ドコモ口座事件の会見ツイートまとめ「被害に遭わないためには暗証番号を漏らさないこと」

ドコモ口座の不正利用について、NTTドコモが会見を開きました。事件の詳細が明らかになった一方、「防衛策は暗証番号の保護」という回答など、ドコモ側の認識が甘いのではないかと思われる点も見られました。
170
三上洋 @mikamiyoh

ドコモ会見に来ました。各局勢ぞろい pic.twitter.com/cpJuNfQLnG

2020-09-10 16:13:54
拡大
三上洋 @mikamiyoh

被害者の方にお詫びする。ドコモ口座の本人確認が不十分だったことが原因だと認識している。ドコモ丸山氏 pic.twitter.com/uqkeckXwRq

2020-09-10 16:36:40
拡大
三上洋 @mikamiyoh

犯人が何らかの手段で名前口座番号暗証番号生年月日等を入手しドコモ口座を開設した。その上で銀行口座を登録してチャージ。d払いで不正使用された pic.twitter.com/n7km6byJMk

2020-09-10 16:39:10
拡大
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

今後の対策 ・本人確認(eKYC)今月末まで ・SMS認証、速やかに対応したい #ドコモ口座事件

2020-09-10 16:39:42
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

ドコモ口座に二種類のユーザーがいる。 ドコモ回線契約者の有無。今回の不正利用対象は回線なしの場合 #ドコモ口座事件 pic.twitter.com/BNQ7uXETdP

2020-09-10 16:41:31
拡大
三上洋 @mikamiyoh

66件1800万円の被害。9/10正午現在。被害は全額ドコモが補償する pic.twitter.com/BsPqKDPZ9Y

2020-09-10 16:41:33
拡大
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

ドコモは、“ドコモ口座なし”の場合の本人確認が十分ではなかった、という認識。 対策後はSMSによる2段階認証、eKYCによる本人確認を行なう。 #ドコモ口座事件

2020-09-10 16:42:32

質疑応答

小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)そもそも電話番号紐付けがあれば避けれた部分もあるのでは。事業拡大を急いだのか? A)多くのサービスをdアカウントの会員基盤で提供していく戦略だった。今から考えれば不十分だった。d払いやドコモ口座に限った話ではない。 #ドコモ口座事件

2020-09-10 16:47:11
三上洋 @mikamiyoh

Q dアカウントの拡大を優先したのか?昨年5月のりそな銀行のときに対策強化しなかったのか? A ドコモ以外のお客様に使ってもらう方針。そのためメールのみの簡易な手段をとった。今考えれば不十分だった。銀行との連携当初は名義も確認していなかった。その後に名義確認をした。

2020-09-10 16:48:40
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)なぜりそな銀の事件のときから対策がとれなかったのか。 A)りそな銀との昨年の事件は事実。当初は回線契約者向けのサービスだったので「本人確認ができている」という認識だった。事件後、名義の一致フローも取り入れるなど対応していた。 #ドコモ口座事件

2020-09-10 16:50:39
三上洋 @mikamiyoh

りそな銀行の昨年5月の不正利用は事実。不正利用されたので口座名義と回線名義が同一だということを確認するようになった。今回のトラブルは回線契約がないお客様での問題

2020-09-10 16:51:23
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)ドコモ口座は2019年10月にキャリアフリー化してしまったことは、“緩めた”ということ? A)我々の認識が甘かった。本人制確認が甘い状態でサービスを提供していた。非ドコモユーザーに対して気軽に使って欲しいという方針だったが、金融分野については今後放任確認を厳重に行なう。 #ドコモ口座事件

2020-09-10 16:53:02
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)NTTデータのWeb振替サービスをFinTechに繋げたことが問題ではなかったか? A)意見は承知している。各銀行がそれぞれの事情に応じて決めているので、コメントは差し控える。 #ドコモ口座事件

2020-09-10 16:54:13
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)攻撃方法について見解は? A)銀行側から共有を受けていない。 #ドコモ口座事件

2020-09-10 16:54:40
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)この攻撃はほかのサービスでも起こりうるか? A)一般論としてセキュリティーに絶対はない。他社のことは正確にコメントできない。 #ドコモ口座事件

2020-09-10 16:59:06
三上洋 @mikamiyoh

Q ドコモだけの責任であるのか?補償について A ドコモに問題があった。今後は業界全体でセキュリティを上げていきたい。全額補償する。

2020-09-10 16:59:09
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)金融機関の本人確認フローが甘かったという指摘もある。ドコモとして銀行側の本人確認方法はチェックしていたか? A)銀行側の考えがある。明らかに問題がなければ、基本的に銀行の仕様にしたがっていた。 #ドコモ口座事件

2020-09-10 17:01:19
三上洋 @mikamiyoh

Q 金融機関での口座振替の本人確認方法はチェックしていなかったのか? A 銀行のセキュリティ、仕様がある。銀行側に任せている。

2020-09-10 17:01:37
三上洋 @mikamiyoh

本人確認が甘い状態で始めたことはドコモの問題であった。キャリアフリーの戦略は今のところかえるつもりはない。

2020-09-10 17:03:25
ROCA #COCOAボランティアデバッグ @rocaz

銀行側含めた全体としてのセキュリティ面での検証してない、ドコモ側しか見てないって白状しちゃいましたね

2020-09-10 17:03:48
ROCA #COCOAボランティアデバッグ @rocaz

副社長「セキュリティ的に厳密にしないといけない点とそうでなくてもいい点は分けていきたい」 駄目だ!

2020-09-10 17:05:17
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)キャリアフリー化したとき、どうして甘いまま始めてしまったか。 A)深く反省している。全体の戦略はキャリアフリー。サービスの種類によって使い分けるべきというのが現在の認識。キャリアフリー化施策の方針に変更はない。ただし、セキュリティーの強度はサービス毎に使い分ける #ドコモ口座事件

2020-09-10 17:03:34
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)被害を受けている銀行口座の数は?これからも増える? A)可能性はないと言えない。被害の実態は、銀行側からの情報に基づいている。今は10行。 #ドコモ口座事件

2020-09-10 17:05:45
小林優多郎(ゆうこば)@BI Tech @KobayashiYutaro

Q)いつまでに金融庁に報告するか。 A)事実関係、発生原因、顧客対応などの報告を求められている。具体的には、昨日に金融庁から話があった。来週木曜が期限。 #ドコモ口座事件

2020-09-10 17:06:46
残りを読む(52)

コメント

肉=ローステッド @Roasted_Meat102 2020年9月11日
気付かないと補償されないんだから、各銀行が確認して顧客に案内しなきゃ明るみに出ない被害とかかなりありそう
103
蠢犇 @ugmkhsmk 2020年9月11日
リバースブルートフォースアタックという認識が無いのかな……
48
3Dポーズ集 @3dpose 2020年9月11日
「暗証番号などの必要な情報を他に漏らさないことが1番重要」漏れてなくてもこの手の犯行は可能な訳ですが……。
181
ニラキア @nirakia 2020年9月11日
リバースブルートフォースがよく話題にあがるけど 実際にその手口が使われたかどうかは不明だからね
43
Yeme @yer_meme 2020年9月11日
Roasted_Meat102 銀行側でも確認しようがないっスからねー……口座番号と暗証番号は正しい訳っスから。 正規のチャージかそうでないかを見分けるのはかなり困難だと思うっス。ドコモ側のログと銀行側のログと顧客情報を突き合わせても……うーん、難しい気がするつスね……
36
ろんどん @lawtomol 2020年9月11日
リバースブルートフォースが今回の件に使われたかどうかはともかく、それを防げない仕様なのは事実なの?
28
新こけだぬき @mossraccoon 2020年9月11日
漏洩しなくても、暗証番号に分かりやすい語呂合わせを使ってればリバースブルートフォースに狙われやすいポンよね。
3
竹永@2 @takenaga51 2020年9月11日
Roasted_Meat102 銀行側から確認する対応にしちゃうと、銀行を装った振り込め詐欺が横行する可能性がある
23
k@R-GLAY1 @KRGLAY 2020年9月11日
ドコモ口座解約したら新規扱いにならないのかな
0
ポン酢太郎 @ponzoo2you 2020年9月11日
知り合いの誰かの誕生日、みたいなのに設定しとくと本来1万種類あるはずの暗証番号が365通りまで減るから思い当たる人は変えといた方がいいかも。っていうかもう4桁数字のみとかいうザルセキュリティ止めよう?
45
Moo1courage @moo1courage 2020年9月11日
全額返金とか調子のいいこと言ってるけど被害者も被害を簡単には証明できないよね
4
K.Yanagisawa @K_Yana47 2020年9月11日
"口座番号+暗証番号"と言うセキュリティーはドコモの責任なのか? 銀行側には全く責任はないのか?
16
うてん。 @uten00 2020年9月11日
「使ってる客いるからサービス止めない」は7payでも見たわって思ったら即座につっこまれてたわ
55
金目の煮付 @kinmenitsuke 2020年9月11日
ドコモには説明責任や被害救済のための情報提供をする義務はあると思いますが、賠償の責任はどこから生まれるのでしょう?あくまでも銀行からの出金を許したのは銀行側の責任ですよね。「相手がドコモさんだったんで~」なんてのが通用するのですか?金融の世界では。
4
UZIRO @UZIRO 2020年9月11日
無限にアカウント作れた時点で無限に暗証番号アタックできるんで意味ないよねこれ。
79
金目の煮付 @kinmenitsuke 2020年9月11日
lawtomol 検知して確率を下げることは可能だと思いますが、100%防ぐのは相当難しいですね。だからこそ多要素認証みたいなのが必要なわけで。
3
hiro_EXIGE @HiroExige 2020年9月11日
悪意を想定しないセキュリティなんて意味があるのか?
102
showRR @showRR 2020年9月11日
dアカウントは信用できないサービスであり、そこに簡易な認証で繋いだのは銀行の責任。そもそも信用できないサービスを展開しているドコモは問題外で有罪。
27
うてん。 @uten00 2020年9月11日
何よりもまず被害にあった地銀と話し合えよ……そこが連携取れてないから核心の部分がぼやけてんじゃん。
9
ののちゃ @nono_trebo 2020年9月11日
なんでいつも事案に詳しくない人が記者会見出るの7ペイしかり
49
週末の肋骨 @ribsleftrurs 2020年9月11日
lawtomol 今回のように対象が大量にあった場合はブルートフォース攻撃自体を防ぐのは無理。暗証番号の桁を増やすことで単純に「破られるまでの時間稼ぎ」と「破られる対象の数を減らす」ことしかできない。
33
クリームソーダ飲みたい @aux71011634 2020年9月11日
被害者が暗証番号もらしたわけではないだろうに、漏らさないよう気をつけろは対策として無意味すぎる
123
お空キレイキレイ @747_bold 2020年9月11日
やっぱり時代は多要素認証よ 4桁の暗証番号と通帳だけでお金おろせてたのがそもそもおかしいわ
0
金目の煮付 @kinmenitsuke 2020年9月11日
HiroExige そのセキュリティを担保するのが銀行側の役割なのでは?
4
週末の肋骨 @ribsleftrurs 2020年9月11日
747_bold あの…それが多要素認証ですよ… 通帳だけでも暗証番号だけでもおろせないでしょ。
116
やましたひとし @hiandlow73 2020年9月11日
みんな、ドコモ嫌いなんだな。
5
しわ(師走くらげ)@寝貯めしたい @shiwasu_hrpy 2020年9月11日
最ももにょるのは、セキュリティの穴放置してたのドコモのくせに現時点で「地銀が全額補償する」っておかしい話だと思うんだよな。返金補償すべきはドコモだろうと。 それとも地銀が立て替えて、その被害分をドコモに一括請求する様に話つけたのかしら。https://twitter.com/ymnykatsura/status/1303998135576834049?s=20
29
saizenor @saizenor 2020年9月11日
会見内容読めば読む程、「殿様商売」「他人事な上に他人のせい前提の被害者面」「無知である事すら解ってない」のフルコンボだから笑えねぇよ
65
SAKURA87@多摩丁督 @Sakura87_net 2020年9月11日
今回の件は仕様上、口座番号と暗証番号どちらも判明していなくても例えば当日の日付4桁+ランダムな口座番号を総当たりしていけば不正利用出来てしまうと言うのが最大の問題だって分かってないんかな。天下のドコモ様なのに。
1
zoh @Neutrino_shower 2020年9月11日
これさ、場合によっては本人がまっとうに開設したドコモ口座で使った金でも、「勝手に口座作られた金抜かれた返金しろ」が通っちゃう可能性が…
10
金目の煮付 @kinmenitsuke 2020年9月11日
shiwasu_hrpy え、なんでドコモが悪いことになってるんですか?
13
キケリキー @KIKERIKI17 2020年9月11日
今回の世間の反応からするに、企業間の信頼を前提としたNTTの「ネット口振受付GWサービス」に、回線縛りすらしてない一般向けの穴をあけたドコモがギルティって感じなのかね。本来、収納企業の事務方が利用することを想定していた?なんか、もやっとするんだよね。
28
キケリキー @KIKERIKI17 2020年9月11日
KIKERIKI17 ちなみにゆうちょ銀が、個人の口座を収納企業向けに開ける「Web受付方式」はこんな感じ「ゆうちょ銀行では、利用者が正当権利者であることを、利用者の生年月日とキャッシュカードの暗証番号で確認します。」人によって思うことは違うと思うが、もっとなんかあるだろうって思ってしまうんだよね。
8
金目の煮付 @kinmenitsuke 2020年9月11日
KIKERIKI17 地銀ネットワークの方は「本人確認情報提供サービス」ってのを展開してますから、そういった使い方も想定しているわけで、「企業間の信頼を前提とする」云々は言い訳にならないと思いますよ。
4
マシン語P @mashingoP 2020年9月11日
やり方次第ではテロ組織や経済制裁中の北朝鮮へ送金も出来るんだけど、どうもそういった危機感を感じられない。
2
Earwax @Earwax97409510 2020年9月11日
shiwasu_hrpy kinmenitsuke セキュリティの穴を放置してたのは銀行側。ドコモの責任は「セキュリティなんてザルでOKですから銀行の皆さん提携しましょう!」と節操なく展開した事。
42
UZIRO @UZIRO 2020年9月11日
銀行側のセキュリティが甘いのは銀行の責任。ただ回線契約者限定からフリーメール匿名OKにしてサービスのセキュリティを態々低下させたのはドコモ。 前見た「セキュリティが甘いのは銀行だがそれを狙えるクラックツールを用意したのはドコモ」てのがわかり易い。
115
ほろ酔い気分 @pokpoku111 2020年9月11日
金融庁「ファイトまんまんよっ!!」
0
夢浦忍 @Y_SINOBU 2020年9月11日
ドコモ口座は銀行口座との連携がなくても、クレジットカードやコンビニなどでチャージする方法もあるから、キャッシュレス決済として使うならそれで十分だと思う
1
とろろ @ein18790314 2020年9月11日
mashingoP 犯罪者集団が国家ぐるみでマネロンした、あたりになると相当やばいけど、被害額がまだわからんしなー。精査してみたら億単位で抜かれて北あたりの関与が、とかになってきたら国際問題だし。 そもそも記帳を頻繁にやってて情報持ってる人が申し立てた額の集計レベルだと思うのだが、ジジババあたりの気がついてない案件とか結構ありそうで怖い。地銀でわかりやすい暗証番号の人多そうだし。
0
xi @accountLINKonly 2020年9月11日
UZIRO ここんとこズレて認識されてる主要因がドコモ口座というネーミングな辺りdocomoさんだよね docomoってだけで叩きたいだけのやつがいるのも大きいんだけどさ
8
他人 @Messiah_Justo 2020年9月11日
超ヤバイ!急いで全財産の3000円を引き下ろして来たわ!
1
[30]Kirara@ありがサンキューツアーズ @Kirara1314 2020年9月11日
今利用がある13000件全部不正利用の可能性があるとは考えないのか? 既報で被害ありとされた銀行が預金流出で経営危機に陥る可能性があるがそうなったらドコモはどう責任取るんだ? 無責任すぎる……
29
茨 二科 @ibaranika 2020年9月11日
こんだけの穴があっても1000万しか抜けてない時点で、正解は決まってるようなもんだけどなあ。普通にクラックとかで口座番号を入手してたら数万件とかの被害になるだろうし、1000万じゃ済まないでしょ…
14
でき🌂 @dekijp 2020年9月11日
これ、銀行口座を持っているが自分ではドコモ口座を開設していない場合、自分の口座がドコモ口座にひもづけられているか否か調べる手段はありますか?
3
でき🌂 @dekijp 2020年9月11日
つまり、現時点では被害にあっていないけれど、実は紐付けられていて、後で引き出される可能性もあります。
36
金目の煮付 @kinmenitsuke 2020年9月11日
Earwax97409510 「ささ、あなたの家のお金を出して!」って人が外から来たら言われるままにお金を出すのですか?まず鍵を閉めて我が家の基準で正当性を確認するのが正しい対応なのでは。
1
金目の煮付 @kinmenitsuke 2020年9月11日
mashingoP 月額30万しか動かせないのですから、アカウント作りまくるにしても非常に効率が悪いのでは…。
5
UZIRO @UZIRO 2020年9月11日
dekijp ゆうちょ銀行は通帳持って窓口行けば分かるらしい。他の銀行はどうだろ。
5
金目の煮付 @kinmenitsuke 2020年9月11日
UZIRO そもそも、なぜドコモが本人確認する必要があるのでしょうか?
6
xi @accountLINKonly 2020年9月11日
dekijp 無理でしょうね、あなたの家の合鍵を持ってる人が世界に何人いるか本当にわかってますか?みたいなもんだし
4
でき🌂 @dekijp 2020年9月11日
kinmenitsuke ドコモが金融機関として、誰がカネを使ったか追跡する必要があるからです。銀行はその金融機関を信用して送金先にした話。銀行はドコモを信用するのは駄目だったのか?という話になります。
31
でき🌂 @dekijp 2020年9月11日
kinmenitsuke 毎回毎回手動で引き出していたのならば確かに効率悪いのでしょうけれど、今回自動化して1800万円引き出されたという話ですよね?
15
じゅんじゅん @Object501 2020年9月11日
ドコモ役員が最大のセキュリティホールだった…
40
UZIRO @UZIRO 2020年9月11日
ドコモ口座の仕様変更(回線紐付けからフリーメール匿名OKに)を金融庁に報告したかどうか記者に問われて、言葉詰まってんのがやべえよ会見。マジで上層部がセキュリティホール。
38
カズマサみんC @mskazumin 2020年9月11日
ドコモも一部銀行もガバガバとなるともう日本社会のビジネスマンの大半がガバガバってイメージになっちまうな。偏見だけど。
5
IN @cccooonnn03 2020年9月11日
この口座番号と名前をどっから引っ張ってきたのやら、給付金に使った書類の漏洩か?
3
でき🌂 @dekijp 2020年9月11日
今回、コンビニのコピー機に仕掛けられてたら給付金の影響で大量の口座番号取れるなーとは思った。
6
tohtetsu @tohtetsu 2020年9月11日
PayPayんときにも、最初社長が同じようなこと言ってたなー。会社つぶれたけど。
5
tomtia_tw @tomtia_tw 2020年9月11日
cccooonnn03 口座番号がわかれば名義人の名前は誰でも調べることができるので、銀行ごとの口座番号生成ロジックさえわかればいいんじゃないかな。さすがに単純な連番ではないとは思うけど、口座番号が有効な番号かどうかを調べるのもそれほど難しくはないと思いますよ。
24
金目の煮付 @kinmenitsuke 2020年9月11日
dekijp それは「金融機関等による顧客等の本人確認等に関する法律」のことでしょうか?ちなみにこの法律の目的はご存知ですか?
4
金目の煮付 @kinmenitsuke 2020年9月11日
dekijp それ、今回の被害の話でしょ。私が言っているのは「マネロンやテロ資金の移動に使うには限度額が低い(手間がかかりすぎる)ですよ。」という話。
10
金目の煮付 @kinmenitsuke 2020年9月11日
そもそも、ドコモの本人確認手段として「銀行口座との紐付け」を掲げていて、それを第三者機関が認めていたわけですよね。それによって、「金融機関等による顧客等の本人確認等に関する法律」の要件は満たしていることになりますよね。その上で、ドコモが責められるのはどの点なのでしょう?
16
キケリキー @KIKERIKI17 2020年9月11日
ドコモ口座は単なる財布(収納企業)だと思うんだけど、違うんかね?これ紙に銀行印を捺印するケースの場合、スポーツジム(収納企業)からの本人申請でもきちんと本人確認されるのに(過去に蹴られた経験あり)、デジタルになると誰も確認に絡まず「暗証番号ヨシ」で自動化されて口座振替できちゃうの、怖いよね。クレカで言うところの「3Dセキュア」が必要だと思うんだ。
15
週末の肋骨 @ribsleftrurs 2020年9月11日
どういう理屈でドコモ庇ってんのか知らんけど、サービス構築している以上は前提になるクローズド&回線紐付け型だったDアカウントを開放した時点でセキュリティ上問題があることを認証すべきだし、それを銀行側に打診するのは善管注意義務として存在すると思うけどね。 むしろなんでドコモに責任がないと思ってるのかの方が不思議。
52
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs 私の場合は庇ってるというよりは「なんでドコモが責められてるの?」ってわからないだけです。どちらかというとドコモも被害者じゃないの?とすら思うわけで。もちろん、サービス提供者としての説明責任はありますよ。
11
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs 【前提になるクローズド&回線紐付け型だったDアカウント】←これは公式見解なのでしょうか?周りが勝手にそう解釈しているだけなのでは?【開放した時点でセキュリティ上問題がある】←すごく抽象的ですが、具体的に何が問題なのでしょうか?
8
ろくじゅう @11rokujuad 2020年9月11日
本人認証に係る法律・システム上の責任というより、自前でオンラインシステム構築してないような地銀にセキュリティ上の問題が発生することを、仕様協議段階・契約段階・テスト段階でまったく気づけなかったことがドコモ側の(共同の)責任になるのでしょう。テスト段階で気づいたけど銀行側の認証システムもいじれないし契約破棄というわけにもいかなかったから…とかはあるだろうけど。
7
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke わかってるじゃないですか。 Dアカウントのサービス提供形態変えた時点で説明責任を果たさなかったから、ですよ。
47
金目の煮付 @kinmenitsuke 2020年9月11日
11rokujuad その観点なら、ドコモの非というのもわかります。ただ、地銀ネットワーク側は、「本人確認情報提供サービス」も提供していて、さらには「本人確認は銀行口座の紐付け」という設計なんですよね。銀行口座の紐付けによる本人確認手法自体は間違ってないですし、地銀ネット側から「使い方が間違えている」という進言のない限りは設計として採用することはここまで責められることでもないと思うんですよ。せいぜい「ドコモ【も】わるいよね」程度だと思うのです。
11
キケリキー @KIKERIKI17 2020年9月11日
11rokujuad 多くの地銀は、多分「地銀ネットワークサービス」というその道のプロを利用してると思うんですよ。 今回の受付サービスも結構わかりやすい図解がされてます。「https://www.chigin-cns.co.jp/services/web_service/index.php
4
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs (サービス形態を変えたという前提の根拠が曖昧ですがまあそれは百歩譲るとして)それは既存ユーザに対してだけですよね。その説明責任は。私はそんな小さな話をしていませんので悪しからず。
5
Tsuyoshi CHO @tsuyoshi_cho 2020年9月11日
まあ、ドコモにも問題は相応にあるとして、それとは別でこの事件から教訓を得るとすると(まあこれは悪く取りすぎかもだけど)「銀行でのweb口座振替受付サービスの本人確認結果レスポンスは信用できないので、まずeKYC/SMSで確認」という面があるので、問題が起きた銀行の通信レスポンスは信用しない=取引対象にしないほうが...みたいな(いやまあ実際の金銭トランザクションは嘘いってこないと思うが)
0
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke ドコモ口座をキャリアフリーにした→ウェブ口座振替受付サービスの仕様上、口座番号と暗証番号だけで口座紐付けができる状態になってしまった=前段であるドコモ口座の本人確認が甘かった、は当のドコモも認めてますよ。 この分野に詳しくないのであれば、せめてもの前提知識として↓くらいは頭に入れて整理できてからコメントした方がいいと思います。 https://togetter.com/li/1589547
41
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke え……? もしかしてドコモ口座がドコモの回線契約者のみ提供からキャリアフリーになった前提理解しないで話してたんですか?
45
回れるように急ぐ @EBISU_DOU 2020年9月11日
現状ではリバースブルートフォースではないと言っている が 皆の言う通りリバースブルートフォースでも通る穴はある状態 テコトカナ
0
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs 出してくるソースがネットの推測のまとめってあなた、大丈夫ですか?私はドコモの公式見解ですか?と聞いています。で、最初の「ドコモが本人確認する必要ってなんであるの?」に戻るわけです。
12
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs そんなことは百も承知、それがドコモの公式見解ではなく、ネット上の推測であることも承知しています。「だからなに?」と聞いているのです。
2
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke 私はソースじゃなくて会話に必要な前提知識を提供したつもりなんですが、日本語読めない人なんですか? 前提知識ない人にソース提供したところで無意味なんだからまず前提知識身につけてから出直してきた方がいいですよ、と言ってます。
35
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
これ、最初は、ドコモ回線を持ってるってことで利用者の身分保障が冴えてたんだよね、多分。不正があっても回線に紐付いた個人を特定できるから、そこでセキュリティの担保がされてるってことで銀行もOKを出してたんじゃないかな。
15
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs じゃ、ソースを携えて出直してください。
7
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke https://www.google.com/amp/s/japan.cnet.com/amp/article/35159434/ ドコモ送金サービスから始まった一連のサービスが「途中でキャリアフリーになったこと」は事実でしょ。 そもそもサービス提供形態が変わった話に対して「見解」って何?日本語おかしいけど話理解してます?
43
金目の煮付 @kinmenitsuke 2020年9月11日
dokuman3 その可能性は非常に高いとは思うんですが、その根拠たる情報って出ていないと思っていて、その段階でドコモが悪いと責めるのは筋が悪いと思うんですよ。推測に推測を乗せて糾弾するのって、危ないと思いません?
3
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs はいはい、事実は事実ですよ。で、それがなにか?ドコモの技術者が「そんなこと考えてませんでした~」って言ってました?ソースよろしくお願いします。
7
若葉 @byaaashi 2020年9月11日
無限に暗証番号アタックできる時点でダメだよね 何回か間違うと本人に通知がいくようになってるならそれも通るがね
3
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
kinmenitsuke ごめん、なんの根拠?「最初は、ドコモ回線専用だったが、後から変わった」ことの根拠?
9
金目の煮付 @kinmenitsuke 2020年9月11日
dokuman3 「後から変わったが、それがセキュリティホールになることに気づけなかった、または気づいていたが放置した」ことの根拠です。
4
tohtetsu @tohtetsu 2020年9月11日
tohtetsu PayPayじゃないや。7Payだった。ごめん>PayPay
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
byaaashi 本当に暗証番号固定で銀行の口座番号を切り替えてアタックされてたら「何回か間違うと本人に通知」も無理なんですよね。一つの口座には一回しかアタックされないので。
9
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke 大前提の確認なんですけど、善管注意義務って知ってます?
37
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs 質問の意図がわかりません。銀行口座の紐付けによる本人確認自体は不正な方法ではないので、「ドコモ送金サービスから始まった一連のサービスが「途中でキャリアフリーになった」かどうかに関わらず、手段としては正当と考えています。
9
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
暗証番号を固定する必要すらないな。ランダム4桁の数字で複数の口座番号に当てていけば、やっぱり期待値1000件ほどでヒットするわけで。検知は、時間あたりの暗証番号エラーが多かったら警報出すぐらい?
4
週末の肋骨 @ribsleftrurs 2020年9月11日
あー、気付かなかったから悪くない!って言ってたのか。 ドコモの人が記者会見で「本人確認が甘かった」って認めてるのに何が彼を駆り立てるのかよくわからんな。
49
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
自分の考えとしては、口座+暗証番号でOKとするのは提携先がセキュリティの担保をしている前提だと思っているので、銀行側が担保できてるかどうか確認してなかったなら銀行の問題。最初はしてたけど、後の変更をドコモが勝手にやったならドコモの問題。かなぁ。外部から原因を特定できるほど情報無いでしょ、今は。
16
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs だから、ドコモの謝罪会見は本意ではないんだろうなと思って、「そもそもドコモの非は何なんですか?」と上で書き込みました。「あいつが謝ってんだからあいつが悪いんじゃん」と子供の喧嘩の話をしているわけではありません。
9
どんちゃん @Donbe 2020年9月11日
今回発覚しただけでこれだからね。 もしかしたらもっとハッカー界隈では前から使われてて、バレないように対象口座も絞り小銭稼ぎみたいに吸い出してたのを、 今回盗み出した奴がバカであまりに大胆にやったもんだからバレたというのかもしれない。
1
でき🌂 @dekijp 2020年9月11日
dokuman3 銀行からドコモへの送金は、下手したら公共料金としての振り込みとしていた可能性がある。
2
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke その「子供の喧嘩」レベルの話にソースを求めるのであれば、本意でないとするドコモ担当者の発言をソースとして提示してください。 アホらしいんで『その話』は今後無視しますが。
49
キケリキー @KIKERIKI17 2020年9月11日
ペイペイなんかは【一部銀行の「Web口振受付サービス」では、口座番号と暗証番号など比較的入手しやすい情報で登録が可能になっており、そうした点に独自に対策を取っている。】らしいね。ここまで収納企業側が気を使わないと安全に使えないサービスなのに、登録すると口座の金を好きにできることは、もっと問題になるべきよね。今回いい機会だし。
2
jpnemp @jpnemp 2020年9月11日
dekijp 電気ガス水道電話料金のシステムをそのまま使ってたって感じですね。これらなら個人(世帯)は特定されるし、用途も固定だから不正アクセスするうまみもなく誰もやらない。
1
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs 「あなたが求める子供の喧嘩の話ではない」と申し上げたのですが、日本語は読める方でしょうか?
10
週末の肋骨 @ribsleftrurs 2020年9月11日
[c8200833] いいねの数は何の正当性も担保しませんよ。 そんなことよりドコモ口座からのアクセスで口座番号と暗証番号という単要素認証でアクセスできてしまう状態が不味いこと、それは詳しく調べなくてもわかる程度のものであること、Dアカウントのサービス提供形態変更で発生したことを理解してもらえないですかね。 あまり期待はしていませんが。
42
週末の肋骨 @ribsleftrurs 2020年9月11日
おや、いいね数を揶揄したコメント消したんですね。 英断です。
31
saku @sakuuuuuuune 2020年9月11日
しかしこれ、騒ぎすぎると取り付け騒ぎになるだろうから報道も慎重だね
4
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs 【アクセスで口座番号と暗証番号という単要素認証でアクセスできてしまう状態が不味いこと】←これは銀行側のセキュリティ要件です。【Dアカウントのサービス提供形態変更で発生したこと】←何度も申し上げている通り、それは周囲の推測にすぎない段階です。ソースをお持ちください。
8
K80 @K8094597344 2020年9月11日
「キャッシュカードと4桁の暗証番号」は十分なセキュリティだよ。 キャッシュカード(物理)に対して暗証番号の試行は数回で打ち切られる。 リバースブルートフォースするなら、他人のキャッシュカードが何十万枚と必要になるから現実的でない。 ドコモ口座も、回線と1対1だった時代は十分にセキュアだったけど、 メールアドレスさえあればいくらでも開設できるようになってセキュリティのレベルが下がった。 他人のキャッシュカードが無尽蔵に用意できる状況になったようなもん。
32
[30]Kirara@ありがサンキューツアーズ @Kirara1314 2020年9月11日
sakuuuuuuune 取り付け騒ぎになるのが早いか、銀行側が取引停止にするのが早いか、ドコモが自分からサービス停止するのが早いか、監督官庁から停止命令が出るのが早いか……… ドコモ側に事の重大さが何一つ理解されてないですねこれ
10
やましたひとし @hiandlow73 2020年9月11日
ドコモが会見で言ったのは、要するに銀行口座の紐付けでは本人確認として不十分だったってことなんでしょ。途中でドコモユーザからドコモユーザ以外に広げたとかあまり関係なくない?
6
showRR @showRR 2020年9月11日
kinmenitsuke サービス変更が何時かに関わらず、昨日までメルアドオンリーで擬似銀行口座を作成し放題だったことが事実で、それが大問題なの。
10
瑞樹 @mizuki_windlow 2020年9月11日
今回は対象金融機関に口座を持ってる人、特にあまり使ってなかったり「空っぽになってるからいいや」でほったらかしてるような口座を持ってる人は早急に記帳か残高照会をやって、変な引き落としがないかを調べておかなきゃいけないって事だね。ドコモ口座を持っていようが居まいが、ドコモのスマホを使っていようがいまいが、まったく関係なしで。
2
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke【銀行側のセキュリティ要件です】←銀行とドコモの契約内容や分担をご存知なんですね。ソースをお持ちください。 【周囲の推測に過ぎない】←昔はDアカと回線情報は紐付いてた=身元確認済み。で、開設条件が2SVのキャリアフリー状態へ変更。 この時点で身元確認ができないDアカウントが大量に作成できるようになった。 ドコモ担当者が「(ウェブ口振接続サービスに紐付けられるDアカウント開設時の)本人確認が甘かった」と認めてる=ソース提示の必要なし。
35
むつこ @mutsuko_themoon 2020年9月11日
dekijp ゆうちょは通帳と免許証とかの本人確認書類があれば窓口で確認できるそうです
4
週末の肋骨 @ribsleftrurs 2020年9月11日
ribsleftrurs ×:ウェブ口振「接続」サービス ◯:ウェブ口振「受付」サービス
13
金目の煮付 @kinmenitsuke 2020年9月11日
showRR なぜそれが問題なのですか?具体的に何が想定されますか?
1
八剣 @yatsurugi_ 2020年9月11日
さっさとサービス停止してじっくり対応するのが最適解なのに利用者が1万人いるとか訳わからん言い訳してるのがクソ
34
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke K8094597344 直近で書いてあることくらい読んでから書き込め。他人はおまえのための無料家庭教師ではない。
32
ディー @DDcmdd 2020年9月11日
半年前にも同じようなことがあったのを「チャージの上限額引き下げ」でしか対応してなかった辺りとか普通にドコモの拙さはあると思うな……半年前の時点でならまあ「りそなが甘い」も通ったかもだが
0
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs 【銀行とドコモの契約内容や分担をご存知なんですね。ソースをお持ちください。】www.itmedia.co.jp/news/spv/2009/09/news048.html「『Web口振受付サービス』を使ってドコモ口座と連携していた」地銀ネットのAPIは公知情報です。【「本人確認が甘かった」と認めてる】←それは「本人確認が甘かった」ことしか認めていません。
9
茨 二科 @ibaranika 2020年9月11日
yatsurugi_ 振込遅延金とかが発生したときの処理が面倒くさいからでしょう。遅れると利息が発生するので。金額的にはたいしたことがないけどマイナス利息がついたり、取り消ししたりの作業を各金融機関に丸投げするしかなく、金額以上の貸しになりますからねえ
7
showRR @showRR 2020年9月11日
kinmenitsuke なぜ銀行口座開設に本人確認が必要かを考えれば自明じゃないですかね…自明じゃないと思うならもういいです
11
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke 【地銀ネットのAPIは公知情報です】公知情報って「秘密保持契約が結ばれた時点で、すでに広く公に知られている情報」のことですけどそれがどういった理屈で論拠足り得るのか説明できてないですよ。 【本人確認が甘かったことしか認めていない】←上記同様意味不明です。だから何なんですか?エスパーじゃないんであなたのあなたの中にしかない理屈は検知できないんですよ。
25
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
銀行側ができるのは、過去にドコモ口座と問引きがあった人に確認の手紙を出すぐらいだよなぁ。それが正しい取引なのか不正な取引なのあ判断できん、
5
金目の煮付 @kinmenitsuke 2020年9月11日
showRR もう少しちゃんと書くと「金融機関等による顧客等の本人確認等に関する法律」と「犯罪による収益の移転防止に関する法律」です。
5
yuki🌾㊗️5さい🎉⚔ @yuki_obana 2020年9月11日
RBFAの知識がないとしたら改善のしようがないのでとりあえず銀行ごと切り捨てる以外の道がないだろ…(´・ω・`)せめて銀行は早急に認証システムまともにしないとって認識持ってくれ…
1
金目の煮付 @kinmenitsuke 2020年9月11日
ribsleftrurs 【公知情報って「秘密保持契約が結ばれた時点で、すでに広く公に知られている情報」のことですけど】←違います。
2
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke 他人から突っ込まれるのが嫌なのであれば公共の場での書き込み辞めたら如何ですか。今後も指摘し続けるので気を抜かずに頑張りましょう。
31
週末の肋骨 @ribsleftrurs 2020年9月11日
いいね付き過ぎるとまた揶揄されちゃう〜怖い〜
32
キケリキー @KIKERIKI17 2020年9月11日
ちなみに、キャリアフリー化したのは「2019年9月26日」で、りそなのトラブルは「去年5月」なんで、回線縛りがあろうが問題は内包されていたのだ。えっ?5月にトラブったのに、9月で拡大ってバカなの?まぁ、そうね…
31
週末の肋骨 @ribsleftrurs 2020年9月11日
kinmenitsuke ちなみに『「秘密保持契約の期間中」に「開示者または第三者から」公開された情報』は「公開情報」で公知情報と間違えやすいから注意してね☆
20
K80 @K8094597344 2020年9月11日
今回の攻撃がリバースブルートフォースかどうかは証拠がない。 キャリアフリー化以前から類似の事件はあった。決めつけて論ずることの危険性は意識しなければいけない。
9
saizenor @saizenor 2020年9月11日
kinmenitsuke 具体的にどう違って、正しくはどうなのか説明よろ
10
[30]Kirara@ありがサンキューツアーズ @Kirara1314 2020年9月11日
ibaranika つまり目先の少額の損失を恐れてんのか。放置したらドコモすら飛びかねないレベルの金融事故が発生しかねないってのに随分悠長なことしてんなぁ。
22
vandalise @vandalise7 2020年9月11日
口座番号+4桁の暗証番号が何の認証機能も提供していない事をもっと周知した方がいい。 あれは手元にカードがあることが前提の認証方法。
4
vandalise @vandalise7 2020年9月11日
今後はシステム間の境界を跨いだペネトレ試験の需要が増えそうですね。
1
X178 @GFX178 2020年9月11日
所詮一万通りの暗証番号過信しすぎ かといって、今更桁増やされても面倒くさいが……
0
TOPNEP @nepnofan 2020年9月11日
3dpose しかも不特定多数が可能な犯罪だったんだわ 下手に対策する前に周知するといたずらで真似るようなのがすぐ出るくらいに
1
🌕ひと ✧ @hitosi_00 2020年9月11日
相手の答えを否定するだけじゃ、お前の答えにはならんのじゃー
2
syukusyukusyuku @syukusyukusyuk1 2020年9月11日
『ドコモに非がない』ではなく『ドコモより銀行の方が責任が重いのにドコモに責任の焦点が合わさってるのは理不尽さがあるし真の責任者への責任追及が出来てない』って最初はマトモな話だったのに、いきなり『ドコモに責任がないと思ってる』とかレッテル張りする寿司が現れるわ、本気で『ドコモ無罪論』を提唱する人が現れるわで話がおかしくなってる…
26
アリア @ariatogetter 2020年9月11日
これで一番腹立つのがクソみたいなお辞儀の「角度」
0
syukusyukusyuku @syukusyukusyuk1 2020年9月11日
hiandlow73 二人だと思うわ…ドコモにも間違いなく非があるが責任はどう考えても銀行の方が重い。良くてイーブン。 ドコモを変に擁護してる奴もアレだが、最終的に『銀行のセキュリティの問題』なのは間違いない。よく考えたらわかるが寿司の求めるソースの提示も何も、顧客が契約して金を預けてたのは銀行であり、責任が銀行に集約されるのは当たり前の話であって、それを言葉狩りやレッテル張り(とアホへの論破の勢い)で飛ばしてる様に見えない。
8
syukusyukusyuku @syukusyukusyuk1 2020年9月11日
shiwasu_hrpy いや銀行が補填するのは正当だよ。顧客は銀行と契約してお金を預けているので最終責任は銀行に発生する。もちろん銀行とドコモの提携の契約内容によっては銀行からドコモに請求が行く。 感情的に納得できなければ、銀行と契約した人はドコモと契約してもしなくても被害にあうが、銀行と契約しておらずドコモ口座だけ作成し契約した人は被害にあわないってのを意識するとわかりやすい
4
shin of u @shinofu4 2020年9月11日
責任の重さについて「銀行≧docomo」には同意しますね。docomoがザルだったことを力説されるほど「そのザルサービスと繋げたのは結局銀行でしょ」という思いが強まる。話に乗っておいて「話を持ってきた奴がアホだったんです」は通りませんよ。人様のお金を預かる立場ですよ?
10
syukusyukusyuku @syukusyukusyuk1 2020年9月11日
ribsleftrurs kinmenitsuke 金目の煮付氏も「善管注意義務がドコモにあるって事は、委託前の『顧客との』契約責任は銀行にあるって事だし、話されてるのはその相対的な責任比重に関する話であって『ドコモに責任がない』なんて誰もいってないですよ」でそうですねーで終わりなのに何をやってるのか…そら寿司氏も煽りますわ
8
ヘタレさん @hetare_rider 2020年9月11日
冷凍煮付けになってて草生えるwwwwwwwwwwwwwwww
7
gx9900 @GX9900GUMDAMX 2020年9月11日
syukusyukusyuk1 自分はドコモ8地銀2でドコモの責任が重いと思ってる。ドコモ以外の銀行連携はここまでやらかしてないんだから。(地銀ネットの方が深刻な問題なのは確かだた責任とはまた別。)
6
ヘタレさん @hetare_rider 2020年9月11日
GX9900GUMDAMX 地銀が面倒な作業を丸投げするために共同で作ったシステムで、それがNTTデータ製なんだよなぁ・・・。
4
🌕ひと ✧ @hitosi_00 2020年9月11日
どっちがより悪いかって話だったんか?
0
ヘタレさん @hetare_rider 2020年9月11日
結果的にドコモが現金化できるシステムを持ってきてトドメ刺したわけだけど、最初に報道で被害が出たことが明るみになった七十七銀行の客対応のクソっぷりもユーザーにさらされてるわけで、大変もにょる話であります。
2
syukusyukusyuku @syukusyukusyuk1 2020年9月11日
GX9900GUMDAMX >ドコモ以外の銀行連携はここまでやらかしてない それは銀行が空けてあるセキュリティホールをドコモ以外の提携先が潰しててくれただけであり、ドコモのガバガバセキュリティホールによって、先に空いてた銀行のセキュリティホールが顕在化しただけなんですよ。 繰り返しになりますが、感情的に納得できなければ銀行と契約した人はドコモと契約してもしなくても被害にあい、銀行と契約しておらずドコモ口座だけ作成し契約した人は被害にあわないってのを意識するとわかりやすいと思います。
7
ヘタレさん @hetare_rider 2020年9月11日
hetare_rider 一部地銀が口座振替を口座番号と名義と暗証番号だけで口座振替を通すほうが大問題。そもそも口座振替は契約期限が無期限で、引き落とす側が金額を自由に設定できてしまう超危険な代物。引き落とす側を信用してこそ成立するシステムなので、基本的に大手企業や保険、カード会社、公共料金など、そこから簡単に現金化できないものだったから犯罪に使われることも無かったようなもの。
3
かーねる @tlB3Xc5w3VxCdNK 2020年9月11日
お前は瀬文平の討ち死にから何も学ばなかったのか
0
cocoon @cocoonP 2020年9月11日
日本人にfintechは尚早だったんですよ。現金の信用度が高いゆえにIT化がいい加減だし何より世間がITに猜疑の目を向けている。でも時代の流れでインバウンド向けに急に整備しなければならなくなってガバガバなわけだし。紙とハンコ認証のベースに乗っける形で処理を作ってしまっているのが大問題なのです。ちょっと前まではクレジットカードも猜疑的にみられていましたよね。
2
ヘタレさん @hetare_rider 2020年9月11日
hetare_rider で、銀行のほうが悪い論に走ってる人が勘違いしてると思われるのが、CNSが本人確認として口座情報での紐付けを提供するようになっていたということ。なので、ドコモ口座は「本人しか知り得ない情報で銀行口座と紐付けしたんだしCNSがそれを提供してるんだから本人確認ヨシ!」、地銀は「ドコモが本人確認してるだろうからヨシ!」というセキュリティーホールの危険な出会い()が起きてしまった。
12
週末の肋骨 @ribsleftrurs 2020年9月11日
syukusyukusyuk1 言葉狩りとかレッテル貼りとか失礼だなぁ。 預金者に直接ダメージ与える案件でアーキテクト組む人間として善管注意義務は大切ですよという話をしてるんだよ? 道義にベンダーもクライアントもない。 顧客目線での最終責任なんてのは大前提でわざわざ言及することじゃないし、どっちも悪いって話なら内部の責任分界点の話になるのは当然でしょ。 そもそも自分の前提知識不足を他人に丸投げ&説明も聞かずにソースソースと繰り返す相手に暴言吐かずに意趣返しで済ませてるんだから感謝してほしいくらいだよ。
20
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
今確実にわかるのは、このタイミングで「今確実にわかるのは」とか言って罪の重さを確定してるかのようにしゃべるやつだぞ。
6
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月11日
今のタイミングで罪の重さをジャッジできるほど詳しいやつは関係は以外いないし、関係者ならネットで正体かくしてジャッジしてる時点で糞
2
青島 @aosima 2020年9月11日
地銀勘定システムってNTTデータがシェア握っててるけど、NTTデータやCNSがプレスリリースしない辺り不気味。 どこか取材してくれてることを祈るわ
4
はくしん2世 @233033sato 2020年9月11日
まーた素人のクソみたいな言い訳か。今回の事件は「4桁だから0001から適当に当たれば暗証番号が解ける」ことが原因なのに・・・
1
rambda @rambda2 2020年9月11日
dokuman3 dokuman3 何言ってんのかわかんないから落ち着いて発言しろ。
11
マサ@撮影依頼、大・大募集中 @kinrei_suzuki 2020年9月11日
同一IPからの同一操作過多ってアラート対象にならんの?事態把握後は拾えるように緊急対応を入れると思うのだけど。
3
ヘタレさん @hetare_rider 2020年9月11日
233033sato 一つの口座番号に複数回暗証番号突っ込んだらロックされるが?
12
ヘタレさん @hetare_rider 2020年9月11日
リバースブルートフォースアタックが疑われているという事実にちゃんと目を向けてほしい、当事者も話題に乗ろうとして滑ってる人も。
4
ヘタレさん @hetare_rider 2020年9月11日
hetare_rider ブルートフォースアタックだと、IDに対しパスを総当りや法則性で試行し突破しようとする。今回のリバース(ryは逆で、パスを固定しIDを取り替えて試す方法。要するに、鍵穴に複数の鍵を突っ込んでみるか、鍵を複数の鍵穴に突っ込んでみるかの違い。
8
ヘタレさん @hetare_rider 2020年9月11日
hetare_rider 一つの口座番号に4桁暗証番号総当りとか安直な手口なので不正検知されるか、複数回試行でロックするはずだが、IDのほうを変える方法に対策がされていなかったら試し放題だし発覚が遅れることになる。
8
ヘタレさん @hetare_rider 2020年9月11日
hetare_rider じゃあ口座番号と名義はどうやって知ったんだという話になるが、既にtwitter上で指摘されている通り、口座振込で振込先口座番号を入れると表示される。回数制限があるので一度に大量に確認することはできないけど、これも数の暴力(複数IP、PC複数台等)で解決する話になる。
5
RAIYA@提督 @RAIYASB 2020年9月11日
nirakia 実際にそれやってたらDocomo経由で口座認証のログが大量に出るから、時系列考えるにまだ未実行だった可能性があるよね 最初は暗証番号が流出してる人を対象に実施だろうし
0
ばしにぃ @hiro_orso_viola 2020年9月11日
hetare_rider その通りなのだけど、最終的に全口座番号で3周回って「一口座あたり3回連続ミス扱い」になったりしないのでしょうか…?
0
RAIYA@提督 @RAIYASB 2020年9月11日
RAIYASB あと文中の暗証番号を漏らさないことってのは、現状一番可能性高いのがそっちだからでしょう。
0
RAIYA@提督 @RAIYASB 2020年9月11日
RAIYASB あと一部の人が指摘するように、CNS側の本人確認がザルだったのは事実 当時はDocompユーザーだけが対象だったのに、りそな銀行で同様の被害受けたというのは、CNSのザルな部分を利用されたという話
1
茨 二科 @ibaranika 2020年9月11日
Kirara1314 というか、ドコモ銀行の利用者に弁済するだけなら内々で処理できるので、そっちのがいいやという判断とみますね。遅延損害金の利息や取り消し処理てのは取引先の銀行でしかできませんから
1
gx9900 @GX9900GUMDAMX 2020年9月11日
hetare_rider 加えて複数のドコモ口座が必要だからね。 メアドだけで口座が作れるリスクが顕在化した。>数の暴力(複数IP、PC複数台等)
3
犬だよ @yaju5123 2020年9月12日
3dpose  漏らすというか、XSSやフィッシングで引っかかったらそこから漏れたりしますからね。後、暗証番号自体は漏れてなくてパスワードリスト攻撃でヒット、つまり漏れたのはサービスで使ってるパスワードという可能性もある。  
0
犬だよ @yaju5123 2020年9月12日
lawtomol  100%防ぐには多要素認証入れないと無理です。今回はそれらを実装してなかったという話。プルートフォースやパスワードリスト辺りはぶっちゃけ確率論の問題なので、試行出来る回数次第ですが単体だとまず間違いなく突破されますね。  
0
犬だよ @yaju5123 2020年9月12日
ribsleftrurs  本人しか知り得ない情報+本人しか持っていないブツの組み合わせですもんね
1
A(c @Ac88702906 2020年9月12日
なんとなく思うんですけど、アメリカとかでこういう事件あったら政府が企業に対して懲罰的課徴金みたいなの取ったりしませんか。そういうのナシなの?
2
‍し @__0zzz 2020年9月12日
で、結局引き落とされてたのはなんのお金?
0
犬だよ @yaju5123 2020年9月12日
hiro_orso_viola  これ完全に私見なのですが、4桁であれば誕生日でヒット可能だと思います。ITリテラシー皆無な高齢者の方だと暗証番号を自分や身内の誕生日に設定するとかザラです。  暗証番号を1022で1000件ほど総当たりする場合、言い換えれば誕生日が10/22の人が1000人の内数名居て、その内暗証番号が誕生日と一緒の人がいればヒットする訳です。実際の所はアカウントを複数用意して、試行数を底上げしてると思われますが
5
barubaru @berururururu 2020年9月12日
hetare_rider 正確にいうと違います。本人確認情報提供サービスで帰ってくる情報は「その口座を銀行で開設時に運転免許証やパスポート等の公的書類による本人確認をしていたか否か」です。今回でいえば、ドコモ自身で本人確認するのではなく、銀行に確認したかどうか聞いてる状態です。(CNSは中継してるだけ)口座番号と暗証番号だけで、「その人、本人であることを確認済みです」って回答するの、まずくないのかねぇ。これ、pay系サービスもみんな使ってるみたいなんだけど、ほんとに大丈夫なのかな?
8
barubaru @berururururu 2020年9月12日
ああ、言わずもがなですが、銀行さんは本人確認情報提供を有料サービスとして提供していますw
0
梨@棘専 @r9QjjiYWt5RXsnq 2020年9月12日
これ誰がやったんだろうねえ…
0
Web屋Layzy @layzy_glp 2020年9月12日
結局顧客側に出来そうな対策って、CNS使ってる地銀口座の解約一択だよなあ……
8
jpnemp @jpnemp 2020年9月12日
一部銀行側にセキュリティが甘い部分があった。そのセキュリティを突く攻撃方法は通常だとハードルが高かったが、ドコモがそのハードルを下げた。って事かな?
11
🐷ええな@手洗いネコ🐽 @WATERMAN1996 2020年9月12日
yer_meme 短期間に口座番号と暗証番号不一致のアクセスが多数試みられた形跡があれば攻撃があったこと自体はわかると思いますよ。
2
🐷ええな@手洗いネコ🐽 @WATERMAN1996 2020年9月12日
WATERMAN1996 リバースブルートフォース攻撃はATMや窓口では実行できないのでネットからのアクセスを警戒すればよく、統計的に不自然に口座番号と暗証番号の非成立アクセスが増えた時にアラートを上げる仕組みを作れば良かった。
4
🐷ええな@手洗いネコ🐽 @WATERMAN1996 2020年9月12日
WATERMAN1996 もちろんこれは口座番号と暗証番号が割れている場合は意味が無いが、それはまた別の問題であるし。
2
[30]Kirara@ありがサンキューツアーズ @Kirara1314 2020年9月12日
layzy_glp それやっちゃうと地域によっては公共料金をいちいち請求書持って銀行窓口に払いに行く必要が出る罠(地方だと公金出納指定金融機関及び公金出納指定金融機関代理に指定されているのが地銀・第二地銀・信金・JAの中からいくつかというのはよくある話なので
3
すまいそん @migitenitokei 2020年9月12日
IP追うって犯人がtor使ってる相手追跡出来んのかな。ドコモ口座にtorでアクセス出来るって聞いたときは「それぐらい弾いとけよ」とか思ったけど。あんなもん犯罪者以外使わんだろ(偏見暴言)
1
いぐすり。 @weakstomach 2020年9月12日
なんでドコモは銀行をかばうのか?なぜ問題をドコモ口座のみの問題に矮小化するのか? 何かやましいところがあるのではと勘ぐりたくなる。
0
vaginajustice @vaginajustice1 2020年9月12日
weakstomach ニュースを時系列で追ってないの? 最初はドコモは「銀行が悪い」とのたまってたよ。経緯が大々的に明らかになって、ドコモがマネロンすら可能な匿名口座をばら撒いていた事が公にされた。今回の会見でそれらを改めるつもりが毛頭無いことを発表なされた。
11
gx9900 @GX9900GUMDAMX 2020年9月12日
berururururu pay系サービスはこんな問題起きてない以上、現状は問題無いかと。pay系サービスがやってる電話番号紐付けぐらいしてればアカウントを大量に作るのは難しいから総当たり攻撃がやりにくくなるし。
1
🐷ええな@手洗いネコ🐽 @WATERMAN1996 2020年9月12日
ドコモがドコモ口座に電話番号紐付けくらいしておけば良かったというのはその通りだし、リバースブルートフォース攻撃を防ぐならば特定のアカウントで口座紐付けの際に3回連続で口座番号と暗証番号の不成立が発生した時、ドコモ口座自体をロックし銀行側に警告を上げるという仕組みにしておけば良かったんや。
1
bluemonkshood @bluemonkshood 2020年9月12日
これやばいのは、ドコモ口座と紐付けされた口座すべてから今後毎月30万円抜かれるかもしれないってことだ。そうだとすると、被害総額はかんたんに億を超える。対応いかんによっては、ドコモ口座お取り潰しだ。麻生さんの会見を見ていてそう思ったもちろん、本人確認を怠った地方銀行も整理される。
1
週末の肋骨 @ribsleftrurs 2020年9月12日
syukusyukusyuk1 しつこいけど前提間違えてるから指摘しとくわ。kinmenitsuke で「ドコモになんの非があるの?」と明確に書いてることへのツッコミだよ。 レッテル貼りでもなんでもない。レッテル貼ってんのそっちじゃん。
3
RAIYA@提督 @RAIYASB 2020年9月12日
GX9900GUMDAMX 面倒かつ足が付きやすいというだけで、手口だけで考えれば他のPay系もできないわけじゃないよ 昨年のりそなとDOCOMOで起きた不正事件みたいなのは、他事業者でもあり得ないとは言い切れない(銀行の名義とドコモ口座の名義チェックが不十分だった)
0
barubaru @berururururu 2020年9月12日
GX9900GUMDAMX もう総当たり攻撃はしなくても正解の一覧は入手できているので、ピンポイントでやられていくだけなんじゃないかと思ってる。ドコモ口座使われたのはPCベースで操作できるのが大きかったんじゃないかなぁ
2
ガチャおじさん @gatyaoji 2020年9月12日
ところで犯人はやっぱ海外だから手出し不可能無罪放免って構図なんだろうか。それでも止めないよ、暗証番号漏らさないよう気をつけてねって、他に対策はないよってぶっちゃけ詰んでるな
3
anineko @ANINEKObySYSTER 2020年9月13日
善管注意義務が無かったら、毎日のように日本のどこかの工場が爆発してる。善管注意義務ってそれだけ守られてるのが普通。工場の場合はすぐに死人が出るから真剣に守ってるよ。それも大体死ぬ人は作った人の知人(面識がある)。
2
anineko @ANINEKObySYSTER 2020年9月13日
この調子だとまだ見つけてないセキュリティの穴はいくつもありそうで、犯人たちは今も探して利用しようとしてるだろうね。
2
斉藤・W・ルビンスキー@少子高齢化加速こそが最良手段(被害者候補削減策) @dojitenshi 2020年9月14日
それが今の日本のIT技術だからね。 んで、締め切りでどんどん強行のIT土工。 少子高齢化加速以外対抗手段なし
0
RAIYA@提督 @RAIYASB 2020年9月14日
ANINEKObySYSTER Windowsはじめ各システムベンダが定期的にセキュリティアップデートしてるのは、そういった未発見のセキュリティホールを随時潰して回ってるからですよ
1
barubaru @berururururu 2020年9月15日
berururururu 「不正引き出し、ドコモ口座以外5サービスも ゆうちょ銀」やっぱり来ちゃったね…
4
やましたひとし @hiandlow73 2020年9月16日
善管注意義務をいうならむしろ銀行こそ義務を果たしてないんでないの?ドコモの顧客は被害を被ってなくて、銀行の顧客が被害を受けてるんだから明らかな気がするけど。
5
endersgame @endersgame3 2020年9月18日
銀行じゃないドコモガーって言ってた人元気かな…
2
夢浦忍 @Y_SINOBU 2020年9月18日
GX9900GUMDAMX ドコモ口座(d払い)ってPayを日本語表記してるだけでペイ系のサービスの一種だよ。
1
やましたひとし @hiandlow73 2020年10月9日
結局、金目の人の意見がだいたい正しかったみたいだね。「ドコモ口座問題であらわになった「本人確認」の誤解」https://xtech.nikkei.com/atcl/nxt/column/18/00139/100200071/
2