ドコモと七十七銀行、「ドコモ口座」への口座登録をストップ--不正利用の発覚で
コメント
注目のコメント
一部ではドコモ口座からの流出のような憶測や、被害が七十七銀行に限定されてるような記載もございますが、フィッシング等で入手した口座番号と暗証番号を新規登録したドコモ口座に登録し口振経由でチャージするという手口だと思うので、銀行口座番号と暗証番号でオンライン口振契約ができる仕組みの銀行であれば、同様の被害が発生しうるはずです。
メガバンクやネット銀行系はIBのID/PASSと乱数表やワンタイム等の2要素が必須となっているケースが多いので、同じ手口では破られる事はないと思いますが、一部の地銀さん等はオンライン口振の認証が銀行口座番号と暗証番号となっているので、狙われやすいのでしょう。
なおこの手口は新しいものではなく、以前から複数のペイメントサービスにおいて発生していたものです。
決済事業者側からすると、銀行によっては名義だけでなく付記(セキュリティリスクになるので具体的な記載は避けます)情報の突合も行う等していますが、銀行のインターフェイスにのっている情報が限定的なので、できることも限られている為、オンライン口振の登録手続きの認証を強化するというよりは、リスクベースアプローチでの分析・対策が中心になっています。追加実装でできる対応としては、オンライン口座振替契約のセキュリティ強度が低い銀行に関してはKYCを必須にする等は考えられます。
恒久的には銀行側のオンライン口振の実装を変えてもらうしかないわけですが、システム対応はコストがかかるので難しいところです。
当面はモニタリングを強化し、引き出し限度額・回数を抑える等をして被害を抑えるということはできますが、安全性を考えると、追加対応ができるまでは登録停止にするのがユーザーファーストだと思います。マイナポイントがらみで、こうした問題はまだまだ起きると思います。キャッシュレスが一般化するための生みの苦しみとは思いますが、ドコモも銀行も悪い奴に負けないよう頑張ってほしい。