今日のオリジナル番組


詳細を確認
どこでも栽培可能!?「農業イノベーション」
本日配信
187Picks
Pick に失敗しました

人気 Picker
今回狙われた地銀さんの共通項はオンライン口振契約が簡便という点です。記事にある通り、CNSさんが提供しているWeb口振受付サービスは、口座番号、名義の突合、暗証番号で口振契約が成立します。(地銀さんによって異なる為、十把一絡げにはしないで下さい)

他方、メガバンクやネット銀行等は、IBのID/PASSと乱数表やOTP等の他要素認証が必須となっているケースが多く、同じ手口では契約を成立させる事ができず、狙われなかったと考えられます。

また、この手口は新しいものではなく、以前から複数のペイメントサービスにおいて発生していたものです。

今回狙われた地銀(CNS)側の対応としては、口座番号+4PINから変えるのはシステム的な対応コストがかかると思うので、2要素認を実装してセキュリティ強度を上げる事が考えられますが、外部に出せる認証機能がない場合は、設定画面をどこに設けるのか?という課題があり、短期的に解決する事は難しいでしょう。

決済事業者の対応としては、オンライン口振契約のセキュリティ強度が低い場合、前払いであっても自主的にKYCを行うという対応が考えられます。

なお、銀行の口振契約が成立したらKYC済になるのは、警察庁所管の犯罪収益移転防止法の令第13条第1項第1号にある、特定事業者が他の特定事業者に委託して行う7条第1項第1号に定める取引に基づいており、資金移動業者が銀行に依拠しKYC済としています。

米国や中国等には類似の規定はない為、海外では考えられないというご指摘はもっともですが、我が国にはオンライン上で簡便にKYCを行う手段がなかった為、多様されてきました。

eKYCの普及、特にマイナンバーカードによるオンライン完結型で即時のKYCが普及すれば、安全性と利便性のバランスが良い方に流れて行くと思われます。

この辺りの話はOIDFJにてリポートを出しておりますので、ご参考下さい。
https://www.openid.or.jp/news/2020/01/kycwg-report.html

今回はドコモ口座と地銀が論点になっておりますが、不正犯はプリペイド残高の現金化(所謂マネロン)を行っているはずです。入り口から出口までを一気通貫で議論し、対策を検討しないと片手落ちになってしまいますので出口の強化も重要だと思います。
「ユーザーのドコモ口座から他のドコモ口座に送金したり、銀行口座に出金したりするには本人確認が必要としているが、本人確認の方法は「銀行口座の登録」であるため、今回のように第三者が銀行口座を登録できてしまった場合の防壁としては機能しない。また、本人確認をしなくてもドコモのモバイル決済サービス「d払い」でネットや街の店舗での支払いに利用できる。」
dアカウントの登録もデタラメでも行える状況だったよう。
本人確認等のステップはユーザーにとっては確かに煩わしい面もありますが、やはりセキュリティは非常に大事だなと思います。
この記事を読むと、今まで漠然と感じていたdアカウントに対するセキュリティの不安が明確になります。
確かに、dアカウントは、パソコンからでもアクセスして作成することが出来てしまいます。というより、古くからのドコモユーザーは、幾つものドコモユーザーアカウントを経て今のdアカウントになっているので、dアカウントを作ったという認識がない人も多いのでは?
→私はそうです、長いドコモユーザーなので。

銀行口座を使った本人確認手続きは、日本では金融庁が認めている手続きではありますが、日本のように、かつては銀行口座が簡単に作れてしまう国で、銀行口座の4桁の暗証番号と氏名だけで本人確認が出来てしまうのは、安易ですね。
つまり、銀行口座の管理レベルが銀行によってかなり差がある実情を考えると、これを一律に本人確認手続きと認めることにも問題があると感じます。

ちなみに、今銀行では、住所変更手続きをコールセンターだけで完結するサービスが導入されつつあります→私がやったのはメガバンクだけ

これだと、その口座の本当の所有者であることを、通帳に記帳してある口座残高を使うので、いわゆる休眠口座だと本人すら利用出来ないと思われます。
中々良く出来ているな…と、使って感じましたが、通帳そのものが廃止されると使えないサービスでもあります。通帳を有料化したら、どうするのか?気になります。
4桁の暗証番号などは、機械を使って総当りすれば解除は容易でしょう。

所詮、10の4乗の中に必ずあるのですから。

パソコンを使うよりスマホの方が安全だそうですが、ますますスマホが必需品になりつつありますね。
やはり、「地方銀行+ドコモ口座」という組合せに
つけこまれる特徴があったことが
わかってきた。
地銀の『口座番号』『名義』『4桁の暗証番号』の入力だけで決済事業者側がKYC済とできてしまうのは犯収法に基づいているのだとおもいますが、もはや時代にあっていないのかもしれませんね。。

インターネット上の認証としては、やはりOTP認証など所持認証(what you have)を組み合わせて利用できないと、セキュリティ的には安心できないですね。一方で上記のような二要素認証になっていたとしてもフィッシングにかかると不正に突破される可能性はありますから、ユーザーリテラシー向上もますます重要になってくると考えます。
※個人的な見解です。
端末チェック無いからね。
初めての端末からアクセスなら2段階認証、それだけで防げるのに。

口座番号をキーにして、パスワード間違いチェックしてるだけだから、パスワード固定で口座番号変えるのは通る。

ならば、突破は容易い。

杜撰ですね。
契約数で国内トップの移動体通信事業者。携帯電話サービスを中心とした通信事業のほか、動画・音楽・電子書籍配信を行うdマーケットなどのスマートライフ事業、携帯補償サービスやシステム開発を行うその他事業を展開。中期的に5G通信を軸としたサービス展開拡大を目指す。

業績