｢狙われた地銀｣ドコモ口座の不正送金、犯人“抜き取り”の手口…情報漏洩はどこから？

2020.09.09

1: ペンシクロビル(長野県) [DK] 2020/09/09(水) 07:06:11.57 ID:NiJ+vY/10● BE:323057825-PLT(13000)
sssp://img.5ch.net/ico/asopasomaso.gif
（略）
ドコモ口座は、銀行口座などと連携して残高をチャージし、発行したVisaプリペイドカードやコード決済サービス｢d払い｣の支払いに使ったり、ユーザー同士で送金したりできる決済サービスだ。ドコモの携帯契約があるユーザー以外でも、誰でもdアカウントを作成してドコモ口座を開設できる。
このドコモ口座にオンラインチャージできる銀行は複数あるが、今回その中で一部の地方銀行が狙われた模様だ。
ちょうど、次のような構図になっていたと思われる。
ドコモ口座を使った不正出金の仕組み。チャージしてしまえば｢d払い｣として加盟店で利用できるため、現金化しやすいものを購入するなどして｢出金｣することができる。
犯人はdアカウントとドコモ口座を作成した上で、不正に取得した銀行口座の情報を使って振替設定を行い、ドコモ口座に送金（チャージ）した。ドコモ口座の銀行チャージは1回最大10万円、1カ月最大30万円のため、1口座あたり、最大30万円の被害が発生した可能性がある。
これまで、ドコモは不正アクセスに対する｢2段階認証｣や｢アカウントロック｣｢ドコモ口座の監視｣などのセキュリティ対策を講じていた（ドコモ発表）。しかし、今回は｢銀行側の認証｣を通った口座からのチャージだったため、不正を検知できなかった。
地銀が狙われた、連携の｢弱点｣
ドコモ口座と地銀の連携には、地銀ネットワークサービスが提供する｢Web口振受付サービス｣が利用されている。しかし、認証方式に関してはそれぞれの銀行が個別に判断しているのが実情だ。
今回、被害にあった地銀は、いずれも口座番号、キャッシュカードの暗証番号といった一部の口座情報だけで確認を実施していたとみられる。
銀行によっては、口座に登録した電話番号へのSMSや、メールによる認証を加えるなどの方法でセキュリティを強化しているが、狙われた銀行はそうした設定をしていなかった。
例えばソニー銀行をドコモ口座に登録しようとすると、キャッシュカードの暗証番号入力に加え、カード製造番号の2ケタを記入するメールが登録メールアドレスに送られる。セキュリティレベルとしては高めだ。
本来、キャッシュカードのパスワードが4ケタの番号で成り立つのは、物理的なキャッシュカードを持っていて、さらにATMなどで確認できるからだ。いわゆる、｢カード｣と｢暗証番号｣の2要素認証が成立する。
しかし、今回はオンラインでキャッシュカードの所持が確認できない状態のため、多要素認証になっていない。そうした｢セキュリティの穴｣を突かれた形だ。
dアカウントやドコモ口座は誰でも作成できるサービスであり、本人確認もメールアドレス程度と比較的ゆるい。
他の決済サービスでは、口座名義や住所、生年月日、使用目的などの本人確認がある。ドコモ口座の場合は口座振替ということで、そうした確認がないことが犯人に狙われた理由なのかもしれない。
ただ、口座連携に関しては、銀行側のサイトで登録し、｢本人確認は銀行が実施する｣形なので、ドコモ側では銀行口座と紐づける際の、各行のセキュリティの水準までは関知していなかった。
今回の事件を受け、ドコモは各銀行に対して周知を図っており、銀行側からの要望があれば口座振替の登録などを停止する。
どこから口座情報が｢漏洩｣したのか？
不正利用の発端になった｢情報漏洩｣がどこから起こったのか、だ。
現状では、どういった経路で情報が漏洩したのか判明しておらず、原因は不明だ。各地銀とも｢自社システムから情報が漏洩したという事実は確認されてない｣としている。一方、ドコモ広報も｢ドコモからの情報漏洩もない｣と強調する。
そもそもドコモでは、携帯料金の支払いで口座振替を使うなど、｢銀行口座を登録した人以外の口座情報｣は保有していない。また、ドコモ口座の仕組みは、口座登録時に各銀行のサイトで認証するため、口座情報はドコモに知らされない。ドコモでは、銀行の被害口座が把握できないため、どのドコモ口座へのチャージが｢不正送金｣か分からず、銀行側からの情報提供を待っている状態だ。そのため、ドコモ口座に不正送金された残高がどうなったか現時点で分からないという。
いずれにしても、何らかの手段で、どこかから漏洩した口座番号、キャッシュカードの暗証番号といった一部の情報が悪用され、不正出金が行われた。なお、被害者はドコモユーザーである必要はなく、dアカウントやドコモ口座を所有していなくても、｢犯人が勝手にドコモ口座を作成して口座連携できてしまう｣ため、潜在的には多くの人が被害者になる可能性はまだ残っている。
銀行側では、ドコモ口座以外を含めて口座連携の設定を見直し、必要であれば早急なサービス停止や改善をすべきだろう。利用者側の自衛は難しいが、不審な取り引きがないか、定期的に口座の動きをチェックする方が良さそうだ。
｢狙われた地銀｣ドコモ口座の不正送金、犯人“抜き取り”の手口…情報漏洩はどこから？
全文：
https://www.businessinsider.jp/post-219874

＊関連

ゆうちょ銀もドコモ口座の登録停止　連携銀の過半停止に
エラー
news.livedoor.com
　NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正引き出しが相次いでいる問題で、ゆうちょ銀行は9日、同行の口座とドコモ口座との新たな連携を中断したと発表した。
　同行は「身に覚えのない取引があった場合は、連絡を」と呼びかけている。
（略）

＊当サイト内関連

【地銀】ドコモ口座への不正アクセスはなし　フィッシング詐欺で暗証番号や口座番号が漏洩、または金融機関からの漏洩の可能性

　NTTドコモは、一部銀行で発生しているドコモ口座の不正利用について、同社のシステムへの不正アクセスではないと発表した。　原因は、不正に取得された銀行口座番号やキャッシュカードの暗証番号などが悪用されたものという。被害に関する調査や対策については、銀行と連携して対応していくとしている。

【銀行預金】複数の地銀とイオン銀行で不正な預金引き出しが発生　預金者に無断で開設された #ドコモ口座と紐付けし出金か★１３

ＮＴＴドコモの電子決済サービス「ドコモ口座」を通じて銀行の預金が不正に引き出された問題でＮＴＴドコモは、被害が拡大しているとして、9日からさらに鳥取市の鳥取銀行など14行の口座について新たな登録を停止しました。ドコモ口座は銀行口座を登録して入金すれ

ネットの声

435: オムビタスビル(騒) [AU] 2020/09/09(水) 12:06:36.17 ID:sSwX3atI0

>>1
給付金で口座と名義あつめてた所が怪しいよな

476: バルガンシクロビル(東京都) [RU] 2020/09/09(水) 12:40:07.18 ID:cWCUJ7aE0

>>435
あー民間委託元の派遣が覇権取ったのかｗ

2: テノホビル(新日本) [ﾇｺ] 2020/09/09(水) 07:07:58.64 ID:DdH5X+C30

なるほど。はあ、わかったw

3: テノホビル(神奈川県) [CA] 2020/09/09(水) 07:08:50.51 ID:LMB+RO+z0

ドコモは本人確認をしていないのに口座振替契約を成立させた
これが全て

52: イノシンプラノベクス(ジパング) [US] 2020/09/09(水) 07:45:35.26 ID:b4CtHiRo0

>>3
しかも引き落としチャージ後に換金できる危険な機能付き

245: オムビタスビル(東京都) [CN] 2020/09/09(水) 09:45:57.54 ID:kL5JeTVo0

>>3
これ
各銀行が反社対策してるってのにあまりにもお粗末

271: イノシンプラノベクス(東京都) [US] 2020/09/09(水) 09:51:50.58 ID:fbv+bNzd0

>>3
いまどきワンタイムパスワード認証すらしてない銀行が糞なんだろ

272: ガンシクロビル(神奈川県) [US] 2020/09/09(水) 09:51:56.65 ID:o+b+w0SV0

>>3
してる。銀行のWeb口座振替受付サービスにログインできたという事実が本人確認になっている。ガバセキュリティだが法律で許されている。

282: イドクスウリジン(埼玉県) [DE] 2020/09/09(水) 09:53:55.69 ID:1h1oXH6z0

>>272
セキュリティの穴をついた確信犯

353: ドルテグラビルナトリウム(北海道) [ﾆﾀﾞ] 2020/09/09(水) 10:19:05.20 ID:ektj7VJU0

>>272

https://www.jp-bank.japanpost.jp/hojin/cs/hj_cs_kozafurikae.html
>ゆうちょ銀行では、利用者が正当権利者であることを、利用者の生年月日とキャッシュカードの暗証番号で確認します。

こんなんで本人確認を済ますってことは不正取引の損失を銀行側で被る覚悟なんだと思ってたわ

392: ホスフェニトインナトリウム(茸) [ES] 2020/09/09(水) 10:41:39.15 ID:dSFou+RP0

>>353
ゆうちょ銀行さん、生年月日と暗証番号だけで口座の権利確認するなら、
キャッシュカードも通帳も持たずに手ぶらで窓口に行ってその3点だけ伝えたら出金できるようにしなさいよ。

カードか通帳が必要でしょ？実際は。確かに預金者が持っているモノが。その確認を省くなっつーの。

396: ドルテグラビルナトリウム(北海道) [ﾆﾀﾞ] 2020/09/09(水) 10:45:55.98 ID:ektj7VJU0

>>392
楽天銀行のゆうちょとの連携を使ってるが、これの申し込みは紙での自動払込申し込みを使ってるんだよな
web申し込みになった途端に口座名義も住所も不要にするなんて、ゆうちょも気が狂ってるとしか思えない

453: コビシスタット(愛知県) [MU] 2020/09/09(水) 12:24:50.19 ID:Ymz7ZW240

>>272
俺はさっき該当銀行支店に行って、出金とWeb口座振替受付サービスの停止手続きを済ませて来た。

284: アデホビル(北海道) [US] 2020/09/09(水) 09:54:11.03 ID:lwnA8p720

>>3
ドコモに対して集団訴訟しないの？誰か立ち上がれよ

4: メシル酸ネルフィナビル(地図に無い島) [US] 2020/09/09(水) 07:10:30.81 ID:JBjRxNJT0

指摘を受けている17行は使わん方がええ
という認識でおk?

5: テラプレビル(埼玉県) [RU] 2020/09/09(水) 07:13:06.59 ID:tvrqnWzL0

>>4
可能ならそれでいいと思うよ
他でも似たようなサービスで悪用されてる可能があるから

35: メシル酸ネルフィナビル(東京都) [US] 2020/09/09(水) 07:32:55.15 ID:bbLTgq/m0

>>4
菅｢この機会に減らすか｣

6: アデホビル(ジパング) [US] 2020/09/09(水) 07:13:22.92 ID:FlAoPxnO0

地銀改革待ったなしやな

526: ラニナミビルオクタン酸エステル(埼玉県) [ES] 2020/09/09(水) 13:29:06.27 ID:HtfEpjmQ0

ドコモ口座というネーミングが悪いな
銀行口座と混同しやすいから他社は敢えて避けてる表現だろ

529: エファビレンツ(愛知県) [TW] 2020/09/09(水) 13:43:59.14 ID:hjtgPgPF0

地銀にネットセキュリティを強化出来るほどの体力があるんか

533: アメナメビル(東京都) [ﾆﾀﾞ] 2020/09/09(水) 13:50:02.68 ID:ov7MviYX0

>>529
地銀は大昔から電算システムは共同センター方式だから割となんとでもなる
つまりその何行かごとの纏まりで一蓮托生

534: オセルタミビルリン(千葉県) [CN] 2020/09/09(水) 13:52:25.13 ID:rg0ThLrs0

>>533
なるほどな
やっぱりそうした中枢に中国の手先入れたって推理は間違ってなさそうだな

530: バルガンシクロビル(秋田県) [MX] 2020/09/09(水) 13:46:49.35 ID:P9G/wVVI0

よくわからないけど
ドコモ口座対応銀行でなければ被害あわないんだろ

532: ピマリシン(茸) [JP] 2020/09/09(水) 13:49:12.75 ID:pzIyHWOc0

>>530
多分ね

まず犯人が口座番号と口座名義人を知ってて、この口座の金を自由に使いたいな～
って時に本人確認がザルなドコモ口座を利用するって事だから

537: バルガンシクロビル(秋田県) [MX] 2020/09/09(水) 13:56:53.56 ID:P9G/wVVI0

全ての銀行でなく17行しかドコモ口座に対応してないんだから
尚更テレビで報道しないでしょう

538: エルビテグラビル(茸) [ﾆﾀﾞ] 2020/09/09(水) 14:01:06.20 ID:g50UGTcI0

>>537
しかも地銀、第２地銀が主だからなぁ。
宮城ではニュースになってもいいレベルだと思うけど。

540: バルガンシクロビル(ジパング) [ﾆﾀﾞ] 2020/09/09(水) 14:05:57.51 ID:xaSvXO3/0

まあ大スポンサーであるドコモに忖度して大々的に報道できない面は確実にあると思うが、それ以上に金融機関の取り付け騒ぎには慎重にせざるを得ない。最悪、該当金融機関の破綻に留まらず金融恐慌すら起こすものだからね。

548: オセルタミビルリン(千葉県) [CN] 2020/09/09(水) 14:21:06.93 ID:rg0ThLrs0

>>540
それ
今、テレビの生命線はケータイ会社のCMって聞いた事がある
報道に期待は出来ないだろうなw

543: ソリブジン(千葉県) [US] 2020/09/09(水) 14:10:35.27 ID:aBXbMNVz0

犯人捕まえてからの答え合わせになるような感じと妄想しました

544: バルガンシクロビル(秋田県) [MX] 2020/09/09(水) 14:11:45.96 ID:P9G/wVVI0

ドコモ口座は結構ネームバリュウありそうなのに
17行しか参加してないのは地銀担当者に
セキュリティがヤバいと思われてたんでしょうか

546: ドルテグラビルナトリウム(長野県) [FR] 2020/09/09(水) 14:18:17.99 ID:AA+UnIxn0

ドコモ口座開設　本人確認は携帯にショートメールに届いた暗証番号を入力に改正
https://hayabusa9.5ch.net/test/read.cgi/news/1599627634/
　　　

552: ダサブビル(東京都) [DE] 2020/09/09(水) 14:36:31.95 ID:Uy29cFPh0

>>546
これ根本的な対策になるの？

547: ラミブジン(大阪府) [US] 2020/09/09(水) 14:18:24.50 ID:gfS3bxNt0

ネットバンキングでキャッシュカードと同じ4ケタ数字をパスワードにしてるてマ？

549: テノホビル(SB-Android) [US] 2020/09/09(水) 14:23:59.73 ID:Jvq5oURu0

即時振替サービスって、他のサイトでも取り扱いがあるんだけど、
料金の支払いとか、商品の購入とかで目的が限られてる。
商品を購入しても、受取りというハードルがある。

本来なら「住所」「漢字氏名」「かな氏名」「口座番号」「銀行印」の書かれた書類と「身分証明書のコピー」を提出して、「登録された住所での書類の受取（郵送）」をしないと開始できない送金等のネットバンキングサービスを「口座番号」「口座名義」「生年月日」「パスワード」だけでネットでできるようにしてしまうという恐ろしいシステムだよね

550: リトナビル(東京都) [CN] 2020/09/09(水) 14:24:19.17 ID:2PmvSxij0

セブンイレブンの電子マネーといい、なんかシステム設計の基本中の基本でずっこけてるよなぁ。
自社のシステムエンジニアなんか外部の会社に発注、で、受注した会社はさらに下請けに発注。
なんでゼネコンみたいなことやってから、おかしいシステムが出来上がるんだよ。

551: ペラミビル(SB-iPhone) [IN] 2020/09/09(水) 14:35:11.35 ID:/dOrwL9R0

ゆうちょ銀行が動いたね

553: ラニナミビルオクタン酸エステル(兵庫県) [GB] 2020/09/09(水) 14:43:41.56 ID:Ab4c0jga0

暗証番号を破った方法は
１）報道ではフイッシングサイト
２）スレでは４桁総当たり
さてどっち

558: ペンシクロビル(岐阜県) [GB] 2020/09/09(水) 14:56:15.50 ID:YGfdLVCQ0

>>553
暗証番号までフィッシュングで抜いてるならわざわざドコモ経由しなくても即座にしゃぶり尽くしてるんじゃね？

555: ラニナミビルオクタン酸エステル(兵庫県) [GB] 2020/09/09(水) 14:48:28.59 ID:Ab4c0jga0

これだけ大騒ぎになってもドコモ口座に対して営業停止命令を出せないのは役所間の
縄張りの壁なんだろね

556: アシクロビル(光) [AE] 2020/09/09(水) 14:50:52.19 ID:dq5+z7G90

ここから地銀叩きが始まるのか