135Picks
Pick に失敗しました

人気 Picker
一部ではドコモ口座からの流出のような憶測や、被害が七十七銀行に限定されてるような記載もございますが、フィッシング等で入手した口座番号と暗証番号を新規登録したドコモ口座に登録し口振経由でチャージするという手口だと思うので、銀行口座番号と暗証番号でオンライン口振契約ができる仕組みの銀行であれば、同様の被害が発生しうるはずです。

メガバンクやネット銀行系はIBのID/PASSと乱数表やワンタイム等の2要素が必須となっているケースが多いので、同じ手口では破られる事はないと思いますが、一部の地銀さん等はオンライン口振の認証が銀行口座番号と暗証番号となっているので、狙われやすいのでしょう。

なおこの手口は新しいものではなく、以前から複数のペイメントサービスにおいて発生していたものです。

決済事業者側からすると、銀行によっては名義だけでなく付記(セキュリティリスクになるので具体的な記載は避けます)情報の突合も行う等していますが、銀行のインターフェイスにのっている情報が限定的なので、できることも限られている為、オンライン口振の登録手続きの認証を強化するというよりは、リスクベースアプローチでの分析・対策が中心になっています。追加実装でできる対応としては、オンライン口座振替契約のセキュリティ強度が低い銀行に関してはKYCを必須にする等は考えられます。

恒久的には銀行側のオンライン口振の実装を変えてもらうしかないわけですが、システム対応はコストがかかるので難しいところです。

当面はモニタリングを強化し、引き出し限度額・回数を抑える等をして被害を抑えるということはできますが、安全性を考えると、追加対応ができるまでは登録停止にするのがユーザーファーストだと思います。
フィッシングもどんどん高度化?されていて、わからないと聞きます。本人確認書類偽造も増えているよう…
とにかく気をつけるしかないですね…
マイナポイントがらみで、こうした問題はまだまだ起きると思います。キャッシュレスが一般化するための生みの苦しみとは思いますが、ドコモも銀行も悪い奴に負けないよう頑張ってほしい。
フィッシングが原因との見方。口座開設には本人確認が必須なので犯人の特定はできると思います。
この犯罪は、出金可能な「Wallet」サービスでも起こりえるかもしれないので、関係者はかなり敏感になっているのでは?

ただし、地方銀行とドコモ口座という組み合わせに
つけ込まれやすい特徴があるのかもしれません(現時点でははっきりしない)。

手口は、以下とされている。
①本人が知らないうちに、「ドコモ口座」をつくる
②そこに被害銀行の口座名義、口座番号、暗証番号(4桁)を入力して、
「口座振替登録」をする
③ドコモ口座から出金する


②で、暗証番号だけで口座振替登録ができるところに問題がありそう。
ネット銀行やメガバンクの場合は、口座振替登録をする際に、
ワンタイムパスワードやSMS認証が必要なので同じ問題は起きない。

②をする際に、総当たり方式で暗唱番号が突破されている場合は、ドコモにも問題がある。(回数制限をしていない。)
そうでない場合は、被害銀行か、別のルートで、犯人が暗唱番号を入手したことになる。
docomoの発表では、自社のシステムに不正侵入は無いみたいですね。

『ドコモからのお知らせ : 一部銀行の口座情報を使用したドコモ口座の不正利用について | お知らせ | NTTドコモ』
https://www.nttdocomo.co.jp/info/notice/page/200908_02_m.html
銀行口座からスマホ決済系のサービスへ入金をするためのWeb口座振替というのは、銀行によって口座の登録方法が異なります。

メガバンク系はネットバンキングのID、パスワードとワンタイムパスワードで登録を行うことが多いですが、地銀系は銀行口座番号に加えて、生年月日と口座残高の下4桁で登録するケース、キャッシュカード暗証番号で登録するケースなど、様々です。つまり、登録にあたって動的な情報が必要になるケースと、静的な情報のみで登録できるケースの2つがあるということです。

当然、後者の登録方式を採用する銀行のセキュリティは甘くなります。

地銀はWeb口座振替について、自行ではなくネットバンキングの基盤を開発するシステムベンダーに開発を依頼するケースが多いため、セキュリティをどう担保するかはベンダー側の仕様に依存することになります。

今回の件はドコモ口座側の仕様の問題もありますが、キャッシュレス決済の高まりでニーズが増えてきたWeb口振について、銀行側のセキュリティ管理が完全に外部任せになっていることが大きいと思います。

銀行口座番号や生年月日、暗証番号などの静的情報はすでにダークマーケットに出回っているという前提で、認証登録系の仕様を考え直す必要があるのではないでしょうか。

サービスを利用する個人としては、受動的なキッカケ(SMSなど)で極力、自分の口座情報などを入力しないことが重要ですね。
七十七銀行の口座情報がフィッシングサイト等で不正に取得され、第三者のドコモ口座にチャージされたという事例。

銀行側のセキュリティを強化するのももちろん大切ですが、フィッシングにひっかかると2要素認証も突破される時代ですから、ユーザーのリテラシーを向上させることも重要だと思います。
怪しいメールやサイトは開かない、それっぽいメールやサイトもドメインや差出人アドレスを確認する、口座情報やカード情報を入力する場合はまず疑え、などなど。
七十七銀行の口座とドコモ口座を使った不正利用が報告されているようです、ご注意ください
輝かしい?華やか?にデジタルトランスフォーメーション(DX)という言葉が行き交い、プロジェクトが立ち上がるのは良い事なのだが、オンラインでなんでもできるようになってきた際のセキュリティ(サイバーセキュリティ)についても抜け漏れのないよう…
株式会社七十七銀行(しちじゅうしちぎんこう、英語: The 77 Bank, Ltd.)は、宮城県仙台市に本店を置く大手地方銀行。地元の宮城県内では、しちしちの略称で呼ばれることもある。 ウィキペディア
時価総額
2,652 億円

業績

株式会社NTTドコモ(エヌ・ティ・ティ・ドコモ、英語: NTT DOCOMO, INC.)は、携帯電話の無線通信サービスを提供する、日本最大手の移動体通信事業者 (MNO) である。日本電信電話 (NTT) の完全子会社。 ウィキペディア

業績