1: 雷 ★ 2020/09/18(金) 13:32:48.74 ID:A0A1ARIW9(略)
そして先ほどのゆうちょ銀行のお知らせにあった「2要素認証」だ。サービス事業者のアカウントと銀行口座の接続において、相互で本人認証が行われることはセキュリティ上重要だ。2要素認証とは、2つの異なる要素(例えば「ID+パスワード」と「トークン(ワンタイムパスワード)」や「生体認証」)を組み合わせる仕組みのことだ。
ゆうちょ銀行はWebを使った即時振替の認証において、以前までは口座番号と暗証番号の組み合わせなど、比較的突破が容易な手段しか提供していなかった。その後、2019年1月、2020年5月と段階的にセキュリティレベルを向上させ、現在では4項目+2要素での認証を行っている。ただし、同行によれば「2段階認証を実際に導入するかはサービス事業者との了解によるもので、先方に導入してもらえるようお願いしてきた」(ゆうちょ銀行取締役兼代表執行役副社長の田中進氏)とのことで、了解が得られなかったので2要素認証でセキュリティを強化できなかったというスタンスを貫いている。
一方で、複数のサービス事業者らが事業者名と名前の両方を伏せたうえで「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」「そもそも2要素認証について相談されておらず、今回の措置について聞いたのも直前の出来事」と、寝耳に水の反応を見せている。
実際、ゆうちょ銀行が即時振替と呼ぶ「Web口座振替」では、口座登録時にサービス事業者のアプリ(またはサイト)からいったんゆうちょ銀行のページへと飛び、認証が完了した段階でその結果をサービス事業者側に通知する仕組みになっており、サービス事業者側が関知できるものではない。ゆえに、サービス事業者側としてもゆうちょ銀行が2要素認証を導入したからといってシステム的に対応することはなく、せいぜい登録方法について説明や誘導を促す程度しかない。
つまり、ゆうちょ銀行が「サービス事業者の了解が得られないのでセキュリティ強化が進まなかった」と述べているが、サービス事業者側では「セキュリティ強化の裁量はゆうちょ銀行にあるのに、なぜわれわれの了解が必要でそれが原因と責任転嫁をするのか」と嘆いている構図だ。
ドコモ内部の不可思議な動き
今回の件では、前述のゆうちょ銀行の説明をはじめ、いろいろ不可思議な点が多い。例えば「なぜ被害が報告され始めた時点でドコモ口座を停止できなかったのか」「被害の直接の原因をドコモの本人確認不足によるものとして収束させようとしている」といった具合に、主にドコモにおいてドコモ口座まわりの対応の遅さと、案件をすべて1社で抱え込もうという動きが目立っていた。
後者について、実際には他のサービス事業者でも問題は発生していたわけで、サービス事業者側での本人確認の問題はもちろんのこと、Web口座振替における銀行側のセキュリティの弱さを突かれた側面が大きい。ゆうちょ銀行の会見がなければ、このままドコモの問題として取り扱われて話題がフェードアウトしていた可能性もあり、その点で銀行が潜在的に抱える問題にまで踏み込めた点で一連の会見の功績は大きい。
今回、匿名の情報源によれば、ドコモ口座に紐付く一連の攻撃において、Web口座振替で「2要素認証(IVRや通帳に記入した最終残高など)」を導入するなど比較的セキュリティレベルの高い銀行での被害は1件もなく、被害はすべて「口座番号」「暗証番号」「生年月日」「電話番号の下4桁」など比較的入手が容易な情報を組み合わせて本人認証を行っていた金融機関に集中しているという。ゆうちょ銀行をはじめ、地銀で被害報告が多かったのも、後者の認証を行っていたためだ。
また、みずほ銀行がドコモ口座を含む預金の不正引き出しが過去に行われていたという一部報道があったが、同行によれば以前までに提供していた通帳に未記帳の取引を参照できるサービスを通じて通帳の最終記帳残高を類推する手法を用いられたもので、被害と対策を含め1年以上前に解決済みだという。ドコモ口座での一連の被害は2019年10月以降に発生しているため、2要素認証が導入されているみずほ銀行は今回の件に関係ない。筆者の意見では、すでに今回の問題は「銀行のセキュリティ対策の甘さ」を問う段階にきており、バトンは渡されている状態だと考える。
ネットの声
ただの責任の擦り付け合い
典型的な日本企業だね
どっちも怠ったんだから両方潰れればいい
2要素認証は銀行側がするものだろう。
事業者側は本人確認をするのだろう。
ドコモは本人確認を全くしなかったので、被害者の数も被害額も多額なのだろう。
ゆうちょ銀行ってお気楽な会社でいいなw
こんなこと言ってる時点で>>1のところはダメダメ
なすりつけにすらなってない
ゆうちょ側のセキュリティの問題なんだから
ドコモの無限アカウント増殖問題は?
【会見】ゆうちょ銀行「2要素認証を強力に要請してきた」記者「複数の決済事業者から「お願いされてない」とコメントが集まっている」 [雷★]
ゆうちょは非を認めろ
それゆうちょが決めることじゃん
本人認証のことじゃ
口座登録の時の二要素認証の話だよ
金融機関のウェブサイトに移動する前にも
認証が欲しかったんじゃないかな
これなに???wwwww
この機会に決済サービスへの提供をやめればいい。
キャッシュレス決済の普及が国策になったおかげで、ジジババでも簡単に登録できるようにしろと圧力がかかったと
銀行からしてみれば商売敵の資金移動業者に口振を開放する義理は一切ないのだから
収納代行企業のページ以外からはアクセス出来ないのだから
同意
ゆうちょの口座とキャッシュカードを持ってるだけの人は
今日現在、勝手に預金を引き出される心配は無くなってるの?
ゆうちょがナントカペイへのチャージを全部止めてりゃ大丈夫じゃね?(詳細は知らん
ゆうちょ側は「ドコモがしっかり確認してるんじゃね?」
と思い込んでると思うよ。
シロート相手にしてるんだったら、そこら辺はドコモ(というかNTTデータ)がフォローすべきだったんじゃね?
ゆうちょ側のシステムの現場の人は分かってるでしょ。
ゆうちょのお偉方がちゃんとシステム担当にフォローしてもらうべき。
…お偉方にシステム担当の言葉が理解できなかったら残念。
なぜこうも愚かなのか
セキュリティの技術者の権限がまったくないんだろ。
ドコモでもゆうちょでもセキュリティの技術者はいるだろうが、指摘しても無視されるだけだからな。
もうちょっと病状が進んで、
指摘するほど熱意がある奴がもう居ないって段階な気がする
ほんこれ。どんなに指摘しても無駄になるね
当然リスク管理も危機管理もできて無いから事が起こると
上司が責任者を怒鳴り散らしながらパニックになる
ドコモは知ってて目をつぶってだんだろうけど
ドコモと他の事業者は区別して考えるべきだよ。
ドコモ口座の作り方は素人でもあんな馬鹿なことしないよ。
TVでドコモ口座の作り方を説明してたら、出演者一同あきれていたよ。
一緒にサービス始めるのにこれ
同じ会社でもよくあるわ
とっととやれよと言うだけだ
それでは、eKYCとは具体的にどのように進めていくのでしょうか。ここでは改正犯収法(2018年11月公布・2020年4月1日施行)において、郵送不要の新手法として定義された「ホ」「ヘ」「ト」および公的個人認証を活用する「ワ」の要件について解説します。
「ト」の要件
「ト」とは、顧客から本人確認書類の画像またはICチップ情報の送信を受け、併せて銀行等の金融機関もしくはクレジットカード会社に本人特定事項を確認済であることを確認するという方法です。
ドコモだけでは無く全ての本人確認を必要とされる業者について、の話です。
この意味は銀行等が本人確認済みで有るとされる場合その情報を利用して本人確認をして良い。
つまりドコモには独自で本人確認をする義務は無く免許証等の画像データだけ保持すれば良い。その免許証が偽造品でもそれを確認する義務は無い。
確認済みであることを確認してないよね
銀行は口振の登録できましたって返しているだけですから
他のちゃんとしたサービスは言えるかもだが。
みっともねぇ嘘つきやがって
忖度してくれる癖がついちゃったか?
まあそれに近いものあるのも確かだな
だからセキュリティがザルになるわけで
引用元: https://asahi.5ch.net/test/read.cgi/newsplus/1600403568/
コメント
Sbi証券の件とは違って、パスワードを想定されやすいものにしてたユーザーが一番だめだろ。それさえ避けよきゃもっと被害は少なかった。とはいえ今後をみれば今のうちに改善できてよかったというところだな。
ペイペイさんで郵貯銀行使ってたけど、パスワード入れたらすぐ口座から
引き落とせて便利だった
確かに悪用されたら一発だな・・って感じだったけどさ
こ
口座というが連携しているのはプリペイドだろ
クレカの履歴に残したくないものを買うために
本人確認しないから利用するものじゃねぇか
>ゆうちょ銀行は最初からログインIDパスワード必須だったぞ
>暗証番号なんて使った事ねぇわ
全くの見当違いだな。ペイパル、ゆうちょでぐぐってみろ
普通は提携契約の締結の前に、担当者レベルで口座振替に係る条件をお互いに確認するけどなあ。
少なくとも金融機関は、本人確認も無しに誰でもいくつでも口座登録できるシステムだと知らされてれば、提携しないか複数認証してるでしょ。
口座連携するのに個人も特定できない時点でドコモもPayPayも正当性ないのよ
反社の迂回口座になってる自覚が足りない
偽名口座と何が違うって話でして
口座連携時に口座番号、契約者氏名、生年月日を送って銀行側に口座名義と照合してもらってOKNG結果だけ貰えば済む話だろ
自分のところのセキュリティの甘さを責任転嫁すんな
嘘ばっか言ってんじゃねぇよ
ゆうちょ銀行は最初からログインIDパスワード必須だったぞ
暗証番号なんて使った事ねぇわ