ドコモ口座事件への不安に、「金融庁、動きます」?/『金融庁が対応指示 「ドコモ口座」不正利用―菅官房長官』と時事通信、問題は「なんとかPay」にも波及しそう?
-
- いいね!18
Math.min()
@kirimin
ドコモという超大企業のシステムがガバガバだと、資金決済法絡みの規制などでスキーム設計に苦労したり潰れていったスタートアップは報われないよなぁと思ってしまう
2020-09-09 18:26:49
Nobuyoshi Sato (発信者情報開示本Booth倉庫販売中)
@7n2jju
ドコモ口座、個人間の送金もできるし、資金決済法の本人確認制限はいらんのかというか。
2020-09-09 19:04:09
Math.min()
@kirimin
そもそもKYCしなくても銀行口座連携しただけで送金して出金出来るのって資金決済法違反では?という気がするけど銀行認証=KYCなのであればやはり銀行側のセキュリティが弱い気がするしそうじゃないなら金融庁のチェックにも責任が波及するのでは?(適当なツイートです)
2020-09-09 19:17:08
天篠 千舞紗
@104no1000bsa
ドコモ口座事件、時事通信によると、金融庁がドコモと銀行に対し【被害者補償の徹底】を求めたとのこと。昨日まで「うちのせいじゃありませ~ん」とか言いたげだったドコモも、お上には逆らえるはずもなく、被害は補償されそう? pic.twitter.com/50umxePChX
2020-09-09 19:49:40
拡大
あわてんぼう大行進
@awatenbo_dksn
「ドコモ口座」は、株式会社NTTドコモが資金決済法に定める資金移動業者の登録を受けて行っている事業(関東財務局長 第00012号)
2020-09-09 22:05:40
トイプー㌦吉田
@tkhdfjnm
ドコモ口座、口座って名乗ってはいるけど、銀行口座ではなくて「資金決済法上の資金移動業者」でしかない、ということらしいっすね
2020-09-09 23:18:44
トイプー㌦吉田
@tkhdfjnm
(資金決済法上の資金移動業者として登録の上でやってる事業のはずなので、本人確認が無かったなら不味そうだし、なんらかしてたとしても、そこの不備でドチャクソ怒られるヤツだろうな、と思った)
2020-09-09 23:42:52
ダグラス
@4_douglas2
これだけキャッシュレスに慣れると各残高≒現金だ!くらいに考えちゃうけど、不正とか有事の際に1番守られてるのはやはり預金なのよね... 資金決済法の利用者保護として事業者破綻時の補償はあるけど不正利用はなかったはず
2020-09-09 23:46:32・『(ネットバンキングに迫る脅威は)とっくに周知されていたはずが、いつのまにかなし崩しになっていたようで。』
- 小見出し採用にあたり「周知されたいたはずが」は「周知されていたはずが」と推測し、修正しています。
Hiromitsu Takagi
@HiromitsuTakagi
いや、ですから、氏名は銀行サービス(振込機能)で任意の口座番号で検索できるんですってば。有効な口座番号も同じ方法で特定できる。暗証番号はリバースブルートフォース。 businessinsider.jp/post-219874 「どこかから漏洩した口座番号、キャッシュカードの暗証番号といった一部の情報が悪用され」
2020-09-09 08:29:43
Hiromitsu Takagi
@HiromitsuTakagi
これは昨日、ある銀行から他の銀行へ振込をしようとして、任意の口座番号を入れた場合に、存在しない口座である旨が表示された後、5回ほど口座番号を1ずつ増やして再度行ったところ、「振込先口座確認機能が閉鎖中」となった様子。この閉鎖が何日続くのか。例えば24時間で解除されるとすると… pic.twitter.com/287hntO4M0
2020-09-09 08:44:56
拡大
Hiromitsu Takagi
@HiromitsuTakagi
…24時間で解除されるとすると、1日5個試せるとして1年で1825個試せる。100アカウント同時並行で使えば18万個。有効な口座番号の算出方法が事前にわかっていれば、1年かけて18万人分弱(生きてない口座番号もあるので)の氏名・口座番号の組みを取得できる。そのうち、リバースブルートフォースで…
2020-09-09 08:58:57
Hiromitsu Takagi
@HiromitsuTakagi
…リバースブルートフォースで任意の暗証番号がヒットする確率が3333分の1なので、54個程度が見つかる。ヒット率はもっと高い(日付とか5963、4649とかに絞れば)と考えられ、ざっくり500分の1程度と推定すると、360個程度が見つかる計算になる。こうしたことは何年もかけて進行することが考えられる。
2020-09-09 08:58:58
Hiromitsu Takagi
@HiromitsuTakagi
有効な口座番号の算出方法がわかっている場合、連続して存在する口座への振込を(検索を)行えるだろうから、5回よりもっと多く一度に試せるかもしれない。有効な口座番号のうち存在しない口座の割合が10%だとすると、50人分くらい一度に取得できるのではないか。 twitter.com/HiromitsuTakag…
2020-09-09 09:07:07
Hiromitsu Takagi
@HiromitsuTakagi
古い資料を探したところ、2006年の時点ではこういうのがあった。「振込を行わず…連続して行うと」とあるので、振込を行えば制限なく継続できるということか。今はどうなのか。 pic.twitter.com/CWqzprGDBE
2020-09-09 09:23:27
拡大
Hiromitsu Takagi
@HiromitsuTakagi
これは、2006年に日本銀行金融研究所で開催された主要銀行向け勉強会のプレゼンで使用したスライドから。この頃に問題は周知されたはずだったのだが。 pic.twitter.com/saBlGNmthB
2020-09-09 13:11:16
拡大
拡大
拡大
拡大
Hiromitsu Takagi
@HiromitsuTakagi
さらに遡ること4年、2002年2月28日の日本銀行金融研究所第4回情報セキュリティシンポジウムで講演した際のスライド「インターネットバンキングに迫り来る現実的脅威」から。 web.archive.org/web/2003042118… とっくに周知されたいたはずが、いつのまにかなし崩しになっていたようで。金融庁は何やってるの? pic.twitter.com/vcYnY2KkYJ
2020-09-09 13:17:47
拡大
拡大
・『地銀ネットワークサービス(株)の「Web口振受付サービス」を個人に使わせたdocomoが悪いわぁ』
らきあたしちみ
@amichi_oO
#ドコモ口座 地銀ネットワークサービス(株)の「Web口振受付サービス」を個人に使わせたdocomoが悪いわぁ 地銀ネットワークサービス(株)もよく使わせたな
2020-09-09 13:49:18
Masanori Kusunoki / 楠 正憲
@masanork
ドコモ口座との口座振替を止めた17行のうち15行は地銀ネットワークサービスのWeb口振受付サービス利用行。残る北洋銀行とイオン銀行はどこのネット口振を使ってるんだっけ?口座振替を継続している銀行は通帳記帳最終残高の入力を求めてるのか、他に守る方法があるのかも気になる
2020-09-09 13:16:33
トイプー㌦吉田
@tkhdfjnm
今のところ、地銀ネットワークさんの Web 口振受付サービス経由でやられているところが多いっぽい? 仕組み的には口座情報の認証 (というか本人確認) は、銀行サイドの実装に依る部分が大きそうに見える
2020-09-09 22:35:34
さっぴー川原
@sapi_kawahara
ドコモ口座のサービス終了が見えるが、地銀ネットワークの方も、ちゃんと改善しないと預金者が逃げるよ、今回の件で一番頑張らないといけないのは地銀の方だからね。
2020-09-09 22:18:48
Cheena ②
@cheena_2nd
地銀ネットワークサービスの入力画面、画像認証の入力が必要で(いつから付けられたのか不明)、これでブルートフォースするのは無理がある pic.twitter.com/lLwTfBf7Ea
2020-09-10 00:34:46
拡大
くろうさぎ
@AriaM27sbr
これみて地銀ネットワークサービス?ってなったので調べてみたらまさかのAdobe Flash Player君がお見えで口が塞がらないぞ… chigin-cns.co.jp twitter.com/HiromitsuTakag…
2020-09-09 23:19:14
Hiromitsu Takagi
@HiromitsuTakagi
この指摘が的を射ていると思った。そもそも口座振替って誰にでも振替先となる(自動引き落しさせる)のを認めるものじゃないのでは?公共料金だったりクレジットカードだったり、学会の年会費にも使えたりするが、それなりの組織を介した口座振替依頼書しか受け付けないはず。 twitter.com/amichi0611/sta…
2020-09-09 19:42:54