I know who Iam.
今回の問題で、NTTドコモは、何者かが預金者になりすましてドコモ口座を開いたうえで、不正に入手した銀行の口座番号やキャッシュカードの暗証番号などを使って、銀行の口座からドコモ口座に送金したのではないかとみています。
NTTドコモは、再発を防ぐため、ドコモ口座を開く際の本人確認を強化する方針を固めました。
具体的には、これまでのメールアドレスによる本人確認をとりやめ、必ず携帯電話の番号を入力してもらい、その携帯電話にショートメールで届いた暗証番号を入力してもらう仕組みに改める方針です。
情報源: ドコモ口座被害 イオン銀なども|NHK 首都圏のニュース
これって「誰が現金を引き出したのか」って情報には近づくかもしれんけど、根本的に銀行の認証がお粗末な状態のままだったら、他人の銀行口座を紐付けするって事の防止策にはなってないわな。
前回ブログで引用した部分
ドコモ口座は、銀行口座を登録してチャージ(入金)することで送金や買い物がスマートフォンなどで行えるサービス。銀行の口座番号や暗証番号などの情報を不正に盗み出した第三者が、ドコモ口座を開設して預金を引き出したとみられる。
これって、複数行で漏洩事件なんか起こってたら、大事なので有り得ないと書いたが、これはドコモの見解で、要は、「口座紐付けがなされた場合、それが正当なのかは判断できないので、損害賠償しません」と約款に書いてあるので、「そうであって欲しい」というだけの話だな 🙂
最初の被害者には、「あんたが口座番号と暗証番号漏らしたんだろ?」みたいな対応で、全然取り合って貰えなかったと言ってたな。
実際は、銀行の認証がグダグダで、第三者に簡単に突破されるお粗末なシステムだったのと、ドコモ口座で銀行口座連携した時にそれが本人のものかどうかの確認無しで、資金移動を可能にした事で、「口座番号と暗証番号がどこからか漏洩した」などと主張するには無理がある。
で、銀行の認証としては、パスワード3回間違えたらロックするってのはやられているようで、今回行われたのは、リバースブルートフォースアタックと言われるものだそうだ。
これは、パスワードを固定して、口座番号を片っ端から変えて認証突破しようとする攻撃らしい。これだと、各口座番号につき、1回しか問い合わせをしないので、パスワード破りを検出されてロックされる事が無い。
例えば、「暗証番号マンドクセーから 1234 だ。」なんて口座が沢山あると想定して、暗証番号1234で、色々な口座番号を試したら、何個か破れるのはあるだろう。
たった4桁の暗証番号のみで、認証してしまおうというセキュリティの意識に乏しいシステムにしてしまったのが敗因ですな。
銀行の預金口座で、NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出し被害が相次いでいることが8日、分かった。七十七銀行(仙台市)と中国銀行(岡山市)、東邦銀行(福島市)、滋賀銀行(大津市)、鳥取銀行(鳥取市)などで確認された。ドコモによると、疑いがあるものも含めて17行に上るという。
情報源: 「ドコモ口座」、17行で不正利用 預金引き出し被害相次ぐ:時事ドットコム
滋賀銀行もだってよ。
滋賀銀行はネットバンクにJavascriptでWindowsかどうかのチェックしてたり、色々とムカつくので金いれてない 🙂
メインの銀行はドコモ口座の対象銀行じゃないから、わしは取り敢えず大丈夫だな。
ドコモ口座は、銀行口座を登録してチャージ(入金)することで送金や買い物がスマートフォンなどで行えるサービス。銀行の口座番号や暗証番号などの情報を不正に盗み出した第三者が、ドコモ口座を開設して預金を引き出したとみられる。
口座番号と暗証番号が第三者に漏れるって致命的な不祥事だが、複数の銀行に渡ってそんな事がある訳無いだろう。
セブンペイでやらかしたみたいに総当りで破られてるとしか思えんわ。
多分、銀行側の認証システムがクソな所が破られてるんだろうし、これはセブンペイと同じ末路だな。