新着Pick
株式会社NTTドコモ(エヌティティドコモ、英語: NTT DOCOMO, INC.)は、携帯電話の無線通信サービスを提供する、日本最大の移動体通信事業者 (MNO)である。日本電信電話株式会社 (NTT) の子会社。日経平均株価及びTOPIX Core30の構成銘柄である。 ウィキペディア
業績
シェア 
ITmedia 
国内外のIT情報をスピーディ、かつ、圧倒的なボリュームで提供。日々の生活や業務の中で、ITをフル活用している先進的なユーザーから圧倒的な支持を得ています。
関連記事一覧
[更新]「狙われた地銀」ドコモ口座の不正送金、犯人“抜き取り”の手口情報漏洩はどこから?
Business Insider Japan 19Picks
被害者全員がドコモ口座持たず スマホ決済使わない人が標的
産経ニュース 5Picks
ドコモ口座、メアドだけで開設できる不備 被害6行確認
朝日新聞デジタル 5Picks
ドコモ口座、被害1200万円 全額補償へ銀行と協議
共同通信 4Picks
ドコモ口座を悪用した不正送金についてまとめてみた
piyolog 4Picks
なぜ、ドコモ口座は「本人確認が不十分」だったのか 「ドコモユーザー以外にも開放」戦略の“誤算”
ITmedia ビジネスオンライン 4Picks
なぜ、ドコモ口座は「本人確認が不十分」だったのか 「ドコモユーザー以外にも開放」戦略の“誤算”(ITmedia ビジネスオンライン)
Yahoo!ニュース 4Picks
「ドコモ口座」不正出金発覚後、残高確認したのは半数以下――日本トレンドリサーチ調査
ITmedia マーケティング 3Picks
ドコモ口座の不正引き出し、17行で連携中断 被害総額不明(朝日新聞デジタル)
Yahoo!ニュース 3Picks
ドコモ口座不正出金、地方メディア「過小報道」で露呈した“ドコモ&地銀タブー”
ビジネスジャーナル 3Picks
総合トップ
マイニュース
オリジナル記事
番組
他方、メガバンクやネット銀行等は、IBのID/PASSと乱数表やOTP等の他要素認証が必須となっているケースが多く、同じ手口では契約を成立させる事ができず、狙われなかったと考えられます。
また、この手口は新しいものではなく、以前から複数のペイメントサービスにおいて発生していたものです。
今回狙われた地銀(CNS)側の対応としては、口座番号+4PINから変えるのはシステム的な対応コストがかかると思うので、2要素認を実装してセキュリティ強度を上げる事が考えられますが、外部に出せる認証機能がない場合は、設定画面をどこに設けるのか?という課題があり、短期的に解決する事は難しいでしょう。
決済事業者の対応としては、オンライン口振契約のセキュリティ強度が低い場合、前払いであっても自主的にKYCを行うという対応が考えられます。
なお、銀行の口振契約が成立したらKYC済になるのは、警察庁所管の犯罪収益移転防止法の令第13条第1項第1号にある、特定事業者が他の特定事業者に委託して行う7条第1項第1号に定める取引に基づいており、資金移動業者が銀行に依拠しKYC済としています。
米国や中国等には類似の規定はない為、海外では考えられないというご指摘はもっともですが、我が国にはオンライン上で簡便にKYCを行う手段がなかった為、多様されてきました。
eKYCの普及、特にマイナンバーカードによるオンライン完結型で即時のKYCが普及すれば、安全性と利便性のバランスが良い方に流れて行くと思われます。
この辺りの話はOIDFJにてリポートを出しておりますので、ご参考下さい。
https://www.openid.or.jp/news/2020/01/kycwg-report.html
今回はドコモ口座と地銀が論点になっておりますが、不正犯はプリペイド残高の現金化(所謂マネロン)を行っているはずです。入り口から出口までを一気通貫で議論し、対策を検討しないと片手落ちになってしまいますので出口の強化も重要だと思います。
所詮、10の4乗の中に必ずあるのですから。
パソコンを使うよりスマホの方が安全だそうですが、ますますスマホが必需品になりつつありますね。
dアカウントの登録もデタラメでも行える状況だったよう。
本人確認等のステップはユーザーにとっては確かに煩わしい面もありますが、やはりセキュリティは非常に大事だなと思います。
確かに、dアカウントは、パソコンからでもアクセスして作成することが出来てしまいます。というより、古くからのドコモユーザーは、幾つものドコモユーザーアカウントを経て今のdアカウントになっているので、dアカウントを作ったという認識がない人も多いのでは?
→私はそうです、長いドコモユーザーなので。
銀行口座を使った本人確認手続きは、日本では金融庁が認めている手続きではありますが、日本のように、かつては銀行口座が簡単に作れてしまう国で、銀行口座の4桁の暗証番号と氏名だけで本人確認が出来てしまうのは、安易ですね。
つまり、銀行口座の管理レベルが銀行によってかなり差がある実情を考えると、これを一律に本人確認手続きと認めることにも問題があると感じます。
ちなみに、今銀行では、住所変更手続きをコールセンターだけで完結するサービスが導入されつつあります→私がやったのはメガバンクだけ
これだと、その口座の本当の所有者であることを、通帳に記帳してある口座残高を使うので、いわゆる休眠口座だと本人すら利用出来ないと思われます。
中々良く出来ているな…と、使って感じましたが、通帳そのものが廃止されると使えないサービスでもあります。通帳を有料化したら、どうするのか?気になります。
つけこまれる特徴があったことが
わかってきた。
初めての端末からアクセスなら2段階認証、それだけで防げるのに。
口座番号をキーにして、パスワード間違いチェックしてるだけだから、パスワード固定で口座番号変えるのは通る。
ならば、突破は容易い。
杜撰ですね。