新着Pick
株式会社七十七銀行(しちじゅうしちぎんこう、英文名称:The 77 Bank, Ltd.)は、宮城県仙台市に本店を置く大手地方銀行。地元の宮城県内では、しちしちの略称で呼ばれることもある。 ウィキペディア
時価総額
1,086 億円
業績
シェア 
株式会社NTTドコモ(エヌティティドコモ、英語: NTT DOCOMO, INC.)は、携帯電話の無線通信サービスを提供する、日本最大の移動体通信事業者(MNO)。日本電信電話(NTT)の完全子会社。 ウィキペディア
業績
シェア 
関連記事一覧
ドコモ商品を宣伝した人に報酬を支払う「ドコモ アフィリエイト」スタート
ITmedia NEWS 190Picks
eKYCとはなにか。ドコモ口座問題で注目を集める「本人確認」
Impress Watch 49Picks
「ドコモ口座」問題は他人事ではない!企業を揺るがす「二段階認証」の勘違い
マネー現代 43Picks
ドコモ口座問題と本人確認手続/KYCのあり方について
note(ノート) 11Picks
歯切れ悪い「ドコモ口座不正」謝罪会見、なぜ銀行側の問題に言及しないのか
Business Insider Japan 8Picks
NTT 4兆3000億円でドコモを完全子会社化
週刊BCN+ 7Picks
ドコモ口座不正引き出し、狙われた脆弱性 キャッシュレス推進にも逆風
産経ニュース 6Picks
もはや「“ドコモ口座”だけの問題」ではない不正出金。いまやるべきことは?
Business Insider Japan 4Picks
ドコモ口座問題で社長が謝罪 被害は「半分くらい返金」
共同通信 4Picks
ドコモ口座を利用した不正預金引き出しへの対策、セキュリティに強い銀行を選ぶ!
BCN+R 4Picks
総合トップ
マイニュース
オリジナル記事
番組
メガバンクやネット銀行系はIBのID/PASSと乱数表やワンタイム等の2要素が必須となっているケースが多いので、同じ手口では破られる事はないと思いますが、一部の地銀さん等はオンライン口振の認証が銀行口座番号と暗証番号となっているので、狙われやすいのでしょう。
なおこの手口は新しいものではなく、以前から複数のペイメントサービスにおいて発生していたものです。
決済事業者側からすると、銀行によっては名義だけでなく付記(セキュリティリスクになるので具体的な記載は避けます)情報の突合も行う等していますが、銀行のインターフェイスにのっている情報が限定的なので、できることも限られている為、オンライン口振の登録手続きの認証を強化するというよりは、リスクベースアプローチでの分析・対策が中心になっています。追加実装でできる対応としては、オンライン口座振替契約のセキュリティ強度が低い銀行に関してはKYCを必須にする等は考えられます。
恒久的には銀行側のオンライン口振の実装を変えてもらうしかないわけですが、システム対応はコストがかかるので難しいところです。
当面はモニタリングを強化し、引き出し限度額・回数を抑える等をして被害を抑えるということはできますが、安全性を考えると、追加対応ができるまでは登録停止にするのがユーザーファーストだと思います。
とにかく気をつけるしかないですね…
ただし、地方銀行とドコモ口座という組み合わせに
つけ込まれやすい特徴があるのかもしれません(現時点でははっきりしない)。
手口は、以下とされている。
①本人が知らないうちに、「ドコモ口座」をつくる
②そこに被害銀行の口座名義、口座番号、暗証番号(4桁)を入力して、
「口座振替登録」をする
③ドコモ口座から出金する
②で、暗証番号だけで口座振替登録ができるところに問題がありそう。
ネット銀行やメガバンクの場合は、口座振替登録をする際に、
ワンタイムパスワードやSMS認証が必要なので同じ問題は起きない。
②をする際に、総当たり方式で暗唱番号が突破されている場合は、ドコモにも問題がある。(回数制限をしていない。)
そうでない場合は、被害銀行か、別のルートで、犯人が暗唱番号を入手したことになる。
『ドコモからのお知らせ : 一部銀行の口座情報を使用したドコモ口座の不正利用について | お知らせ | NTTドコモ』
https://www.nttdocomo.co.jp/info/notice/page/200908_02_m.html
メガバンク系はネットバンキングのID、パスワードとワンタイムパスワードで登録を行うことが多いですが、地銀系は銀行口座番号に加えて、生年月日と口座残高の下4桁で登録するケース、キャッシュカード暗証番号で登録するケースなど、様々です。つまり、登録にあたって動的な情報が必要になるケースと、静的な情報のみで登録できるケースの2つがあるということです。
当然、後者の登録方式を採用する銀行のセキュリティは甘くなります。
地銀はWeb口座振替について、自行ではなくネットバンキングの基盤を開発するシステムベンダーに開発を依頼するケースが多いため、セキュリティをどう担保するかはベンダー側の仕様に依存することになります。
今回の件はドコモ口座側の仕様の問題もありますが、キャッシュレス決済の高まりでニーズが増えてきたWeb口振について、銀行側のセキュリティ管理が完全に外部任せになっていることが大きいと思います。
銀行口座番号や生年月日、暗証番号などの静的情報はすでにダークマーケットに出回っているという前提で、認証登録系の仕様を考え直す必要があるのではないでしょうか。
サービスを利用する個人としては、受動的なキッカケ(SMSなど)で極力、自分の口座情報などを入力しないことが重要ですね。
銀行側のセキュリティを強化するのももちろん大切ですが、フィッシングにひっかかると2要素認証も突破される時代ですから、ユーザーのリテラシーを向上させることも重要だと思います。
怪しいメールやサイトは開かない、それっぽいメールやサイトもドメインや差出人アドレスを確認する、口座情報やカード情報を入力する場合はまず疑え、などなど。