ドコモ口座を使った詐欺事件、口座の口振契約を受け付けた七十七銀行にも深刻な問題が?『加害銀行』の問題点を詳らかにしていく

まとめました。
117
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。

加害銀行の問題点

このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。

地銀の2つのパターン

このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。

地銀は被害者であり加害者でもあった?

このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。

加害銀行のこれから

このツイートは権利者によって削除されています。
残りを読む(17)

コメント

はいぱ@玉ねぎ畑の小作人 @haipa2000 2020年9月11日
だから印章確認を省略してはならんのだ!(老害脳)
13
さとうあきひろ @akihirosato1975 2020年9月11日
とりあえずCAFISのスペル誤りが目立つのが気になる(CAIFSやらCAIFISやら)。決済業界の人間ならこんなに何度もミスらない。
7
K.Yanagisawa @K_Yana47 2020年9月11日
よくよく考えてみたが、何故docomoが頭下げなあかんのだ?と思った。
30
緑川⋈だむ @Dam_midorikawa 2020年9月11日
そもそもこんな事件が起きた以上、フィンテックなる概念自体が洗いざらい焼き払われて全面禁止になるのでは
5
Fakir@鞄 @FakirCarbuncle 2020年9月11日
何で七十七銀行が代表で槍玉にあがってるんだろう? 普通に考えると規模・利用者数の大きいゆうちょ銀行を代表にすると思いますが。
8
はちゃけら @Snob731 2020年9月11日
ネット銀行はやはり人類に早かったのでは…
6
いくら @YamadaIkra 2020年9月11日
FakirCarbuncle 最初に判明したから。ただそんだけで、この悪評。
36
いくら @YamadaIkra 2020年9月11日
地銀「ヤター 3/10000 デ突破デキルシステムデキタヨー」 ドコモ「100万回チャレンジできるシステム作ったったwww」
44
Fakir@鞄 @FakirCarbuncle 2020年9月11日
YamadaIkra ええ。。それはあんまりでしょう。 しかし、「CAFIS 口座振替」でググったらCAFIS自体もオンラインでの口座振替サービスを金融機関・加盟企業向けに提供しているんですね。CNSは実体としてはCAFISのサービスを地銀向けに切り出しているだけなのかな?
1
Requirer @Requirer8 2020年9月11日
今回はドコモというより、銀行が悪い案件。 だけど、ドコモというかNTTは大きいから非難される。仕方ないね!
20
豆腐豆腐豆腐 @NewName_NoIdea 2020年9月11日
Dam_midorikawa なぜ全面禁止にまでなるのですか?
4
復活のぽりぽり @fGQXIDoq2WxSrHp 2020年9月11日
加害銀行呼ばわりはなぁ。だってまさか犯罪者が暗証番号総当たりできるシステムをドコモが提供するなんて発想ないじゃん
63
野良馬 @nobody_oyaji 2020年9月11日
たまたまドコモで起きただけで他の企業で起きない保証はないんだがな。 
44
野良馬 @nobody_oyaji 2020年9月11日
ドコモ信頼しすぎの感はあったけど、それは言い訳にならない。  ここまで言わないでももっと銀行側の手落ちは追及されるべきかと。
25
週末の肋骨 @ribsleftrurs 2020年9月11日
そもそも本人確認を単要素認証できちゃうような仕組み提供してたんだからゴミofカスなのは間違いないでしょ。 自分とこの預金者を守る意識が皆無だから要件も詰めずにゴミシステム繋いで放置してたわけで、何らかの処分食らってもおかしくないレベルの大失態。
8
yuki🌾㊗️5さい🎉⚔ @yuki_obana 2020年9月11日
顧客も4桁だけで突破できるシステムを放置し続けたんだ、銀行なんて腐るほどあるし全部潰れても証券会社や信託銀行や海外もあるんだからそっち移せば良いだけの話を全部気づいていても見ないふりしてたんだから(´・ω・`)the elephant in the roomだったのは否定できない。ネットバンキングというか元はCDって呼ばれてた頃からのシステム10年オーバー(30年くらい)放置した罪を数えるしかないんだよ。
7
野良馬 @nobody_oyaji 2020年9月11日
今の報道やTL見てると、ドコモだけが悪くて銀行側にはなんの手落ちも無いみたいな発言が多くて怖いのよね。  それだけで終わらすと、たまたま被害に合わなかっただけで似たようなセキュリティーの銀行が対策しない可能性あるし。
46
野良馬 @nobody_oyaji 2020年9月11日
誰か言ってたけど、ATMでの暗証番号4桁は防犯カメラとの組合せで効果発揮してたのよね。  それをそのままネットに持ち込んだのが間違い。 
10
syukusyukusyuku @syukusyukusyuk1 2020年9月11日
もう一度言うけど、感覚的に納得できなければ『銀行と契約した人はドコモと契約してもしなくても被害にあうが、銀行と契約しておらずドコモ口座だけ作成し契約した人は被害にあわない』ってのを意識するといい。
17
jpnemp @jpnemp 2020年9月11日
まぁこれを機にUFJ銀行みたいにアメリカ基準クラスのマネロン防止措置をとるようにした方がいいやね
10
@id_fid 2020年9月11日
FakirCarbuncle 七十七が一番被害者だしてるからじゃないの?
5
キケリキー @KIKERIKI17 2020年9月11日
顧客は「カード+暗証番号4桁」を同意しているけど、「オンラインから暗証番号だけで勝手に本人認証して口座を好きにできる」ことに同意してる人は少ないと思うんだよなぁ。アナログなら銀行印でやってる認証をしないのだから、オンラインの受付(本人認証)システムは「本人が書面にてWEB経由の口座振替登録に同意している」を最低限の前提にすべきだった。
29
沼の魚 @rlyeh_fish 2020年9月11日
まあ実際『ネットバンキングぐらい使えないとこんにち時代遅れだよね!』ぐらいのノリで行内に誰もその筋の知識がないのに地元の信組が始めてたからテキトーに何も考えずにやってたんだろうなあ(多分まともな社内資料もない) この手の小さい金融機関ってまず相手会社(今回の場合はドコモ)にぶん投げるだけなんで最低限の用途にしか使ってない
2
キケリキー @KIKERIKI17 2020年9月11日
KIKERIKI17 ちな私は「契約銀行にWEBサービスを申し込んで銀行印で蹴られた」事がある。この状況で「口振WEB受付サービスは暗証番号だけで勝手に認証しといたし、引き落としも処理したからww」となったら、マジフザケロコノドグソガッってなるやん?
6
syukusyukusyuku @syukusyukusyuk1 2020年9月11日
fGQXIDoq2WxSrHp 顧客「まさか銀行がガバガバシステムのまま総当たりが出来るドコモと提携するなんて思わなかった」って事だから、契約者である顧客にとって加害銀行なのは事実では…
41
cocoon @cocoonP 2020年9月11日
Dam_midorikawa 日本人が使いこなせてないだけで外国ではちゃんと回っているので、またガラパゴっていくだけですね
1
監物 @2QY3HYGUPE 2020年9月11日
nobody_oyaji 今回の場合、最初はドコモ回線契約者のみという縛りがあったので銀行側の審査検証の結果利便性優先で認証が緩めになったのではないか?2019年10月にドコモ回線利用者以外にもドコモ口座の使用を解放した際に銀行と中間業者とドコモで十分な話し合いがもたれたのか否かが責任割合の重要点になると思うのだが
24
また結婚したバツ3 @CAFE_XXX 2020年9月11日
今後、手続きが色々とめんどくさいことになるんだろうなぁ。
3
また結婚したバツ3 @CAFE_XXX 2020年9月11日
古今東西、利便性とセキュリティは相反する。とは言うたものの、両方やらんとあかんねん。7payの失敗から学んでないのが痛い。
17
いくら @YamadaIkra 2020年9月11日
まだ被害の全容も手口も明らかになってないから何とも言えない部分が多いんだけど、仮に3/10000の確率で突破できるとして、現在判明してる73件突破するには24万回の試行が必要なんだよね。1日に1万3000件程度しかチャージされないドコモ口座で、それだけの数の登録失敗を見逃すものなんだろうか。中国銀行の被害がやたら大きい(500万円)のも気になる。
10
akiba @akibaakiba1111 2020年9月11日
銀行口座って本人確認されてる前提だから、セキュリティがばがばで良かったってことだろうね。
5
セージ @sage_pad 2020年9月11日
fGQXIDoq2WxSrHp もし本当に「ドコモみたいな大手だから顔パスした」のだとしたら大問題だよ 中身の安全性を検討したけど見落としたっていうならまだわかるけど
18
また結婚したバツ3 @CAFE_XXX 2020年9月12日
昔、仕事で仙台に行ったとき、コンビニにATMが無かった。「田舎やわぁ」って思ってたんやけど、七十七銀行がATMの普及を邪魔しとったとか聞いたときは、「やっぱ田舎やわぁ」って思った。ちなみに、七十七を東北ネイティブに書くと「すっずうすつ」と発音する。
3
カズマサみんC @mskazumin 2020年9月12日
個人的にはドコモと「加害銀行」どっちも悪いと感じてる。過失の割合はわからんが。事故りやすい車を作った方と、マトモな運転教育してなかったところみたいな。2つ合わさって深刻化したようなもんだし。
44
鹿 @a_hind 2020年9月12日
地銀は歴史的役割を終えたと思いますって言うのも言いすぎな話で地銀滅ぼせば類似の問題起きないわけじゃないからな。
1
ちゃおぴ @Chaotaro0 2020年9月12日
CAFE_XXX 仙台弁は『最初の一文字目は濁らずに発音できる』という特徴があるのでどっちかというと「しつずーすつ」の方が近い。ちなみに高齢者は「ななじゅうなな」と呼ぶ
2
12月までに-5kg @yamabook2000 2020年9月12日
この件、今時点でどこが悪いって断定できないよ。ドコモ口座開設がザルだったのは間違いないけど、他にも穴はありそう。金融取引の重要な事例になるだろうからしっかり原因突き止めてほしい。
6
aiko_28chan @aiko_28chan 2020年9月12日
次期総理と目されている菅さんはこの事件が明るみになる前から地銀が多すぎると言ってた方なので、これを機会に地銀潰し(統合)に向けてより強く動くんじゃないかな?地銀内部に半沢直樹みたいなのがいなければ。携帯料金にも物申してたのでドコモにも強く当たりそう。
0
鹿 @a_hind 2020年9月12日
システム作る時は他人を信用したまさか●●みたいなことやらないだろうってのは作っちゃだめなんよ。 自分のところで出来る対策きっちりやっておかないからこうなる。
0
のの @simeta 2020年9月12日
地銀の利用してたネット口座振替受付サービスって、NTTデータが開発したみたいだけど、ドコモの身内じゃん…。 地銀らの責任を追及しても、結局ドコモ陣営に痛みが走るってことか。
0
(もと)かのうらなたね @kanoura 2020年9月12日
simeta ドコモとデータって身内って言うほど近い親戚じゃないと思う………
12
鹿 @a_hind 2020年9月12日
simeta 国内の大きなインフラ関係大抵NTT系列ですから・・・仲の悪い親戚同士で運営してるような感じかな・・・
3
トーニー @dentyuu12 2020年9月12日
元々回線契約者限定のシステムだったドコモ口座のサービスの対象者をシステムそのままにメールアドレスのみで作れるよう開放したのがキッカケだからな 被害地銀のセキュリティがガバガバなのも悪いが、だからといってドコモが悪くないとはならんよ。特に去年の5月に問題を認識しながらスルーしてんだし。
22
takatakattata @takatakattata1 2020年9月12日
そもそもお金管理してるのは銀行だよね なんでちゃんとどの経路だろうがしっかり認証しないんだろう それを「総当たりをブロックしないドコモ口座が悪い」って論調になるのは開き直りでしょう
1
永見 陽菜 @hinahinagami126 2020年9月12日
ドコモに落ち度全くないって言ってる人いるけど、1度ドコモ口座はりそな銀行で被害が出てる。提携してる銀行側に他の銀行でこういう被害があったので本人確認の強化をお願いしますといったふうに、セキュリティ対策強化求めなかったのはドコモの落ち度だと思われ。
33
Akichi @Akichi77928822 2020年9月12日
まあ七十七は普通の地銀ではなくて、明治27年から終戦まで(今の)東証の場勘業務を独占、戦後も古参の一角として兜町で名を馳せ今に至る。なまじ実績があるだけになんかあると影響がね…
0
りょむ@ちゃばしら㌠ @ryom1102wot1 2020年9月12日
銀行の甘さは分かるけど、加害とまで書くのはやりすぎに思う。加害者はあくまで犯人。
5
Alpha Leo @alpha_leo 2020年9月12日
加害という言い方が良くないというのであれば、一番無能なのは銀行で二番目に無能なのはドコモという言い方でいいんじゃないかな。バカに金を預けるわけにはいかないよ。大蔵省配下の護送船団で暴利を貪ってきた銀行と親方日の丸を受け継ぐドコモがそろいもそろって無能なのを見せつけられると暗澹たる気持ちになるな。
14
ぱぱばんちょう @bancho_scramble 2020年9月12日
ドコモ口座だけが責められるのも変だし、銀行だけが責められるのも変だ。両方にミスがあった、という話ですよね。会見の内容が御粗末だったとはいえむしろ謝罪しただけマシ、なのかもしれない。事情を慮るとまだ銀行側は調査中なのかもしれない。
13
野良馬 @nobody_oyaji 2020年9月12日
2QY3HYGUPE いや普通はその程度で契約見直しの為の話し合いなんぞありえんだろ。  アレはスタート時点から間違ってるのよ。
0
野良馬 @nobody_oyaji 2020年9月12日
問題を理解してない奴いるけど、なんかドコモだけ悪くて「銀行に全く落ち度はない」みたいな雰囲気になってるのがダメなんだよ。
4
野良馬 @nobody_oyaji 2020年9月12日
マスコミ的には無名に近い地方銀行よりドコモ前面に出した方が興味引けるし、やらかした銀行多すぎて一気に批判し辛いから一社に絞った方が叩きやすいからそうなるだろうがな。
5
マルンボーリ @tandaji 2020年9月12日
ドコモのシステムも糞だったが地銀のチェックも糞みたいにザルだった、って事だぞ今回の事件は。
19
野良馬 @nobody_oyaji 2020年9月12日
このままだと運良く被害が出てないだけのザルセキュリティの銀行が放置されかねん。  みずほの件上げてる人いるが、それを「対岸の火事」とばかりにやった結果がこれでしょ。 
5
Tsuyoshi CHO @tsuyoshi_cho 2020年9月12日
加害、は書き方てきにはちょっと…
0
saku @sakuuuuuuune 2020年9月12日
実際のところ、ドコモのザルサービスによって、銀行のザルセキュリティが顕在化しただけという話 ドコモでなくても誰かが引き当てる運命だったと思うし、根本的な問題は銀行側にある むしろ、補償する体力のある会社が引いてよかったとさえ思えるよ
6
コスモピアニスト✨ @NikHarnoncourt 2020年9月12日
これは見え透いたドコモ擁護ですねえ。2度目ですよ?
8
tubu8kiya @tubu8kiya 2020年9月12日
nobody_oyaji 防犯カメラじゃなくキャッシュカードじゃないの。防犯カメラは犯罪があった後に犯人を追い掛けるには有効だけど違法な引き出しを止めることは出来ないわけで。
8
[30]Kirara@ありがサンキューツアーズ @Kirara1314 2020年9月12日
とりあえず捜査機関でも監督官庁でもない人間がこの件でどちらが悪いを断言するのはよくないし、ましてや「加害銀行」なんて用語を使って糾弾するのは非常によくないと思うぞ。 本件に関して言えば銀行は知らぬ間に提供していたシステムを正しいやり方で悪用されて犯罪の片棒を担がされた訳だし。 (多要素認証を利用していない件については一定の非があるが前提として出納企業側からの依頼なく口座振替契約受付はできないのでこれだけで銀行側の非を問うのは難しいかと。
1
金目の煮付 @kinmenitsuke 2020年9月12日
K_Yana47 散々私もそういってるんですが、理解できない人には出来ないようです。
3
金目の煮付 @kinmenitsuke 2020年9月12日
hinahinagami126 セキュリティ対策強化を求めなかったというソースはありますか?
1
金目の煮付 @kinmenitsuke 2020年9月12日
ドコモに過失がないとは言わないが、ドコモがあそこまで責められるなら、それ以上に責められるべきは銀行。
7
jpnemp @jpnemp 2020年9月12日
kinmenitsuke それやると取り付け騒ぎに発展するから報道は控えてるんだろうなぁ
3
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2020年9月12日
ドコモがやったことは「Aさんからお金を下ろしてくださいと言われました、と金を受け取って、その金を誰かに渡したけど誰に渡したか確認してない」なので問題はあると思うなぁ。この手の企業間確認の簡略化高速化は、請求する側もちゃんと確認しているという信用の元に成り立ってるわけで。ドコモ側に責が少ないというなら、今後銀行側は取引先企業を信用せず独自の本人確認をする必要が出て、家賃や公共料金引き落としとかクッソ面倒になる。利用者としては、ドコモに限らず企業側に本人確認の責を負わせた方が面倒ないのだが。
7
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2020年9月12日
Clearnote_moe この場合の「企業側に責を負わせる」は、「企業間取引の仕組みはこのままで、その仕組みを使おうとする企業にちゃんと本人確認するような義務を負わせる、そのことでセキュリティを担保する」の意味。
5
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2020年9月12日
Clearnote_moe 銀行「お前Aさんから頼まれたいうたやんけ、ほんまにAさんやったんか」ドコモ「自分はAだ、って言っとったからAさんなんやなーって」銀行「マジか、お前が言うから間違いない思たのに」、って状態だろうから、これがドコモじゃなくてぽっと出のベンチャーなら起きてない問題に思うんだよね。ドコモの看板で銀行が信用したというか、審査しなかったというか。銀行が悪かったというか、暗黙の了解の仕組みが古いというかなので、明示した了解にして審査し直しが現実的に思う。
7
gx9900 @GX9900GUMDAMX 2020年9月12日
まとめが消えてるんですが。
13
gx9900 @GX9900GUMDAMX 2020年9月12日
nobody_oyaji実は別な感じなんだよな。みずほ案件はドコモ口座がキャリアフリー化する前の2019年5月なんで。(キャリアフリー化は10月)
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月12日
○○が悪いって話ができるほど情報出てないやろ。口座番号+暗証番号でOK出しちゃうのはザルなのは間違いないんだけど、じゃあ、不足分を補完するチェックは誰がやる取り決めになってたのかって話が、せめてわからんと。
0
tomtia_tw @tomtia_tw 2020年9月12日
今回はドコモが悪者ということで矢面に立ってもいいとは思うけどさ、問題は、仮にドコモが修正を行うか、極端な話、ドコモが廃業したとしても、金融機関側の穴が塞がれてないわけだからね。ドコモではない別の収納代行機関が利用される可能性があるんだよね。口座番号と暗証番号が合致すればネット経由でなりすましで金を引き出せる、という穴は残ったままであるわけで。
11
週末の肋骨 @ribsleftrurs 2020年9月12日
nobody_oyaji 知覚情報の暗証番号4桁と所持情報のキャッシュカードor通帳で多要素認証できてたから効果発揮してたんであって防犯カメラは防止策じゃないでしょ。
2
和菓子 @nkltsl2 2020年9月12日
auじぶん銀行のワイ、高みの見物
1
tomtia_tw @tomtia_tw 2020年9月12日
tomtia_tw もっとも、ドコモの対応も甘すぎで「本人確認を強化する」だからね。本人確認が甘い状態の時期に作られてしまった既存のアカウントに対して本人確認を再度やり直すかどうかを明らかにしていない。こんなの、これから作られるアカウントよりも、すでに作られてしまっている予備のアカウントの方が絶対危険でしょ。本人確認まともにとれてないんだから、誰のアカウントだかわからないんだもの。
1
syukusyukusyuku @syukusyukusyuk1 2020年9月12日
nobody_oyaji むしろ責任の比重は「銀行≧ドコモ」だしね… 相対的な責任比重に関してドコモに不条理に寄り過ぎだって話をしても、擁護と取られて「ドコモ無罪論を語ってる人がいる」みたいに受け取られる地獄
4
まりもりすこ@2y @marimorisuco 2020年9月12日
権利者によって全部消されてる闇
10
gx9900 @GX9900GUMDAMX 2020年9月12日
tomtia_tw 銀行のwebシステムが今後のIT化に適応できてないってのは深刻な問題やね。相手先が少しウカツでも耐えられる設計にして欲しい。(ウカツな相手が一番悪いが)
0
特になし @BthLtnZbMIadbQi 2020年9月12日
本人確認ざるだとこじらせオタがキャラ名義口座、キャラ苗字自分の名前口座みたいなの作ってそう
1
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2020年9月12日
しかし、加害銀行っていい方もすごいな。被害銀行の間違いじゃなくて本気で言ってるんだ追うけど。
1
tomtia_tw @tomtia_tw 2020年9月12日
GX9900GUMDAMX ドコモは今回の件の対応として、ドコモ口座を作成する際の本人確認を厳格にする、とは言っているけど、そこで本人確認された結果と、銀行口座を関連付けする際の本人確認との突合はしない、とも言ってるんだよね。まぁ銀行側からドコモへの本人確認情報は提供されないから、しないというよりできないというのが正直なところなんだろうけど、要するに対策してもドコモ口座の「本人」と銀行口座の「本人」は一致するとは限らないわけで、本当にこれで解決になるのか? という問題も。
4
豆腐の角 @ayutimali 2020年9月12日
日本におけるロ振の包括承認って仕向先企業が基本債務を受け取るためのもんで仕向先が決済事業者ってありえないでしょ
0
RAIYA@提督 @RAIYASB 2020年9月12日
ドコモを悪いことにしとかんと、ほぼすべての銀行で取り付け騒ぎという前代未聞な事になるからね、しょうがない(Docomoの記者会見で、原因に言及できない時点でDocomoが泥かぶる事になってるのがわかる)
6
gx9900 @GX9900GUMDAMX 2020年9月13日
syukusyukusyuk1 ドコモ口座がきっかけだから「ドコモ>銀行」じゃないかな。他の銀行連携でも同様の問題おきてるなら逆転するけどさ。
0
syukusyukusyuku @syukusyukusyuk1 2020年9月13日
GX9900GUMDAMX それは違う、簡単に言うと銀行(と契約してた仲介業者)の空けてたセキュリティホールをそのまま放置したのがドコモの失敗かつ、また預金保護の最終責任は預金者と契約した銀行に帰結するのでどうやっても銀行≧ドコモになる。 提携銀行と契約して預金した人はドコモと契約して口座を作ろうが作らまいが被害者予備軍だが、提携銀行と契約せずドコモと契約した人は被害者になりえない、ってのを考えていただけると銀行の方がやらかしてるのがわかると思う。(ドコモに非がないという話ではない)
0
キケリキー @KIKERIKI17 2020年9月13日
東京三菱UFJはネットで口振を申請する場合「ワンタイムパスワード」が発行される。既存口座でWEBサービスを申し込む場合、銀行印の捺印を請求されることを考えれば、当然の措置。だって、勝手に引き落としできちゃうわけだから、「暗証番号と生年月日で本人ヨシ」はない。銀行の窓口で引き出すとき、そんな対応しないでしょう?
1
キケリキー @KIKERIKI17 2020年9月13日
ぶっちゃけこれで「なんで穴を指摘しなかったんだ」とかドコモをガン責めするなら、ペイペイだって「銀行の穴」を指摘しなきゃあいけなかった。でも、ペイペイは勝手に個別対応してくれて問題起こしてない良いやつなんてでしょ?ドコモには攻撃ツールになった責任はあるけどさ。
1
大和但馬屋 @yamatotajimaya 2020年9月13日
ドコモのサービスのせいでいつ開いても不思議ではなかった穴がとうとう開いた、という事実は確かなのでは。ドコモは根本的な原因ではないかもしれないがきっかけにはなってしまった。
3
すいか @pear00234 2020年9月13日
回線利用契約者(本人確認が厳格になされる)を前提にしていたサービスを、一般開放して自由に使えるようにしたせいで大穴が空いたってんだから、そりゃ銀行責めるのは酷だし筋違いだと思うなぁ。「十分に厳格に認証が出来ている」ことを前提に運営されているネットワークで、突如あるノードが突然一般開放して大穴が空いたって時に「そんな脆弱なネットワークが悪い」ってのはちょっとどうかと思う。
9
豆腐の角 @ayutimali 2020年9月13日
pear00234 結局双方主体性を持ってセキュリティ監査やってなかったのガンぎまりなので、今後はそのあたりを責任分界点とか契約にどう落としこんでルール化するかってことでしょ
2
キケリキー @KIKERIKI17 2020年9月13日
窓口だったら、本人が顔写真付き証明書を持っていても断られることがあるのに、WEBからで収納企業が個人を特定してるなら緩くしまひょ、って変な感じよね。
1
豆腐の角 @ayutimali 2020年9月13日
KIKERIKI17 それは収納企業が債務を円滑に回収する手段としてロ振を使うって慣行だからでしょ
0
gx9900 @GX9900GUMDAMX 2020年9月13日
KIKERIKI17 ペイペイが「当たり前の対応」でしょ。ラインペイとか他の銀行連携でも普通にやってる対応なんだから。ドコモが「非常識な対応」。>「ペイペイは勝手に個別対応してくれて」
0
キケリキー @KIKERIKI17 2020年9月13日
ayutimali 口振のアナログ申請なら銀行印を求められて、私印鑑を間違えて二回ほど蹴られたことあります。そういう風に使うものだから、三文判にするなってよく言いますが、これだって、収納企業が個人を特定しているけれど、銀行が審査で蹴った、形じゃないですか。依頼書をペーパーレス化するから、銀行印じゃなく暗証番号で口座公開しますねって、えっ?私同意してないんですけど?ってなりません?
3
豆腐の角 @ayutimali 2020年9月13日
KIKERIKI17 日本で印鑑がたとえ三文判でも特殊な取り扱いだからと言ってしまえばそれまでだったりします。
0
豆腐の角 @ayutimali 2020年9月13日
PINによる認証って、実は利用される条件が結構限定的なんですよ。一番分かりやすいのはスマホとかWIN10のMSアカウントログインでのPIN利用。あれって事前に認証した端末に認証ズミのユーザが扱うって前提。 Webやペイジーによるロ振って事前に銀行と収納企業が契約したうえだからPIN認証も選択肢になる。その前提が『口座所持者から収納企業が債務を回収する』という口振の利用慣行なわけです。
0
キケリキー @KIKERIKI17 2020年9月13日
ayutimali そっちじゃなくて、銀行と利用者の関係で、銀行がWEBで勝手に収納企業へ口座を公開しちゃうことに、同意した覚えはないって話です。実カードや実印ではなくて、暗証番号で口座にアクセスすることに同意したり、規約が変更されたのを了承したり、そういう覚えはないのに、収納企業と契約したから、暗証番号だけで緩く本人同定するし、勝手に引き落としますって、そりゃないでしょ?って。
3
キケリキー @KIKERIKI17 2020年9月14日
[c8210849] いや、アナログなら銀行印が要求されるわけですよ。収納企業と口座利用者に契約があっても蹴られるわけで、収納企業を信頼してオーケーという運用ではないです。銀行窓口では「証明書で本人だと言っても」印鑑がなければ許されないのに、WEB経由で収納企業を介したら、「暗証番号ヨシ」で赤の他人に引き落とし登録させちゃう、銀行側の認証プロセスがオンラインだと低下する、話なんですけども。
3
豆腐の角 @ayutimali 2020年9月14日
KIKERIKI17 それ日本の金融機関における印鑑の位置付けがおかしなことになってるだけで、セキュリティとは違う
0
豆腐の角 @ayutimali 2020年9月14日
銀行でのPIN認証は、主なところでATM等の物理カードによる所有者認証と組み合わせて使うも(J-Debit含)のとたまにコールセンター等で使う簡易な本人確認、最後に今回問題になったものが挙げられるかと。 ロ振でPIN使うのは債権者と債務者の関係を前提に債権者が取り立てデータ(口座番号)を確認して債務者の了解取ってるという暗黙の了解があったうえで収納企業(債権者)と銀行の間で事前に契約してるから。
0
豆腐の角 @ayutimali 2020年9月14日
これ実は暗黙のルールで成り立つ口振ってシステム危機に曝した話で、コンテンツキャリア決済を同時請求でロ振の対象にしていいのか、ってガラケー時代の話も参考になるかと。
0
barubaru @berururururu 2020年9月14日
KIKERIKI17 規約に書かれてないっすか?大抵の銀行にはあるようですが。
0
キケリキー @KIKERIKI17 2020年9月14日
berururururu 「Web口振受付サービス利用規定」みたいなのはあって「自己の判断と責任において本規定に同意したうえで、本サービスを利用するものとします。」となってるけれど、それは「Web口振受付サービス」を利用した人が同意する規定で、勝手に利用された人が自動で同意したことになる規定ではないですよね。
1
豆腐の角 @ayutimali 2020年9月14日
KIKERIKI17 だからドコモ口座が単なるドコモ料金のプリペイド決済じゃなくなって一般的なプリペイド決済の中継点になったところとdアカウント一般解放した時と、双方ともにきちんと定期的な接続要件再定義をやっていれば引っかかるはずのポイントが2ヶ所。
1
豆腐の角 @ayutimali 2020年9月14日
ayutimali こういうチェックポイントが見過ごされたのは日本のシステムにおける『一度正常に動いてるもんは見直しの必要性ない』ってろくでもない慣行のせい。
1
キケリキー @KIKERIKI17 2020年9月15日
http://takagi-hiromitsu.jp/diary/20200914.html 高木浩光さんの突っ込みだが、まぁ普通の指摘だよね。【4桁数字暗証番号しか設定できない認証機能をインターネットや公衆電話網に開放しているサービスを提供している事業者の全てが個人情報保護法第20条違反というべきではないだろうか。】
0
キケリキー @KIKERIKI17 2020年9月15日
KIKERIKI17 最低限、オプトアウト方式じゃなくて、オプトイン方式に変更すべき事案だよ。で、オプトインにするなら、ワンタイムパスとか入れるべきだよね、「銀行側の」サービスなのに、収納企業にセキュリティ依存するとかオカシイ。
1
豆腐の角 @ayutimali 2020年9月15日
KIKERIKI17 個人的にはこの主張って微妙で、いわゆる統合認証での簡易な個人情報逐次参照全否定ともとれるのでなんだかなーと。
0
キケリキー @KIKERIKI17 2020年9月15日
ayutimali だから、オプトアウトじゃなくて、オプトインにすればいいじゃないですか。「自己の判断と責任において利用する」のですよ。
1
豆腐の角 @ayutimali 2020年9月15日
KIKERIKI17 こと債務処理とか公租公課の支払いとなるとできるだけてきと~に済ませられることをよしとする日本の支払い文化にケンカ売りたいならどうぞ。
0
キケリキー @KIKERIKI17 2020年9月16日
ayutimali なら、ドコモが債務処理をてきと~に済ませたのも、許せるって話になりません?金融機関より収納企業の方が厳しくあるべきって変でしょ?
1
豆腐の角 @ayutimali 2020年9月16日
KIKERIKI17 今回やらかしてんのがゆうちょ銀行関連含めてなべて第三者型前払式支払手段発行者だってこと理解できてない
0
キケリキー @KIKERIKI17 2020年9月16日
ayutimali あの仕組みだと発行者は「NTTドコモ」ですよね?んで、加盟店はD払いとかの加盟店ではないですか?令和2年8月31日現在で、発行者登録してる地銀は広島銀行だけですね。日本郵便オフィスサポーが郵貯を管理してるとも思えないんですけど。ドコモと各種金融機関の関係は口振ですよね。なんか、私の認識間違ってます?
0
豆腐の角 @ayutimali 2020年9月16日
KIKERIKI17 今日ゆうちょ銀行に絡んでいろいろ通達出たから。どちらがというよりどちらもなのよ
0
豆腐の角 @ayutimali 2020年9月16日
この国では税金の源泉徴収と電気ガス水道電話の口座振替ってのがそれこそキャッシュカードにpin直書きで払出のみの自動機が1日何回かに分けてバッチで取引情報やり取りしてた頃から一般的なのよ
0
豆腐の角 @ayutimali 2020年9月16日
口座振替ってのはそもそも請求側に信頼をおいているから成り立つもんで、汎用タイプのデビットとかプリペイドってのは基本継続的でもなきゃ信頼も微妙な決済でリスクを限局化するとこから始まってるから非常に口座振替とは相性悪いの。それを平気でやった事業者も銀行も大概だし、まさに今動いてるからokという現場猫発想。
0
キケリキー @KIKERIKI17 2020年9月16日
ayutimali どうも話が噛み合ってない気がするんですが、今回問題になってるのは「入り口」の話で、引き落とし処理ではないですよ? 「受付サービス」の話ですよ?
0
豆腐の角 @ayutimali 2020年9月16日
KIKERIKI17 ある意味7payの件でも言えるんだけど、一度成立したサービスを拡張して起きたトラブルを考えるときに『何故大丈夫だったのか』を考えない奴が多すぎるから原因潰せない。7payは通販の顧客管理をプリペイド決済に繋いで起きた
0
キケリキー @KIKERIKI17 2020年9月17日
他人のまとめで続けることでもないので最後にしますが、この事件を受けて全銀協は多要素認証しろといって、七十七銀行等早速対応表明している銀行もある。登録電話番号を使った2段階認証になれば、知らん間に勝手にを減らせる。これがわからん人は紙でやったほうが良い。「簡易な個人情報逐次参照」が否定されて利用者も安心だ。
0
豆腐の角 @ayutimali 2020年9月17日
KIKERIKI17 日本でパスワードコロコロが今だに崇拝される理由だよなこういうバカ
0
豆腐の角 @ayutimali 2020年9月17日
KIKERIKI17 あと登録電話番号は対フィッシングには無力でね。日経電子版契約してるなら被害リスト読めるからそれ見て考えて。二段階認証も万全じゃない。
0