月7日
警察以外はどこもまともに取り合ってくれないとか酷すぎだろ
239
xi @accountLINKonly 2020年9月7日
情報開示はそらご本人さまの言い分だけで他名義の口座の情報開示なんぞ出来たら謎の出金どころの騒ぎじゃなくなるやろ…社会的信用度の自己評価高すぎか
20
X178 @GFX178 2020年9月7日
ドコモ口座ガバガバすぎるだろ…… そこそこ便利ではあるんだけどなぁ
12
messie☆作り方公開・喪中7年目突入 @fairymessie 2020年9月7日
Twitterだけで複数件被害出てたら、もっとたくさん被害者がいるって!ドコモと銀行はどっちも相手のせいにしたくて揉めるヤツだな。
77
UZIRO @UZIRO 2020年9月7日
警察が被害届受けられないとか異常事態やんけこれ。相談は受けてる辺りヤバさが滲み出てる。
53
はむいち @hamuiichi 2020年9月7日
みんなで覚えよう「パスワードスプレー攻撃」 パスワードはありそうなやつ(1234とか)で固定して口座番号を片っ端から総当たりで試していく攻撃。 パスワードを3回間違えるとロックがかかるシステムは多いけど口座番号とかのユーザーID側を変えればロックされないことを逆手に取った攻撃だよ。
185
tibigame @tibigame 2020年9月7日
また中国には偽札が多い。日本には偽ITが多い案件か?
2
はむいち @hamuiichi 2020年9月7日
パスワードスプレー攻撃は適切に多様素認証を実装すれば大体の場合は防げるよ。「認証の三要素」でググるとセキュリティー意識がめちゃくちゃあがるのでお薦め。
75
ボルフォッグ @kigantetu11 2020年9月7日
消費者生活センターでもいいぞ。警察ほど効かないが、大きい企業に対してはそれなりに効く
71
Moo1courage @moo1courage 2020年9月7日
結局どこに問題があるのか全くわらかん
3
しわ(師走くらげ)@決算でしんでるマン @shiwasu_hrpy 2020年9月7日
NTTから切り離されたら顧客対応微妙になったからなぁ…高圧なのはそのまんまで。 ただ切り離されても尚NTTからの圧には弱いようなので、そっちからのアプローチ(圧)出来ないかなー。 あと消費者庁も味方にしてドンドコ詰めて行かないと返るものも返らないし変わらないかも。
37
kaede@insurance agent @maple_1106 2020年9月7日
docomoに多くの金を払っているのはこのような事態に適切に対応してくれると期待しているからであって、対応してくれないのであれば解約だわ。
153
後向き泡姫 @rmdiy_mm 2020年9月7日
実際に多数の被害が起こってるのに我関せずな態度とってるドコモと銀行側がやばくないかこれ どちらかのセキュリティに問題があるからこうなってるわけで今後他の銀行でも起こらないとは限らないのに
75
uroboros🌯 @code_uroboros 2020年9月7日
責任負いたくないのは分かるけど、その分調査してうちは問題無しとやらないと責任被るしか無くなる 消費者生活センターや所管の監督省庁にも通報したりとか出来そうね
54
prad_bitt @pradbitt42 2020年9月7日
hamuiichi パスワード固定でID側を次々に変えていくだけであれば「リバースブルートフォース」、IDも適当に変えつつ、検知に引っかからないようにゆっくり試していくのが「パスワードスプレー」というイメージかな。
41
human @10nintoiro_ 2020年9月7日
三回か。0000、1111、1234で1割は取れそうだな。
28
n_a_o_k_i @n_a_0_k_l_ 2020年9月7日
捜査対象が分散するシステムを組むと儲かるんだなー
5
セントオウル@手洗いうがい @Saintowl3393 2020年9月7日
これはやばいやつ… ドコモも銀行もアウトやろ
8
クイバチカ @quibachika 2020年9月7日
セブンペイがフルボッコにされたやつじゃん。脇でみてたくせにセキュリティ強化しなかったとかバカかな
44
夢浦忍 @Y_SINOBU 2020年9月7日
d払いアプリのお知らせで9月5日から七十七銀行口座の新規登録・変更ができなくなるとあったのはこれが原因ですか https://nttdocomo-ssw.com/keitai_payment/info/info_20200904_2.html
47
@onpu_original 2020年9月7日
これは炎上させていい案件ですね。燃やして燃やしてドコモも銀行も無視できない状況を作ったほうが世の中のため
119
美虹☂ meihung @meihung_j 2020年9月7日
こんなのめっちゃ怖いがな。
2
karikarikari @nigaaji2222 2020年9月7日
なあなあでやってたら三日後恐るべき事態になるやつ
17
Hacchi @2mocccck 2020年9月7日
ドコモってキャリア3社の中ではいちばんマトモなサポート体制敷いてるはずなんだけどなんでこんな流れになったんだろう。マニュアルもオペレーターの練度もかなりマシな方なはず。
6
Rkjeo @Rkntje 2020年9月7日
いや、仮に想定されている手口だとしたら、Docomoは実際対応しようがないと思うよ。 口座連携において、My docomoは単なる土管で、銀行のAPIを使って認証しているはず。そこの脆弱性を突かれたとしたら完全に銀行側の問題。そこにdocomoが介入して別の認証機構やら入れ出したら、それこそセキュアじゃない。
119
doseisan_ons @doseisan_ons 2020年9月7日
今回のはドコモ悪くないだろ…本人認証ザルな銀行側が問題かと
91
杏☆ジャム @anzucandy 2020年9月7日
親や職場の人に注意喚起した方が良さそうね。 メインでは使ってないけど、持ってるって人多いんじゃないかなぁ
1
sonimod @sonimod4 2020年9月7日
銀行側の問題なのにドコモの問題と言われてもドコモとしては困るだろうね。
67
はくしん2世 @233033sato 2020年9月7日
これは炎上させて警察案件にしないとダメなやつ。ていうかドコモ本部にも問題があるパターンとか最悪だわ。
0
Rkjeo @Rkntje 2020年9月7日
逆に言えば、(もし想定されている手口なら)docomoである必要は全く無い。二要素認証を行っていない銀行の「名義」「口座番号」「パスワード」が漏れたら、paypay経由、paypal経由、直接送金、他、どんな方法でも預金は抜かれるし、それらのサービスを被害者が使っている必要も無い。 要は、「ドコモコウザ」に限らず、怪しげな出金が無いかは確認しておくべきだし、今どき二要素認証していない銀行は避けるべき。
77
Wa @0000548C 2020年9月7日
他の地銀信金も同様にサービスとセキュリティが粗末なんだろうか
1
Tsuyoshi CHO @tsuyoshi_cho 2020年9月7日
つかってる銀行、UFJ、JNB(PayPayになるが)、スルガ、住信SBI+ゆうちょどれも厳しいチェックだけどなあ...まだそんなのあるのか。
4
とみゃ @QBvxWe4hElcmSzD 2020年9月7日
銀行側の認証の問題であって、ドコモの不手際じゃないよね。 ドコモでできることって、いま行っているように、七十七銀行と取引しないということぐらいしかできないし。 ドコモ口座って名前がでてるから、仕方ないけど、かわいそう。
77
RAM (衝角モード) @PLAPAPA 2020年9月7日
10nintoiro_ 0000は、銀行によっては設定不可。故に0001から始めるのがプロ(何の?)
5
スートラ @k3tiger 2020年9月7日
警察はこういうとき鈍いから、自衛するしかないのかな
0
Alpha Leo @alpha_leo 2020年9月7日
口座所有者側で「1234や誕生日は危ないから」とまったくランダムな暗証番号を設定したとしても、犯人側も適当な数字をぶつけてくるだけなので、所有者側では対処のしようがない。ガバガバ設定を放置していた七十七銀行に全責任がある。
50
まんげつや_GoToEat使えます @eambai 2020年9月7日
七十七銀行のセキュリティがザルらしい
1
tubu8kiya @tubu8kiya 2020年9月7日
原因がドコモ側か銀行側かはわからないが(ドコモが一部の銀行とのやり取りだけを停止したってことは銀行側に原因があるっぽい感じがするけど正式な発表が無いから何とも言えん)こういう話があったらすぐ「燃やせ」とか言い出す人間は一体何考えてんだろうと思う。
50
夢浦忍 @Y_SINOBU 2020年9月7日
そういえば、docomoはd払いアプリに銀行口座を登録してドコモ口座と連動させて入金するとdポイントがもらえるキャンペーン中なので、コレ目当てに必要がないけど連動した人も多いと思う https://nttdocomo-ssw.com/keitai_payment/campaign/dpay_bank/2009/index.html?utm_source=dpayment&utm_medium=applink_dpayment&utm_campaign=dpay_bank2009&utm_con
2
啓子_† @Kaybath 2020年9月7日
ドコモコウザが換金し易いor行方が眩ませるの容易いプラットフォームだから利用されたのかな…?
3
ビックサイト→ビッグサイト訂正委員会 @bic2_big 2020年9月7日
Y_SINOBU いや、今回の手口は(たぶん)ユーザーがdocomoのサービスを使っているかどうかは関係ないですよ。 実際docomoユーザー以外も多数被害に遭っています。
55
pekoe_tw @peckoe_tw 2020年9月7日
メルカリのメルペイとドコモ連携のキャンペーン来てたからその辺りが怪しそう(偏見)
1
黄色いかまぼこ @yellow_chikuwa 2020年9月7日
対応しないで無視決めこもうとする機関、客が数十万引き出されて黙って諦めると本気で思ってるんだろうか。
18
UKB0927 @ukb0927 2020年9月7日
マネーフォワードでもドコモ関連のアカウントは二段階認証を要求してくるから「通信系事業者だからセキュリティー管理が厳格なんだな」と思っていたら、こんなにガバガバだったのか。
0
夢浦忍 @Y_SINOBU 2020年9月7日
bic2_big そうじゃなくて、必要がないのにとりあえず口座連携したことで、被害者予備軍が増えるきっかけになったんじゃないかと
0
syncbunny @syncbunny 2020年9月7日
この場合、被害額は補償されるんですかね。セキュリティーの甘い銀行を使うやつが悪い、自己責任だって話になると下手すると取り付け騒ぎになりかねないと思うんですが。
25
ビックサイト→ビッグサイト訂正委員会 @bic2_big 2020年9月7日
Y_SINOBU いえ、口座連携の有無は被害には関係ないので、被害者予備軍が増えるきっかけにはならないと思います。勝手に連携される、という被害ですから。 「新しく口座を『開設』する人が増えた」という意味で仰っているのであれば、そうかもしれません。
25
tubu8kiya @tubu8kiya 2020年9月7日
とりあえず自分が実際に被害に遭ったとかいう人じゃなければプレスリリースが出るまで静観していた方がいいと思うよ。後から見たらもの凄い的外れなことを言っていた、ってなる可能性もあるんだから。
54
OHK @oyamahirok 2020年9月7日
ザル認証の企業(しかも金融機関)と提携しないのはブランドを守るために当然。連携するにあたっては相互に連携仕様を確認している。だからdocomoはちっとも悪くありません><なんて言わないで欲しい。
25
tubu8kiya @tubu8kiya 2020年9月7日
syncbunny 自分で静観すべきと書いた直後に書いてしまうけど、クレカ詐欺みたいにユーザー側に瑕疵が無いということが判明すれば補償されるんじゃないの?
0
アリア @ariatogetter 2020年9月7日
こういう問題には警察はマニュアルが無いので微動だにしない。 人間だけで解決する日々はもう終わりだな。 オープンAIのGPTがバージョンアップしていって、全ての問題を自動解決出来るようになればこうしたものも即解決出来るだろう。
3
Shiro @Shiromagenta- 2020年9月7日
そもそも暗証番号が4桁なのが悪い気がする
35
夢浦忍 @Y_SINOBU 2020年9月7日
bic2_big よく見たらドコモと契約してない人も被害が出ているとありましたね。勘違いしてました
3
aki @Yy7_f 2020年9月7日
これドコモはどこも悪くないよね。
28
minstrel @minstrelatElore 2020年9月7日
こういうのは監督省庁に報告しなければならない案件だから遅かれ早かれ表沙汰になってると思うけどね。 それにしても対応が雑すぎる。
1
Simon_Sin @Simon_Sin 2020年9月7日
kaigunmilk この場合半沢じゃなくて黒崎検査官が「ねえ、このシステムどうなってるの?」とネチネチ責めるところ
4
arm147GO@⋈舞鎮 @arm1475 2020年9月7日
ドコモに非はないってネタで言ってるとは思うけど、本人認証&紐付けしないで開設出来る仕組みがそもそもマズイんじゃ
47
シオシオ神殿 @WsaltTemple 2020年9月7日
ようわからんが何かメリットあるのかこれ
0
FX-702P @fx702p 2020年9月7日
暗証番号の4桁はあくまでも「他の認証(キャッシュカードや通帳などを所持しているなど)とセット」で意味があるので、暗証番号だけで認証したらダメだと思う。
53
Cook⚡夏アイコン頂きました/アイコン画像物販情報はピン留めを @CookDrake 2020年9月7日
「ドコモコウザ」を「ドコモウザ」に空目して、詐欺犯人がドコモdisってるのかと思っちゃったよ…😅
11
Cook⚡夏アイコン頂きました/アイコン画像物販情報はピン留めを @CookDrake 2020年9月7日
そもそも、ドコモと契約関係結んだ過去がなくてもヤラれるってのがどうなってんの感満載ですよ。ドコモの本人確認どうなってんのよ。
17
はくしん2世 @233033sato 2020年9月7日
銀行のセキリュティがここまで粗末だと是正指導入りそう
2
akkr @akkr333 2020年9月7日
もし既に触れられているような、銀行側のリバースブルートフォースアタックへの脆弱性によるものだとしたら、7payやマイルの前例のようにあまりにザルセキュリティといわざるを得ない。「ドコモコウザ」がわかりやすかっただけで、それ以外にも未だ発覚していない被害があるかもしれない。七十七銀行の告知待ちだけど、大変なことになるかも。
25
@_suna_ 2020年9月7日
ドコモ口座はキャリアフリーのサービス。ドコモ口座と銀行口座を紐づける(本人確認)には、銀行が用意している認証方法を使っている。その認証方法に問題があるなら、ドコモじゃなくて、銀行側に問題があるのでは?
50
クリームソーダ飲みたい @aux71011634 2020年9月7日
悪事に頭いいタイプってすごいな。被害が増えないといいけど。
1
kikuchi takeo @monster_kazu 2020年9月7日
ちょっとよくわからない。ドコモコウザで引き落とされたお金はどこいくの?ドコモ?
1
野良馬 @nobody_oyaji 2020年9月7日
これ「七十七銀行だけ止めた」って時点で被害者が七十七銀行に集中してる可能性高いな。  その場合、ドコモ云々ではなく銀行側の認証がガバガバなんだろうな。
22
どんちゃん @Donbe 2020年9月7日
どうせ中国人。 って思うのは偏見だけど、結局中国人なんだよな。
35
sekaikuromaku11 @sekaikuromaku11 2020年9月7日
ニホンザルにITなど無理だ、何度も同じ低レベルの失敗してるの見てわかったろ、そろばんと大原簿記までにしとけ
0
sekaikuromaku11 @sekaikuromaku11 2020年9月7日
sekaikuromaku11 というわけで当方が営業している黒幕バンクに預けたまえ、オンラインじゃないからIT被害に合わずに済むぞ、1億円でも100億ドルでも預かってやろう
0
よっき @yokki256 2020年9月7日
(ドコモウザと空目してて疑問符を頭に浮かべながらそりゃ詐欺はウザいだろうなとついさっきまで思っててました…)
3
ねや @AriaSub 2020年9月7日
そもそもだけどさ、暗証番号は数字のみ4桁です!ってのが舐めてるでしょ。 銀行以外のパスワードは、全部英数記号混じりで15桁設定してるのに、 銀行だけ4桁しか設定させてくれないのが馬鹿げてる。 4桁数字はパスワードとは言いません。
30
ㇶ ㇱ゛ㇼ @hijirhy 2020年9月7日
これ、ドコモ口座にお金が移動してるのは間違いないの?犯人が騙ってる可能性はないの?ドコモ口座の側は不正使用の場合口座凍結とか取引無効とかやるんだろうか?
2
もっこㄘん @Mokko_Chin 2020年9月7日
ジャパンネットなどのように、もれなく時限式暗証番号のワンタイムトークン入れればだいぶ防げると思うが。
0
ㇶ ㇱ゛ㇼ @hijirhy 2020年9月7日
ドコモ側からしたら、七十七銀行なんぞに口座持ってるお前が悪いくらい思っててもおかしくない感じだけど、銀行口座作るときにオンラインバンキングのセキュアさまで調べたりしないよね、普通。
10
ㇶ ㇱ゛ㇼ @hijirhy 2020年9月7日
このまとめ、タグにドコモコウザより先に「七十七銀行」って入ってるべきじゃないの?(やり方がわからないので他力本願)
17
順三朗 @junzabroP 2020年9月7日
暗証番号は0000-9999の1万通りしかないんだから、100万口座くらい番号を集めれて暗証番号をランダム入力すれば、期待値100口座分くらいは認証が通ることになるぞ。
13
RAM (衝角モード) @PLAPAPA 2020年9月7日
儂の暗証番号、半世紀前の大学の学籍番号で、連番でもなく、一桁目も若い数字ではないので、本名と口座番号、生年月日がバレても、先ず3回では合致しない。儂の友達は、ある物理の定数で、これも、周りの誰も当ててみろと言っても無理だった、と言うておった。皆、簡単な組み合わせをしすぎているのではないか?
2
NAL / ナルサワトモアキ @wastedays 2020年9月7日
暗証番号はキャッシュカードという所持要素と組み合わせる前提で4桁程度で済んでいるのでWebログインに使うには弱すぎる、というのは当たり前なんだけど、偉い人の意向かなにかでパスワードの管理ができない人に迎合しちゃうんだろな。それにしたって銀行がやっちゃうのは……。
38
うてん。 @uten00 2020年9月7日
これはちょっと調査が進んでからでないとどこが問題かって言いにくいやつだなあ。様子見しとこう。d払いではすでに77銀行の登録停止になっておるね
1
ぽこ @igashiga 2020年9月7日
七十七って宮城の第一地銀だよね?ヤバいよね??
11
ボルフォッグ @kigantetu11 2020年9月7日
七十七銀行から公式アナウンスhttps://www.77bank.co.jp/emergency/detail1.html >現時点で、当行のシステムから、お客さまの口座番号やキャッシュカードの暗証番号等のお客さま情報が漏洩した事実は確認されておりません。
10
あごにー @Agony_01 2020年9月7日
いい加減暗証番号4桁固定とかいうクソよわセキュリティ投げ捨てたらいいのに。
1
白墨 @amanilo_ 2020年9月7日
七十七銀行、入行式とかやってる場合じゃないのでは… 入行式の参加メンバーがこの騒動をどうにか出来る訳ではないけど、お偉方はそれどころちゃうやん
1
狂犬ちゃん @MadDogUnlimited 2020年9月7日
kigantetu11 情報が漏洩してないって言ってるだけで肝心のお金が抜き取られてるか否かについては何も言ってない…
43
Yeme @yer_meme 2020年9月7日
kigantetu11 鍵は漏れていない(こじ開けられてないとは言ってない)
36
Yeme @yer_meme 2020年9月7日
流石にこれは酷い……まともに検証なりテストなりやってなかったのは間違いないっスね。
0
ALCaDEUS-メカ娘派/CYBER DIVA @d07249 2020年9月7日
kigantetu11 「当行のシステムからは」漏洩していません…「システムからは」。
16
やし○ @kkr8612 2020年9月7日
感心してる場合じゃないんだろうけど、悪いこと考える連中ってほんとあくどいこと次々思いつくし隙のあるところ嗅ぎつけるのうまいよなあ。
4
緑川⋈だむ @Dam_midorikawa 2020年9月7日
これはセブンイレブンがやらかした以上の事件になるな。半年後に銀行が無くなっててもおかしくない
12
フローライト @FluoRiteTW 2020年9月7日
PLAPAPA いちいち本人の誕生日ウンヌンなんて見ちゃいないから、お前さんも友人も1万分の1の確率でサクッとブチ抜かれるよ。連番やゾロ目と何も変わらん。
40
ENDO Yasuyuki @eyasuyuki 2020年9月7日
勝手にドコモ口座を開設されたらアウトなのか。ドコモやべー。
0
Off Black @OffBlack1 2020年9月7日
あー銀行側が口座番号と4桁暗証番号で 本人確認をゆるゆるにしてるのか・・・。これはあかんやろ。 普通なら生年月日とか氏名も条件としてマッチングしないと。
5
風一人 @Giugno_bianco 2020年9月7日
ツイッターのトレンドで『ドコモ口座』とあって、最初「ドコモロ/座?また変な名前の星座だなぁ」と思って見てみたらドコモ/口座だったのね
8
お空キレイキレイ @747_bold 2020年9月7日
PLAPAPA 総当たりされたらパスワードの複雑さなんてなんの意味ないぞ そもそも4桁数字オンリーだから10000通りしかないし楽勝だわな
42
Tadashi @tadashifx 2020年9月7日
FluoRiteTW 何か当たればいい側としては無作為の乱数ぶつけてくるよりはある程度推測しやすい数字列をぶつけてくる可能性の方が高いんじゃないですかね? もしそうであれば連番やゾロ目、日付として設定されやすい2桁ごとの1~12,1~31の数字を外してあれば多少は被害に遭う確率を下げられる気はします。(その手の攻撃に関する知識、全然ない素人の思い込みですけど)
1
お空キレイキレイ @747_bold 2020年9月7日
多要素認証なしだとしても API叩くときにx回失敗したらオンライン認証アカウントロックとかかかるでしょ普通に それすらもやってないのかなまさか
6
お空キレイキレイ @747_bold 2020年9月7日
igashiga 菅が地銀潰す気満々だからこれはいい見せしめになりそう
1
狂犬ちゃん @MadDogUnlimited 2020年9月7日
sava2 ドコモユーザーでなくても七十七銀行に口座を持っているだけで預金かっさらわれた可能性がある。だからヤバい
39
rollmaki @rollwomaku 2020年9月7日
MadDogUnlimited タイトルの「<重要>「ドコモ口座」を利用した当行口座の不正利用の発生」と1行目の「 (株)NTTドコモが提供する「ドコモ口座」において、不正に盗み出した口座番号やキャッシュカードの暗証番号等のお客さま情報を使用した当行口座の不正利用が発生しました。」が触れてるにあたるかと。
3
からあげれもん @gorogoroojisan 2020年9月7日
ドコモ口座がdocomoの客じゃなくても作れるって迷惑だわ こんなん銀行口座の数だけ詐欺師のターゲットじゃんか
28
hirarin @uldkis 2020年9月7日
ネット通販等の本人確認【氏名+生年月日+口座番号+暗証番号(4桁)+(使用期限)】を使えば、ドコモ口座でなりすまし可能まで読んだ。暗証番号(セキュコード)を変更しとくべき
0
なちゃ @nachakey 2020年9月7日
こんなむちゃくちゃな手口が通用するような認証ってあり得んの? 暗証番号はカード持ってることとの二要素になることが最低限の大前提だろうに… こんなんがまかり通ってたらいくら他のところでセキュリティうるさく言ってても全く意味がない…
23
なちゃ @nachakey 2020年9月7日
暗証番号はカードという物理鍵と合わせて許容できる認証方法なのであって、それなしにオンライン認証に使うという発想が完全にアウト。
52
Rkjeo @Rkntje 2020年9月7日
オンライン決済において『7』は忌み数であることが証明されてしまった
30
鹿 @a_hind 2020年9月7日
銀行未だに数字四桁暗証だからねえ。そこから要素増やしたチェックしてないサービスあったらどこでもアウトだろうな。
0
かにかま @kanikama_surimi 2020年9月7日
いんたーねっつのことも大してわからんちんな年寄りなんだけど、つまり七十七銀行側がこの件に関して責任があるくせに態度がクソで、ドコモ側はこの件に対して責任はないけど態度がクソってことでいいのかな。
27
tsukimura @t_fate 2020年9月7日
ちょうど先日七十七銀行ではない銀行とドコモ口座の連携しましたが口座番号と暗証番号以外の情報も入力させられましたね(銀行によっては口座残高の数字とかキャッシュカードの製造番号とか) 本当に七十七銀行が口座番号と暗証番号だけで登録できるのならそこを突かれたか…
12
fff @ffffdark 2020年9月7日
kanikama_surimi おそらくそうですが、『推測される手口どおりなら』が付くので責任がどこにあるかはまだ確定してないです。ただまあ本件の手口が仮に別物だったとしてもセキュリティがザルなことには変わりないですね・・・
9
ふー⋈ @Funol38 2020年9月7日
これって、例えば、「6173」とか適当な暗証番号を手持ちの万単位の数の口座番号との組み合わせで入力し続ければ、何個かあたるので、どんなに複雑な4桁数字でも破られる可能性はあると... やばすぎるセキュリティホールだな。 被害総額が怖い。
8
nekosencho @Neko_Sencho 2020年9月7日
フレッツユーザーさまに料金がお安く……って感じで、なんかノリが会社員というより学生グループみたいな電話がかかってきたんだが、あれも詐欺グループだったんだろうな。学生のバイトでもセールス電話かけるやつはそれなりの教育受けてるものだし
0
torano0 @torano0 2020年9月7日
利用者は暗証番号を変えろって人がいるけど、キャッシュカード付随だと、4桁の暗証番号を利用者が変えられない銀行ってあるよね。ここの銀行と取引ないけど他でも起こり得るなら恐ろしいな
8
いくら @YamadaIkra 2020年9月7日
他にも沢山ある認証が甘い銀行は要注意だな。口座番号、口座名義、生年月日、暗証番号だけの銀行が山ほどあるぞ。
0
yuki🌾㊗️6さい🎉⚔ @yuki_obana 2020年9月7日
法人相手にドコモ口座これでできてたら七十七銀もdocomoも生キノコれなかったかもなw(´・ω・`)良くも悪くも保険会社は胸を撫で下ろしただろう
0
野良馬 @nobody_oyaji 2020年9月7日
これ七十七銀行でインターネットバンキングやってるひとのとこに口座登録メール来てないのかな。
3
tAkihiko @ATA911 2020年9月7日
「七十七銀行」を脳内で「ななじゅうななぎんこう」と読んでいた。脆弱だったのは七十七銀行だったかもしれないが、情弱なのは私か。
6
狩谷里乃 @rinokariya 2020年9月7日
銀行コード固定で適当口座番号+ランダム暗証番号で破られた感じかな?七十七銀行さん早く何とかして
0
akkr @akkr333 2020年9月7日
Funol38 根本的には、4桁暗証番号の強度なんて二段階認証なければ五十歩百歩ではありますが、有名人の誕生日や祝日、特別な年号など、広く認知された数字列は使う人も多い(=ヒット率が高いので狙われる)ので特に危険ですね。上の方に「儂の友達は、ある物理の定数で」というコメントがありましたが、これもあまり褒められた設定ではありません。ハッカー自身が詳しくなくとも、そういうのは辞書として配布されていますし。
2
たかみん/りんと🐏 @r_takamine 2020年9月7日
MadDogUnlimited 泥棒が入った形跡はありません(なんらかの方法で鍵を手に入れた人が普通に入口から入ってきたのは検知できないです)ってことですね…
5
うてん。 @uten00 2020年9月7日
#時事 事件の経緯がわからんのでどこが問題かわからんし当事者発表あるまで様子見かねえ。ネット銀行もドコモアカウントも二段階認証してるからそうそう抜けないとは思うが警戒はしとこう。
0
ふー⋈ @Funol38 2020年9月7日
akkr333 えぇ、単純な数字であろうが完全ランダムであろうがたったの1万通りしかないので一緒ですね。 で、https://www.77bank.co.jp/emergency/detail1.htmlなんですが、「なお、既に「ドコモ口座」に当行口座を登録済みの場合、ドコモ口座へのチャージは、引続きご利用いただけます。」って、破られた口座全て判明していて、連携解除済みなのか心配です。でないと、銀行が破られたことに気が付いていないかつ被害者が気が付いていない口座がやばい。
22
うてん。 @uten00 2020年9月7日
数年前に航空会社のJALとANAでも会員サイトで数桁の暗証番号での認証のみでクラックされてた。大企業だから安心ってこともないんだよねえ。脆弱っていうより問題外なやつだわ
16
Masaki☆ @masaki_kkmt 2020年9月7日
七十七銀行だけの脆弱性? イヤそれにしてもdocomoうんこすぎでは……
0
たかみん/りんと🐏 @r_takamine 2020年9月7日
暗証番号で認証ってのが意味がわからなかったんでドコモ口座の説明見に行ってみたけど、これ情報さえあれば他の銀行でもできる可能性あるのでは?実際にどんな情報を求められるか分からないけど、七十七と同様に暗証番号などを入力とか書いてある銀行がいくつかあるのでとても怪しいなと思ってる。最初に銀行のオンラインサービスにログインさせるところもあるから、そういう銀行は今回のような問題はないんじゃないかしら。
2
Di.Of.Trディテクタ @cryingsnake12RM 2020年9月7日
bic2_big そういえば、ペイペイの時も同じようなことありませんでしたっけ。
2
akkr @akkr333 2020年9月7日
Funol38 「1万通りしかないから一緒」というのは少し語弊があって、同一の口座なら一応ログイン失敗3回とかで弾かれますから、クラッカー側としては1万通り全てスキャンするわけではなく、当たりそうな番号を選んで無数の口座番号にログイン試行することになります。ですから、自分一人の安全に関していえば、単純な数字よりは一般的でない数字のほうが被害は受けにくいです。
11
akkr @akkr333 2020年9月7日
ドコモ口座へのチャージが未だ継続されているのは、既に不審な入出金を検知するシステムを動かしていて犯人をあぶり出そうとしているのか、それとも混乱を避けるために「多分大丈夫だろう」で動かしているのかわかりませんが、顧客は自衛が必要な状態ですね。
1
Returnee @MCEscher68 2020年9月7日
こう言うのが怖いから、私はオンラインバンキングは一切手を出さないし、スマホ決済は指紋認証にしている。
0
cocoon @cocoonP 2020年9月7日
r_takamine 普通の銀行は、オンラインバンキングのID/PWに口座番号とその口座紐づきのキャッシュカードの暗証番号の組み合わせなんて使わないので……。例えばみずほ銀行は口座番号と関係のない「お客様番号」とそれに対してのパスワード(数字4桁だけではない)、あとアイコン認証がありますね。資金移動の際にはさらに第二暗証という暗号表も必要です。
17
ふー⋈ @Funol38 2020年9月7日
akkr333 確かにどうせやるなら、覚えやすい数字でやったほうがヒット率上がるのでランダムな数字のほうが多少はマシですね。 私が銀行担当者であれば、迷わず、ドコモ口座への連携を全て解除して、記者会見&銀行窓口で再連携受付開始(キャッシュカード+本人確認で連携を再開かな)を決断する気がします。 対応おくれで盗まれる金と失われる信用との天秤を考えれば、お客様の利便性を一時的に奪ったほうがまだましだと考えるからです。
0
狩谷里乃 @rinokariya 2020年9月7日
ネットバンクでもパスカード(キャッシュカードでは無い)の裏面の縦2列目と横3列目の数字を入れてくださいとか物理的な鍵の所もあるしで悪い所しか無いわけではないんだけどね、しかも今回は多分ネットバンク利用してない人も被害にあってるみたいだし
1
gx9900 @GX9900GUMDAMX 2020年9月7日
77銀行もザルだけど、ドコモ口座も手軽過ぎな感はあるなぁ。「連携できる口座はドコモ口座の名義人と同一に限る」とかある程度の防衛策は欲しい。
26
はくまに・アーチボルト @haku_mania_P 2020年9月7日
それなりの大手銀行にしておくのは、自分の財産の防衛にもつながるのだなあ…と思ったが、みずほみたいな例もあるので大手でも油断はできねえよなあ
0
どんちゃん @Donbe 2020年9月7日
銀行って口座番号と暗証番号に、銀行ごと店ごとの非公開の暗号キーがあって、それをその2つにかけるとかして出た数列で管理するものと思ってたけど、まさかの剥き出しそのまんまか……?
0
ケロちゃん @cerberus_kero 2020年9月7日
非Docomoユーザーは、Docomoを使ってなくて良かった!な話?
0
出世魚 @prism_in_wind 2020年9月7日
犯人はドコモダケに寄生されたガンダゴウザ
0
akkr @akkr333 2020年9月7日
んー……、七十七銀行のWeb口振受付サービス詳解はサイトを見る限り見つからなかったんですが、インターネットバンキングに関しては、①会員番号 ②暗証番号 ③会員カード表の10桁番号のうち指定の4桁 の3つの情報を入力させるようです。さらに振込等は二段階認証もちゃんとある模様。
5
akkr @akkr333 2020年9月7日
ドコモ口座だけそれらを全く使わないなんてことあるでしょうか? リバースブルートフォースアタックではなく、フィッシングなどの他の攻撃手段によるものでは?
1
Mook @HiroGome2 2020年9月7日
脆弱性が銀行側の本人確認にあったとしても被害がドコモコウザを使ってだけ発生してるというのは何かドコモの方にも穴があるんじゃないのかね
4
たかみん/りんと🐏 @r_takamine 2020年9月7日
cocoonP みずほ銀行はまずオンラインサービスへのログインが必要みたいだったので今回のような脆弱性はないと思います。同じような手法を取っている銀行とそうでない銀行があるみたいなんですよね。
3
さっちん @fastsnow22 2020年9月7日
東北民にお馴染みの七十七銀行だったのか…
1
ミトス@宮城 @mitos7 2020年9月7日
ドコモのサイト見ても、ドコモ口座と銀行口座の連携の詳細が見つからなくてよく分からないな。dアカウントの名義と連携する銀行口座の名義が一致しないと連携できないように見えるんだけど。 あとドコモ口座のサイトを見ると、移動できる金額は1ヶ月30万円MAXみたいだから、最高の被害額でも30万円なのが幸いか。
5
よぴのすけ @yopinosuke 2020年9月7日
cerberus_kero ドコモ口座は非ドコモユーザーも開設できるらしい。この設定自体がおかしくない?
4
よぴのすけ @yopinosuke 2020年9月7日
mitos7 小まめに記帳してないと見落とすかもよ。
3
miyabi @miyabi6372 2020年9月7日
現時点で判明している情報によると、七十七銀行に普通預金口座がある人は、ドコモのユーザーであるか否かにかかわらず全員が口座を乗っ取られる可能性があるという事でいいのかな? そうだとすると、預金の安全を確保するためには、七十七銀行の普通預金を解約する以外の方法はないわけだから、七十七銀行は大変な状況じゃない?
29
都会の田吾作 @impact_ngc 2020年9月7日
下手すると勘定系システムが一緒の横浜銀、北陸銀、北海道銀、東日本銀もヤバいってことになるのかな??
3
RAM (衝角モード) @PLAPAPA 2020年9月7日
FluoRiteTW 747_boldakkr333 ・・・心配してくれて、ありがとうやけど、儂も「先ず3回では合致しない」と書いている。狙った口座に対して一万回試せるわけやないんやで。ATMでカード出金でも、3回間違えればカード没収。だから、本人と紐付けが分かりにくく、他人には意味の無さそうな数字の列は強度が高い。
0
cocoon @cocoonP 2020年9月7日
yopinosuke 携帯電話のサービスではなくdocomoIDのサービスだからじゃないですかね。docomoIDは別にドコモの携帯電話を使っていなくてもだれでも作れます。
18
あなぐま @badger2635 2020年9月7日
そして菅さんはドコモの親分のNTTと仲良しだったような。
1
barubaru @berururururu 2020年9月7日
yopinosuke 別におかしくないんでは?ドコモ口座ってただの電子マネーだし、WAONカードがイオン銀行の口座持ってる人しか作れないわけじゃないのと同じ。
26
削除されます @b4e4l4z4a 2020年9月8日
ドコモに非はないって言ってるやつ正気?取引先が反社会的勢力じゃないかリーガルチェックするのが当たり前のように利用するサービスの仕組みがセキュアなものかチェックするのも当然のことなんだが ましてや大企業だぞ?
0
VitzRsTurbo @VitzRsTurbo 2020年9月8日
七十七銀行に似た名前の我が八十二銀行ではワンタイムトークンを使用しているが、そういう施策をうてる所ばかりではないのだなあ。
0
maguro @vo_ov_maguro 2020年9月8日
キャッシュカードは二要素認証なので、暗証番号が数字4桁ってクソみたいな強度でも成立するけど、ネットバンクで口座番号と暗証番号だけで、引き出せたらアカンやろ。 古くはネットバンク専用IDと第二暗証番号だったし、ワンタイムパスとかSMS認証とかないとお話にならない。
8
最中 @tastasto 2020年9月8日
どうやら今回ドコモに罪は無いらしいが、最近親がスマホに変えた際dアカウントのクソ認証のせいで無限idロックに嵌められた対処に四苦八苦した怨念で「ドコモ口座か、まあクソシステムやししゃーない」とめっちゃ納得してしまった 銀行側の不備だったのな
2
maguro @vo_ov_maguro 2020年9月8日
七十七銀行のネットバンク軽く見たけど、口座番号と暗証番号以外に、ワンタイムパスか事前に設定したパスワードがないと使えそうにないんだが、ホンマに口座番号と暗証番号だけで、ドコモ口座と紐付けできるんか?
3
ネット・アイドル界の重鎮だんごむしさん☀ @sengodebu 2020年9月8日
4桁の暗証番号とか総当たりで簡単にいけちゃうからな
0
ゼットン:ec @zxc_tw 2020年9月8日
警察も軽率な対応をしてくるだろうから、関係省庁と消費者庁に連絡入れるのが強いと思う。
0
m232796 @m232796 2020年9月8日
本件で七十七銀行は所詮地方銀行みたいな言論も見るけど元は第七十七国立銀行だし地元での信用や利用率は高いのではないだろうか。で、メインバンクにしてる地元民が多いなら何らかの口座情報収集手段を持つ攻撃者が適当な暗証番号でリスト型攻撃するだけでもそれなりの被害発生があり得る。憶測だが、時期的に特別給付金の手続き情報を片っ端から盗まれたのかもしれない。申請書類が出揃う時期と、他の攻撃者が攻撃を行って穴が塞がれる時期を見計らうとこのあたりが狙い目になりそうだし。
5
m232796 @m232796 2020年9月8日
m232796 もしそうなら、特別給付金の申請情報も、今回の攻撃に至った脆弱性も複数の攻撃者たちで共有されていたことになる。セブンペイの時も前々からオムニ7の脆弱性がその手の攻撃者は共有されていて、セブンペイ開始で攻撃ルートが開通したと見るや攻撃に至ったのでは的な意見もあったけど、まさにそんな感じ。
4
ALCaDEUS-メカ娘派/CYBER DIVA @d07249 2020年9月8日
VitzRsTurbo 八十二銀行の物理トークンは自行オンラインバンク用の物なので、ドコモ払いに限って言えば関係ないかと。(昨日登録した人によると、振替口座登録時には音声通話でワンタイムパスが告げられるとの事)
1
汝、翼を与える@ばってん先に翼ばくれんね イベント・・(出た、出たが最初から居るとまでは・・・) @ryunosinfx 2020年9月8日
某セキュリティ専門家の愉快な銀行オンライン認証列伝からゼロプライバシー主義者が陥落の予感
0
ALCaDEUS-メカ娘派/CYBER DIVA @d07249 2020年9月8日
vo_ov_maguro 他行だと音声通話でワンタイムパスワード渡してくるらしいので、そういう仕組みが七十七銀行でも機能していれば、ワンタイムパスワードが聞けない以上は普通出来ないはずです。
3
ALCaDEUS-メカ娘派/CYBER DIVA @d07249 2020年9月8日
八十二銀行のサービスQ&A見てみたら、収納機関(この場合ドコモ払い側)には「口座振替契約の完了」の成否しか伝えていない…との事。
1
VitzRsTurbo @VitzRsTurbo 2020年9月8日
d07249 そうでしたか。どうも自分の理解が浅いみたいなのでもうちょっと調べてみます。
0
はる @chihiro8000 2020年9月8日
中国銀行でも発生した模様。 >「ドコモ口座」を利用した当行口座の不正利用の発生について https://www.chugin.co.jp/news/789.html
33
電雲 @denun_tesuya 2020年9月8日
hijirhy 記事作成者がタグ編集不可に設定しているので、いまのところ作成者本人以外にタグの追加は無理ですね…
5
ポポイ @p0poi 2020年9月8日
政権の「それはあたらない」や公文書不正に不満が無い人は、自分が直接被害に遭って、責任者にそう言う事をやらかされても、泣き寝入りしてればいいんじゃね?
0
akkr @akkr333 2020年9月8日
chihiro8000 あかん……。これはdocomo青ざめるやろな。いやまだドコモ口座の開設手続きが攻撃されたのか、単に引き出し先として選ばれただけかはわからんが、サービスのイメージは悪化するやろ。
1
ひろp @hirop1969 2020年9月8日
七十七のオンラインバンキング自体はスマホからだとアクセスするのに会員番号、ワンタイムパス、暗証番号が必要 PCからだとワンタイムパスのかわりに事前に送られた会員カードに刻印された10個ある数字の中からランダムに指定される4つの数字の入力が必要 さらに口座から出金するには暗証番号とは別な確認番号っていうやつの入力が必要 ただバーコード決済との連携はあまり面倒でもなかった記憶があるなあ
2
Alpha Leo @alpha_leo 2020年9月8日
AriaSub キャッシュカードの暗証番号は、「ATMという監視カメラのある現場でないと使えない」「キャッシュカードという物理キーを持っていないと使えない」という多要素認証になっているので、4桁で問題ないのです。今回の七十七銀行のケースはこれらの前提条件を満たさないのでダメなのです。
32
いくら @YamadaIkra 2020年9月8日
「本来キャッシュカードと組み合わせて使う4桁の暗証番号」と「本人確認に生年月日だけ」ともう一つ、「口座振替は限られた法人相手にのみ適用すべきなのに、Docomo経由で不特定の相手から利用可能」って穴があるんだろうね。
1
Jean-Luc Picachu(CV:麦人) @JeanLuc_Picachu 2020年9月8日
銀行側の問題が原因にしても、ドコモ口座からどこに金が動いたか、ドコモ側で追跡しなきゃダメだろう。 それをしないと「ドコモ口座はマネロンに使える」って事になりかねん。
24
しゅら @syurash 2020年9月8日
chihiro8000 チャイナの銀行なら仕方ない
0
しゅら @syurash 2020年9月8日
zxc_tw マスコミにチクった方が早い
0
しゅら @syurash 2020年9月8日
akkr333 そです、77銀行の口座番号と氏名判ればクラックしやすい ドコモ使ってないから安心じゃないです 77銀行口座すべてターゲット
0
takatakattata @takatakattata1 2020年9月8日
七十七銀行の口座番号と暗証番号が漏れてる時点で原因が明確だと思うけど 七十七銀行自身がそれを認めてるし
1
ねや @AriaSub 2020年9月8日
システムからは漏洩していません! 向かいのビルの2階から、望遠レンズでATM覗き放題とかありそう
1
goodmoon @goodmoon 2020年9月8日
「口座」なんて名乗ってるけど、電子マネーの銀行チャージですよ
17
@_suna_ 2020年9月8日
七十七銀行と中国銀行で共通している「Web口振受付サービス」とやらを使って認証しているサービスはお金の送り先がドコモ口座だけに限らずこの被害にあうのでは・・・。
9
n_a_o_k_i @n_a_0_k_l_ 2020年9月8日
泥棒用の裏口を開けた人が、僕が悪いんじゃないもんねで済まされたらたまらんなー。
0
barubaru @berururururu 2020年9月8日
takatakattata1 「現時点で、当行のシステムから、お客さまの口座番号やキャッシュカードの暗証番号等のお客さま情報が漏洩した事実は確認されておりません。」って言ってるよ
1
MetalPink🚴めたぴん @metalpinkP 2020年9月8日
MCEscher68 自分がモバイル決済を使ってなくても、この場合は、七十七銀行に口座を持っているだけで口座を乗っ取られる可能性がある。…自分が新しい情報システムに興味が無いとしても、リテラシーは持っていないと、自分の身を守れなくなる時代か…困ったな😟
13
goodmoon @goodmoon 2020年9月8日
mitos7 口座番号がわかれば名義人もわかるので、奪った銀行口座にあわせてドコモ口座を新設してるんじゃないですかね。
6
Jean-Luc Picachu(CV:麦人) @JeanLuc_Picachu 2020年9月8日
これってドコモ口座への金の移動があったから発覚したけど、勝手に自分の名前でドコモ口座作られてて、その口座間で勝手に資金やり取りされてても気付けないって事にならんか?
3
goodmoon @goodmoon 2020年9月8日
gorogoroojisan ドコモのアカウント持ってればドコモの客では? 楽天モバイルユーザー以外がEdyや楽天Payや楽天市場を使えるのは迷惑だというわけではないでしょう。
8
ハーブちゃん @chth981 2020年9月8日
syurash チャイナじゃねーよ 中国地方知らないとか日本エアプか?
54
狂犬ちゃん @MadDogUnlimited 2020年9月8日
berururururu それ、俺は漏らしてないって言ってるだけで誰か別の奴が漏らしたって言ってるだけ
0
Kitty_Guy_Records @cherry_ITO 2020年9月8日
ドコモが検証に非協力的なんだからこらドコモが勝手に引き落とししとんのやろ 違うんか?違うんなら協力するやろ
0
Tsuyoshi CHO @tsuyoshi_cho 2020年9月8日
syurash まあ、たしかにゆうちょイマイチ感はすごかった。これよりはマシかなくらいの意味ではまだいいけど、というか使ってないのが幸い。
0
はやし・しのぶ @Hirarinmac 2020年9月8日
朝日新聞社もニュースに(大垣共立銀行は入ってないけど)。https://www.asahi.com/articles/ASN983RPWN98PPZB006.html
3
arika @arika_melty2 2020年9月8日
p〇yp〇y辺りのクレカ登録から一括で情報流れたりしてないかな?
1
お空キレイキレイ @747_bold 2020年9月8日
arika_melty2 なんでpaypay? クレカ盗んだらそのままクレカ情報で悪用するだろ なんでもpaypayのせいにするな
3
NAL / ナルサワトモアキ @wastedays 2020年9月8日
氏名と口座番号は通販サイトなどから漏れる可能性もあるので直接銀行から流出してなくても第三者が知りうる情報として扱うべきだろうね。住所や生年月日も同じく。
4
ほおく @sol2w 2020年9月8日
大垣共立銀行はドコモ口座登録と入金を停止して被害がなかったか調査、まともな対応してる銀行がここしかなくて笑う
21
狩谷里乃 @rinokariya 2020年9月8日
d07249 大垣共立銀行…岐阜のメインバンクのひとつじゃん
2
barubaru @berururururu 2020年9月8日
[c8186779] この話、何周するんだろうな。ドコモ口座は銀行口座でもネット口座でもありません。
17
ALCaDEUS-メカ娘派/CYBER DIVA @d07249 2020年9月8日
[c8186779] 一応電子マネー機能のチャージで使う銀行口座を登録しないと機能に制限が付く。ただ銀行口座登録を与信としているフシは余所のサービスでも時々あるし、銀行がやってるのも口座引き落とし先の登録だけ。単体の行為としてはどっちもそこまで異常ではないのですが、手軽さが噛み合って変な方向に悪用されてしまってる感…。
5
barubaru @berururururu 2020年9月8日
[c8186863] あなたがSuicaを持つようなものです。ただの電子マネーです。チャージするために銀行登録できるというだけ。ちょっとコメント遡るなり、ドコモ口座のページ見るなりすりゃ書いてあるのに。
24
ALCaDEUS-メカ娘派/CYBER DIVA @d07249 2020年9月8日
[c8186883] 八十二銀行のQ&Aを見る限り、認証は銀行なり銀行が加盟しているシステム上でやって、その成否だけを収納機関に伝えているみたいです。
4
はる @chihiro8000 2020年9月8日
日付も内容もどう見ても今回の犯行絡みで問い合わせがあっての回答にしか見えなくて笑う。 d払いアプリで銀行口座登録時に発生するエラーに関するお知らせ(2020年9月3日) https://docomokouza.jp/maintenance/info_20200903.html
9
Kenji-Goodman @AshenNeo 2020年9月8日
色々書かれてるのに内容を把握できてない奴がコメ欄にちらほら。 それはともかく、dアカウント以外でも口座連携してチャージするタイプの決済サービスで同じ事おこりそう。
9
goodmoon @goodmoon 2020年9月8日
攻撃的な調子で「?」を連発する人を見てると学級会をかき回してた子を思い出しますね。
3
barubaru @berururururu 2020年9月8日
[c8186929] ええ、ですからドコモ口座も口座登録必須ではありませんよ。銀行口座からチャージしたい人だけが登録します。
16
乾也春海 @kanbaru 2020年9月8日
10年くらい前に13桁のパスワードを数秒で破るbotを確認しているので、機械相手ならランダムな文字列とか関係ないです。ランダムな文字列にするのは対人用なので。また、対人なら4桁のpinで十分です。ネットは基本的に機械相手になっているので、銀行口座は二段認証にしておくことがお勧めです。
7
ALCaDEUS-メカ娘派/CYBER DIVA @d07249 2020年9月8日
確かにドコモ口座は銀行口座でもネット口座でもないんだけど、利用者の資産を預かって決済代行している以上、一般社団法人日本資金決済業協会に加盟してるし、資金決済法の縛りも発生している。そうなれば相応に責任も生じるし、紛争解決の方向性次第では弁護士が出てくる事態も考えられるかと。
8
barubaru @berururururu 2020年9月8日
[c8186944] 自分で確認する気もないようなので、一応書いておくと、銀行口座以外に、セブン銀行ATM、ペイジー、コンビニ、ドコモ口座間送金でチャージできます。
22
とんぬらa.k.a.とんちゃん @t_matsu 2020年9月8日
福島の東邦銀行も。これで4行目。これ全面的にメンテ入りして総チェックしないとダメだろ…… http://www.tohobank.co.jp/important/20200908_006863.html
26
@_suna_ 2020年9月8日
「Web口振受付サービス」を使ってる銀行がセキュアでないだけなのでは?停止された銀行が全て同じサービスを使ってるかはわかりませんが・・・。
12
椎名 @lxpltrb 2020年9月8日
新規登録だけじゃなくてドコモ口座へのチャージを止めないとまずいんじゃ…?
9
乾也春海 @kanbaru 2020年9月8日
[c8186969] 当初の「銀行口座ではなくチャージするタイプの決済システム」という説明には十分なっているので、これ以上は恥の上塗りです。
28
barubaru @berururururu 2020年9月8日
[c8186969] ですから、 berururururu でも書いた通り、ドコモ口座も銀行口座登録は必須じゃないんですよ。違うって言われてるのに、ほんとに自分でかけらも調べる気ないんですね。
19
ふー⋈ @Funol38 2020年9月8日
一連の口論も「ドコモ口座も銀行口座登録は必須じゃない。」も今回の犯行には何の関係もないので、単なるあらし行為になってますがな。 当該銀行に銀行口座を持っている人は、いつのまにかドコモ口座を作成されて、銀行口座と連携されてお金盗まれるので、やばい。 いじょ
14
むー @dottmp 2020年9月8日
ドコモ口座からの不正引き落としの流れの推測、こちらの方のがわかりやすかった https://twitter.com/mochiomochi14/status/1302848248248283136
7
akkr @akkr333 2020年9月8日
名義・口座番号・暗証番号だけで連携できてしまう銀行があるという情報、あまりにやっちゃダメな典型例すぎて半信半疑でしたが、冒頭のツイートに追記が来ていました。ゆうちょ銀行で実際に連携確認できたとのこと。 嘘だろ……。お前ら2段階認証導入してんじゃねぇかなんで使ってねぇんだよ……。4桁総当たりで突破できるという部分に関しては、さすがに回数制限があるでしょうから疑問ですが……。https://twitter.com/hiro_ux/status/1302949633111461888
22
はる @chihiro8000 2020年9月8日
少し試してみた。Web口振受付サービスはどの銀行もほとんど同じ、収納機関側から申込データ送信で契約完了してしまう。そして多くの銀行が、口座情報(名義・支店番号口座番号・生年月日)の入力のみで終わってしまう。静岡銀行のように銀行残高の一部入力を求めるものもあるが、大半はそれだけ。
6
はる @chihiro8000 2020年9月8日
chihiro8000 dアカウント側の氏名・生年月日により口座振替登録を行うので、dアカウント側はそこさえ合っていればいい。https://docomokouza.jp/detail/bank_list.htmlこちらの対応金融機関に口座をお持ちの方で個人情報漏洩の可能性がある方は、申込方法について確認された方が良いと思う。
5
乾也春海 @kanbaru 2020年9月8日
[c8187039] タコを示す際に足が何本欠けていても「タコだ」と多くの人が認識できるのであれば、例えとして成り立ちます。それだけです。
10
乾也春海 @kanbaru 2020年9月8日
逆に多くの人が認識できるものを認識できないのであれば「知識もなければ知恵もない」と自ら示しているに他なりません。なので、恥の上塗りだと申し上げたのです。そもそも、本丸を落とされているのにこれ以上、何をしても勝ちは得られません。
15
ケンタン!@ @kenken456789012 2020年9月8日
77銀行使ってる人だけなんぬ・・・・(´Д` )
0
Ayuha @aymhtnk 2020年9月8日
これでヒステリーが起きて「資金移動業にも資金追跡性を義務化する」みたいな流れになったら嫌だな。システムとして本末転倒になってしまう。
3
野良馬 @nobody_oyaji 2020年9月8日
二段階認証ありながら使わずに素通しって…これ完璧に銀行側がザルじゃねえか。
13
野良馬 @nobody_oyaji 2020年9月8日
これドコモ口座側で止めるとしたら犯人も持ってる情報でしかできないんで、より詳細な情報持ってる銀行側が第二暗証やワンタイムパスワードとかで止めるしかないんだけど…なんで連携簡便化するんだよ。キャッシュレスの恩恵に与ろうと考えた?
11
Kenji-Goodman @AshenNeo 2020年9月8日
そもそも匿名で作れるプリペイドへのチャージなのにドコモ「口座」を名乗るd払いにも問題あるだろ。
9
atlan @atlan1701 2020年9月8日
yuki_obana キノコは生で食べてはいけません(一部生食可能な物は有るけど例外)
0
akkr @akkr333 2020年9月8日
そういえば、と思い立ってpaypayに「auじぶん銀行」の口座を連携させようとしてみたところ、じぶん銀行も名義・生年月日・口座番号・暗証番号で登録できる模様。ドコモ口座は単に未連携の人が多くて狙われただけで、業界全体のweb口座振替システム設計に危険性が潜んでいるのかも……。
12
atlan @atlan1701 2020年9月8日
akkr333 三菱は登録出来ないのにau銀行は出来るのかぁ・・・(auから頻繁に作れ作れって来るけどまだ口座作ってない)
0
はる @chihiro8000 2020年9月8日
滋賀銀行、鳥取銀行も追加。大垣共立銀行も含めれば6行。それでもWeb口振受付を停止しているのは被害があった銀行のみ。 https://news.yahoo.co.jp/articles/d838c2ff66ca6cf227ca978545bae784342eaee8
7
gx9900 @GX9900GUMDAMX 2020年9月8日
akkr333 77の「口座番号・暗証番号」に比べりゃすごくセキュリティ高くね?>じぶん銀行も名義・生年月日・口座番号・暗証番号で登録できる模様。
0
@_suna_ 2020年9月8日
Web口振受付サービスって地銀関係のサービスなんですね。 https://www.chigin-cns.co.jp/services/web_service/index.php
2
gx9900 @GX9900GUMDAMX 2020年9月8日
chihiro8000 こりゃドコモ口座が穴をつきやすい設計にしちゃった感じがあるなぁ。銀行も大手ドコモだから油断したか。
0
akkr @akkr333 2020年9月8日
GX9900GUMDAMX 七十七銀行その他でも同じだと思います。それと、生年月日はセキュリティ的にほとんど安全な情報とはいえません。容易に調べられます。名義もそもそも口座番号が流出するときにはセットですから、好きに名義を騙れるサービスからの攻撃には無力です。
3
Yeme @yer_meme 2020年9月8日
惨憺たる有様になってきたっスね。銀行のセキュリティ意識の低さが明確になったと言えると思うっス。
20
マルンボーリ @tandaji 2020年9月8日
敵はシステムを知っている、これを前提にしないセキュリティは容易く突破される。
2
gx9900 @GX9900GUMDAMX 2020年9月8日
ドコモ口座はメアドだけで作れるのが狙われたかな。他は電話番号紐付け多いし。 >ドコモ口座はメールアドレスがあれば架空名義でも開設することが可能といい、同社は電話番号登録の義務化など本人確認を徹底する。 (時事ドットコム)
10
ttudx @ttudx1 2020年9月9日
ドコモは悪くないのかもしれないが、昼12時の時点で鳥取銀行でも被害確認・サービスの停止のニュースが配信されているのに、ドコモ口座のサイトトップのお知らせ欄には全然記載されてないんだよね。むしろ鳥取銀行が登録可能金融機関に追加されました的なお知らせが残ってるレベル。自分のとこだとシステムでトラブルが起こったら夜間でも告知の対応するのに、大手なのにこういう対応杜撰なんだなぁと思った。
30
Ins @insinsinsin 2020年9月9日
これ普通にゆうちょヤバいよな…今すぐ通帳確認できないのですげえ心配…
7
sonimod @sonimod4 2020年9月9日
ドコモのアナウンスだと対象はイオン銀行と地銀のようですね。
0
gehakun @gehakun 2020年9月9日
まだサービス停止してないんか…口座持ってるだけで被害が出るのにえぐい話だ
0
Mook @HiroGome2 2020年9月9日
「ドコモは本人確認が不十分だったと認め、セキュリティーを強化するとしている。」やっぱりドコモ側にもセキュリティの甘い部分があったようだ。 https://www.asahi.com/sp/articles/ASN986X6LN98ULFA00L.html
19
大和但馬屋 @yamatotajimaya 2020年9月9日
「一桁目が若い数字でない複雑な組み合わせの4桁なら破られにくい」信仰とか本当に危ないなあ。単純で意味ありげな数字の組み合わせは危なそうだけど、それなら試行する側がそういう数列を省くだけで当たる確率は何割も上がる。安全な4桁の数字なんてありませんよ。
5
UZIRO @UZIRO 2020年9月9日
朝起きたら「何かえらいことになってるな」感ある事態に…
2
gx9900 @GX9900GUMDAMX 2020年9月9日
HiroGome2 ドコモ口座はメアドさえあれば作れるから、総当りでパスワード突破させる環境作ってしまったのが大きいようだ。
5
ゴミ箱 @tlash_can 2020年9月9日
やっぱりローカルな銀行って危ないのな
0
UZIRO @UZIRO 2020年9月9日
これ危ないのはどう見てもドコモ口座の作成方法ですね…
22
Mook @HiroGome2 2020年9月9日
GX9900GUMDAMX メアドがあれば作れるって、Twitterじゃないんだからと思いますよね
13
しゅら @syurash 2020年9月9日
オンラインバンキングは怖いしってのは間違いで、これはオンラインバンキング使って無くても やられてるんですわ、むしろ、入出金が合った時にメールが来るオンラインバンキングの方がマシですし、 さらに言えばドコモ口座を先に連結してると被害に合わないという訳の判らん対策も可能で
24
ミサイル @junko_missile 2020年9月9日
画像は拾っただけなので詳細はわからないですが、とりあえずとり急ぎ https://i.imgur.com/XmxAxyz.png
0
ののちゃ @nono_trebo 2020年9月9日
だいぶ話題になってきたね。最初に声上げた方々、本当にお疲れ様でした。きちんと補償されますように。
41
Zinc in Sanuki @zincinosaka 2020年9月9日
これだけオンライン上の詐欺やらが頻発してるのに最もセキュアであるべき金融機関や電子マネーの認証が甘々ってずっと指摘されてるよな。二要素認証くらいは最低限義務付けてもいいんじゃね?
2
金目の煮付 @kinmenitsuke 2020年9月9日
GX9900GUMDAMX 前提として、認証行為は銀行側のAPIを使うという前提があるからってことなんですかねぇ。
1
Tsuyoshi CHO @tsuyoshi_cho 2020年9月9日
おっと、連携してなかったのでアレだったが、ゆうちょもダメダメだったか、これは認証改めてないとな…orz
1
tibigame @tibigame 2020年9月9日
ドコモ口座は銀行口座でもネット口座でもないという主張をしてしまったら、不当に口座という単語を使ったということで詐欺になるのではないか。
0
tibigame @tibigame 2020年9月9日
tibigame だから銀行口座じゃないから責任なし。顧客が100%悪いんで宜しく。は通らないかと。
0
goodmoon @goodmoon 2020年9月9日
tibigame 「口座」って"account"の訳語ですよ。 "dPay"ではなく「d払い」としたドコモらしいセンスですよね。
8
rollmaki @rollwomaku 2020年9月9日
dアカウントは厳密には空メして登録用メアドの認証をした後に氏名フリガナ生年月日の入力が必要になる。そしてそこで口座番号から入手できる事になるフリガナを利用してしまえば、ドコモ口座と銀行口座との連携の際にフリガナ名のすり合わせができてしまうことになるかな。
3
伍長 @gotyou_H 2020年9月9日
nono_trebo ニュースが大きくなった後になってから「自分もこんなずさんな対応された!」みたいなのが湧いてきてホンマか~?ってなったりするもんだけど、これは初手から被害者の声を現場猫のオアシスムーブかましてるのを喧伝されてるので、セキュリティを見直しします(「今後気を付けます」並みの対応)じゃすまなくなってるよね
22
しわ(師走くらげ)@決算でしんでるマン @shiwasu_hrpy 2020年9月9日
自動引き落としになってるんでいよいよ自分宅のも見直さないとだなこれ。書き込みに行ってこないと。
0
はち @zattadane 2020年9月9日
ドコモが使われてるのは確かだが七十七銀行にとく問題を見つけるのが先だなあとは思う。まあドコモはセキュリティ対策増やすしかない
0
金目の煮付 @kinmenitsuke 2020年9月9日
これ、ドコモに落ち度があるとしたら何が該当するんでしょうね?
0
青島 @aosima 2020年9月9日
NTTドコモ社の初動対応の遅さが目立つ。 ニュースリリースの更新の動きからおそらく最初は事業部内で対応しようとせいぜい担当役員ぐらいまでにしかレターを出してなかったが、経産省なり金融庁から問い合わせがあり昨日になって全社対応のレベルまで上がったんだろう。 ドコモのCSIRTって機能してないんじゃないのか。
17
tsukina @tsukina_ttt 2020年9月9日
テレビとかでろくに報道しないのはやっぱり取り付け騒ぎ起こしたくないからなん?
1
點面悪鬼百之助 @x743 2020年9月9日
kinmenitsuke ちゃんと本人確認をしていないところかな
2
最中 @tastasto 2020年9月9日
ドコモも有罪だったんやな!やはりドコモのシステム周りはクソ 普段の無意味なややこしさはどうしたんじゃい!!
0
DBA @DBA092 2020年9月9日
名前が挙がってるメガバンクがなんで公式声明を出さないのか理解に苦しむ セキュリティが万全なら万全と外に向かって発信するべきだろ? なんでそれがわからないんだ?
0
tomi:@GSR RC部、 @tommy_luv_TK 2020年9月9日
docomo側でアカウントつくり放題なのは当然ダメだけど、銀行側の接続apiでも防げた気がする。 とりあえず『性善説で他所のシステム扱う』のは工数削減以上の逆効果と
1
しゅら @syurash 2020年9月9日
sonimod4 ちょっと違うような、欠陥車作って、それまた運転の下手くそな人間が運転して事故って 運転手が悪いって言ってるようなものかと、少なくともブレーキ付け忘れてますわ
1
しゅら @syurash 2020年9月9日
kinmenitsuke 口座名乗るなら本人確認しないと駄目でしょう?って事かと、マネロンしほうだいですよ
1
どんちゃん @Donbe 2020年9月9日
本人確認なし、管理は口座番号と暗証番号だけ。素数キーなんか絶対ないやろ。 としたらこれ、プログラムかじった小学生でも突破できるで。単純に数字総当たりすればええんやからな。
0
やし○ @kkr8612 2020年9月9日
本来銀行が利用者からの届け出を受けて内部で行っている自動振替の口座紐づけのサービスの仕組みを外部との連携に使ったことがそもそもの間違いでは?という指摘があるみたいね
5
hiro_EXIGE @HiroExige 2020年9月10日
ドコモも銀行側もまともに対応してくれず、警察にお願いするしかなかったというのが一番の問題。この初動遅れで被害が拡大していてもおかしくはない。そりゃあ狙われるわ、と思わざるを得ない
4
まんまるまるまいん @manmarumarumain 2020年9月10日
いいから一回サービスを切れよと思うの、ドコモさん。
1
vandalise @vandalise7 2020年9月10日
アメリカだったら実害がなくても口座を確認する手間が生じた云々で損害賠償されそう。
4
番兵君 @banpeikun 2020年9月10日
ドコモ的には土管屋に徹したんだから良いだろって事なんだろうか。
0
tubu8kiya @tubu8kiya 2020年9月10日
複数の銀行でも被害が出てきているのね。きっかけは「被害者が個人情報を不正取得された」ことに起因するけど、不正取得された個人情報だけでも問題無く利用出来るシステムにしていたことが落ち度と言えば落ち度になるんか…。
1
katasan111 @karasan111 2020年9月10日
ドコモ口座に串さして何度でもパスワードミスった海外ユーザが警告なしでアクセスできる地点でドコモもかなり落ち度ないかこれ
2
ふー⋈ @Funol38 2020年9月10日
捨てメアドで捨てドコモ口座を1万個(A0000,A0001~A9999)、口座番号情報を用意したら全口座の暗証番号をチェックできるという点でドコモの罪は重い。現金を扱うのに1人1口座限定にしないとか何考えているんだ。今回のことがなくても詐欺用ツールではないか。
1
S.O. @so_rei 2020年9月10日
色んな所で速報出てましたね。やはりdocomo側が原因。セキュリティの何たるかも知らないとは・・・
1
@_suna_ 2020年9月10日
銀行側が口座番号と暗証番号で受付するの変えないと、根本的な対策にならないのでは?
1
IT土方 @s_takepon 2020年9月10日
これたぶん開発当初はスマホの契約と紐づけてたんだけどスマホ契約と無関係にできるようにしようとか言う話が上から降りてきて、 いけるいけるで、そのままやっちゃったんじゃないかなぁ、まぁ想像だけど、ドコモ口座
10
景季℗【TFC No/17】 @genjinosue76 2020年9月10日
少額の引き落としが殆どのようで見つかりにくいのかな? 他人事ではないから、チェックしなくては
0
n_a_o_k_i @n_a_0_k_l_ 2020年9月11日
ドコモも銀行も事件が広まるまでは被害者をたらいまわしにしてまったく責任を取る気がなかったことは忘れないでいこうな。
1
tubu8kiya @tubu8kiya 2020年9月11日
s_takepon というかdアカウントが当初はドコモ回線所持者へのサービスだったけどドコモ回線を所持しない人向けにもサービスを提供するようになったので、dアカウントを使用するサービスもなし崩し的にドコモ回線を所持しなくても利用出来るサービスに変えていったって感じじゃないのかな。ただその際に本人確認等がどういうロジックで進められるのかを確認しなかったのが致命的だったねと。
3
金目の煮付 @kinmenitsuke 2020年9月11日
x743 なぜドコモで本人確認が必要なのでしょう?
0
金目の煮付 @kinmenitsuke 2020年9月11日
syurash 口座と言いますが、単なるプリペイドアカウントですよね。本質的にSuicaと変わりません。それにマネロン対策として、月に移動できる額を30万に制限しています。実際に億単位のお金が洗浄される中では、非常に効率の悪い方法ですよね。他国に比べればまだ甘いですけど、それでも日本国内で特にダメと言われるほどの額ではないのでは?
5
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
ドコモ回線保有者なら、多数の口座を持つのも難しいし、契約に身分保障が必要だしで、問題はなかったんやろねぇ。
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
tubu8kiya 正確な手段については調査中でしょうが、「被害者が個人情報を不正取得された」という実態抜きに被害にあってる可能性も高いようですよ。総当りで銀行口座番号をぶつけて通った銀行口座に仕掛けてる可能性も高いみたいですから。
1
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
syurash 免許持ってる人なら乗りこなせる車を作ったら免許の発行側がまともに運転でいない人にも免許を発行しちゃったって感じかなぁ。
1
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
DBA092 被害が出てるかどうか、銀行側は判断のつけようがないからじゃないですかね。
0
tubu8kiya @tubu8kiya 2020年9月11日
dokuman3 ニュースを見ると「被害者が個人情報を不正取得された」がスタート地点っぽく見えたのですが違う可能性もあるんですか。実際にドコモ口座を申し込んだことが無いからわからないけど「申し込み時に銀行口座番号と暗証番号を入力するだけ(口座名義は不要)」だったのなら、確かに不正取得の必要が無いですね。
2
トーニー @dentyuu12 2020年9月11日
貸金庫室直通の会員限定の通用口の会員証をティッシュ配るように発行したドコモ。  会員証だけ持ってればほぼ素通りさせた銀行のセキュリティもアカンけどさ
0
トーニー @dentyuu12 2020年9月11日
元々のドコモ口座のシステムって10年ほど前に作られたもので、ドコモ回線に紐付けられてた本人確認がある程度とれてる事が前提のシステムだったんだよね。それをキャッシュレスに乗り遅れまい、会員を増やさねばと本人確認を導入しないまま回線契約限定の制限をなくした。ドコモのセキュリティ意識も相当ずさん。マネーロンダリング対策とか全く考えてないだろうし。
4
nekosencho @Neko_Sencho 2020年9月11日
「ドコモロザ」じゃなかったんだ……
0
gx9900 @GX9900GUMDAMX 2020年9月12日
tubu8kiya ドコモ口座はメアドだけで作れるから一人が千口座だって作れる。大量のドコモ口座で誕生日をパスワードとして銀行口座を総当りすれば数件は突破できるやろね。ドコモ口座以外は本人確認されるからそんなに作れないので問題が起きなかった。
2
RAIYA@提督 @RAIYASB 2020年9月12日
tubu8kiya 銀行とドコモの当初の認識はそれ 被害者が複数出てきて原因を調べたら、ドコモ口座量産による不正出金が発覚した。暗証番号の不正取得は、フィッシング詐欺か、リバースブルートフォースが候補に上がってる(前者の方が可能性が高そうだけど、銀行が黙ってるから不明)
1
うめたけまつ@テレワーク疲れ @take88 2020年9月13日
銀行にセキュリティホールがあって、ドコモがクラッキングツールになった。という感じですかね。
3