サイトのSSL化を行った為、URLが「https://incident-wo.com/」に変更になりました
国内ニュース

【不正】事業者がゆうちょに反論「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」

1: 雷 ★ 2020/09/18(金) 13:32:48.74 ID:A0A1ARIW9

(略)

そして先ほどのゆうちょ銀行のお知らせにあった「2要素認証」だ。サービス事業者のアカウントと銀行口座の接続において、相互で本人認証が行われることはセキュリティ上重要だ。2要素認証とは、2つの異なる要素(例えば「ID+パスワード」と「トークン(ワンタイムパスワード)」や「生体認証」)を組み合わせる仕組みのことだ。

ゆうちょ銀行はWebを使った即時振替の認証において、以前までは口座番号と暗証番号の組み合わせなど、比較的突破が容易な手段しか提供していなかった。その後、2019年1月、2020年5月と段階的にセキュリティレベルを向上させ、現在では4項目+2要素での認証を行っている。ただし、同行によれば「2段階認証を実際に導入するかはサービス事業者との了解によるもので、先方に導入してもらえるようお願いしてきた」(ゆうちょ銀行取締役兼代表執行役副社長の田中進氏)とのことで、了解が得られなかったので2要素認証でセキュリティを強化できなかったというスタンスを貫いている。

一方で、複数のサービス事業者らが事業者名と名前の両方を伏せたうえで「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」「そもそも2要素認証について相談されておらず、今回の措置について聞いたのも直前の出来事」と、寝耳に水の反応を見せている。

実際、ゆうちょ銀行が即時振替と呼ぶ「Web口座振替」では、口座登録時にサービス事業者のアプリ(またはサイト)からいったんゆうちょ銀行のページへと飛び、認証が完了した段階でその結果をサービス事業者側に通知する仕組みになっており、サービス事業者側が関知できるものではない。ゆえに、サービス事業者側としてもゆうちょ銀行が2要素認証を導入したからといってシステム的に対応することはなく、せいぜい登録方法について説明や誘導を促す程度しかない。

つまり、ゆうちょ銀行が「サービス事業者の了解が得られないのでセキュリティ強化が進まなかった」と述べているが、サービス事業者側では「セキュリティ強化の裁量はゆうちょ銀行にあるのに、なぜわれわれの了解が必要でそれが原因と責任転嫁をするのか」と嘆いている構図だ。

ドコモ内部の不可思議な動き

今回の件では、前述のゆうちょ銀行の説明をはじめ、いろいろ不可思議な点が多い。例えば「なぜ被害が報告され始めた時点でドコモ口座を停止できなかったのか」「被害の直接の原因をドコモの本人確認不足によるものとして収束させようとしている」といった具合に、主にドコモにおいてドコモ口座まわりの対応の遅さと、案件をすべて1社で抱え込もうという動きが目立っていた。

後者について、実際には他のサービス事業者でも問題は発生していたわけで、サービス事業者側での本人確認の問題はもちろんのこと、Web口座振替における銀行側のセキュリティの弱さを突かれた側面が大きい。ゆうちょ銀行の会見がなければ、このままドコモの問題として取り扱われて話題がフェードアウトしていた可能性もあり、その点で銀行が潜在的に抱える問題にまで踏み込めた点で一連の会見の功績は大きい。

今回、匿名の情報源によれば、ドコモ口座に紐付く一連の攻撃において、Web口座振替で「2要素認証(IVRや通帳に記入した最終残高など)」を導入するなど比較的セキュリティレベルの高い銀行での被害は1件もなく、被害はすべて「口座番号」「暗証番号」「生年月日」「電話番号の下4桁」など比較的入手が容易な情報を組み合わせて本人認証を行っていた金融機関に集中しているという。ゆうちょ銀行をはじめ、地銀で被害報告が多かったのも、後者の認証を行っていたためだ。

また、みずほ銀行がドコモ口座を含む預金の不正引き出しが過去に行われていたという一部報道があったが、同行によれば以前までに提供していた通帳に未記帳の取引を参照できるサービスを通じて通帳の最終記帳残高を類推する手法を用いられたもので、被害と対策を含め1年以上前に解決済みだという。ドコモ口座での一連の被害は2019年10月以降に発生しているため、2要素認証が導入されているみずほ銀行は今回の件に関係ない。筆者の意見では、すでに今回の問題は「銀行のセキュリティ対策の甘さ」を問う段階にきており、バトンは渡されている状態だと考える。

(略)
https://japanese.engadget.com/payment-031649529.html

 

スポンサーリンク
スポンサーリンク

ネットの声

76: 不要不急の名無しさん 2020/09/18(金) 14:05:18.97 ID:u13hMz9Q0
>>1
ただの責任の擦り付け合い
典型的な日本企業だね
どっちも怠ったんだから両方潰れればいい

 

88: 不要不急の名無しさん 2020/09/18(金) 14:19:43.25 ID:jkbP1LRw0
>>1
2要素認証は銀行側がするものだろう。
事業者側は本人確認をするのだろう。
ドコモは本人確認を全くしなかったので、被害者の数も被害額も多額なのだろう。

 

98: 不要不急の名無しさん 2020/09/18(金) 14:26:13.94 ID:ISixDown0
>>1
ゆうちょ銀行ってお気楽な会社でいいなw

 

166: 不要不急の名無しさん 2020/09/18(金) 15:13:58.11 ID:FNXYbwgq0
はあ?どっちもだろうが
こんなこと言ってる時点で>>1のところはダメダメ

 

3: 不要不急の名無しさん 2020/09/18(金) 13:33:43.62 ID:M0HWs1hU0
お互いに責任のなすりつけw

 

5: 不要不急の名無しさん 2020/09/18(金) 13:34:39.77 ID:zrNqd8vi0
>>3
なすりつけにすらなってない
ゆうちょ側のセキュリティの問題なんだから

 

53: 不要不急の名無しさん 2020/09/18(金) 13:48:13.92 ID:4eozIZKE0
>>5
ドコモの無限アカウント増殖問題は?

 

4: 不要不急の名無しさん 2020/09/18(金) 13:33:56.37 ID:zrNqd8vi0
これな

【会見】ゆうちょ銀行「2要素認証を強力に要請してきた」記者「複数の決済事業者から「お願いされてない」とコメントが集まっている」 [雷★]
https://asahi.5ch.net/test/read.cgi/newsplus/1600270669/

 

6: 不要不急の名無しさん 2020/09/18(金) 13:35:03.45 ID:Au6hzqFQ0
あたりまえだな
ゆうちょは非を認めろ
 

 

8: 不要不急の名無しさん 2020/09/18(金) 13:35:43.77 ID:Jlipw+wo0
強く依頼してきたってゆうちょの口座振替システムに二要素認証入れるってことだったの?
それゆうちょが決めることじゃん

 

111: 不要不急の名無しさん 2020/09/18(金) 14:32:49.06 ID:VQzvHsVK0
>>8
本人認証のことじゃ

 

115: 不要不急の名無しさん 2020/09/18(金) 14:34:45.00 ID:m6andMRt0
>>111
口座登録の時の二要素認証の話だよ

 

216: 不要不急の名無しさん 2020/09/18(金) 15:58:02.53 ID:6fHC4dTt0
>>115
金融機関のウェブサイトに移動する前にも
認証が欲しかったんじゃないかな

 

153: 不要不急の名無しさん 2020/09/18(金) 15:03:10.09 ID:L+5vgTbE0
まあこの泥沼大騒ぎとジャパンライフが盛り上がった中で来月解散か。どうなる事やら。

 

158: 不要不急の名無しさん 2020/09/18(金) 15:10:21.09 ID:9jtEXqU10
両方とも問題ありなのに、なに人の責任にしてんだか。

 

159: 不要不急の名無しさん 2020/09/18(金) 15:11:09.94 ID:/657mYMH0
>複数のサービス事業者らが事業者名と名前の両方を伏せたうえで

これなに???wwwww

 

161: 不要不急の名無しさん 2020/09/18(金) 15:12:06.17 ID:olynVrTe0
銀行側としては国の方針だからしょうがなく口座紐付けさせてやってるってくらいの認識なんだろうな。
この機会に決済サービスへの提供をやめればいい。

 

172: 不要不急の名無しさん 2020/09/18(金) 15:21:08.40 ID:RBFGOzlQ0
だから、ゆうちょもゲロっちゃえよ

キャッシュレス決済の普及が国策になったおかげで、ジジババでも簡単に登録できるようにしろと圧力がかかったと

銀行からしてみれば商売敵の資金移動業者に口振を開放する義理は一切ないのだから

 

177: 不要不急の名無しさん 2020/09/18(金) 15:27:00.13 ID:RBFGOzlQ0
銀行からすると、口振の登録で、口座名義人ではない犯罪者がアクセスしてくるという前提がなかったのは事実であろう

収納代行企業のページ以外からはアクセス出来ないのだから

 

189: 不要不急の名無しさん 2020/09/18(金) 15:32:05.42 ID:LzVJwq1i0
>>177
同意

 

184: 不要不急の名無しさん 2020/09/18(金) 15:29:38.12 ID:Ve9ckmE90
結局のところ
ゆうちょの口座とキャッシュカードを持ってるだけの人は
今日現在、勝手に預金を引き出される心配は無くなってるの?

 

188: 不要不急の名無しさん 2020/09/18(金) 15:31:34.60 ID:f+sz99wX0
>>184
ゆうちょがナントカペイへのチャージを全部止めてりゃ大丈夫じゃね?(詳細は知らん

 

185: 不要不急の名無しさん 2020/09/18(金) 15:29:41.60 ID:RNX+ndxU0
システム全体像を理解してないと
ゆうちょ側は「ドコモがしっかり確認してるんじゃね?」
と思い込んでると思うよ。
シロート相手にしてるんだったら、そこら辺はドコモ(というかNTTデータ)がフォローすべきだったんじゃね?

 

207: 不要不急の名無しさん 2020/09/18(金) 15:47:19.87 ID:e9eYFGAx0
>>185
ゆうちょ側のシステムの現場の人は分かってるでしょ。
ゆうちょのお偉方がちゃんとシステム担当にフォローしてもらうべき。

…お偉方にシステム担当の言葉が理解できなかったら残念。

 

 

193: 不要不急の名無しさん 2020/09/18(金) 15:33:10.68 ID:ia0touYb0
ゆうちょ面白過ぎる
なぜこうも愚かなのか

 

197: 不要不急の名無しさん 2020/09/18(金) 15:40:58.09 ID:ApVsxHy20
>>193
セキュリティの技術者の権限がまったくないんだろ。
ドコモでもゆうちょでもセキュリティの技術者はいるだろうが、指摘しても無視されるだけだからな。

 

202: 不要不急の名無しさん 2020/09/18(金) 15:45:06.25 ID:LzVJwq1i0
>>197
もうちょっと病状が進んで、
指摘するほど熱意がある奴がもう居ないって段階な気がする

 

204: 不要不急の名無しさん 2020/09/18(金) 15:45:42.81 ID:u13hMz9Q0
>>197
ほんこれ。どんなに指摘しても無駄になるね
当然リスク管理も危機管理もできて無いから事が起こると
上司が責任者を怒鳴り散らしながらパニックになる

 

198: 不要不急の名無しさん 2020/09/18(金) 15:41:32.12 ID:Fia38Rzh0
ドコモ憎しで叩いてるやつ多かったけど手口見りゃゆうちょ側の問題は明らかだったもんな
ドコモは知ってて目をつぶってだんだろうけど

 

203: 不要不急の名無しさん 2020/09/18(金) 15:45:08.68 ID:jkbP1LRw0
>>198
ドコモと他の事業者は区別して考えるべきだよ。
ドコモ口座の作り方は素人でもあんな馬鹿なことしないよ。
TVでドコモ口座の作り方を説明してたら、出演者一同あきれていたよ。

 

209: 不要不急の名無しさん 2020/09/18(金) 15:52:58.59 ID:MTjnO6I+0
出たよwww
一緒にサービス始めるのにこれ
同じ会社でもよくあるわ

とっととやれよと言うだけだ

 

217: 不要不急の名無しさん 2020/09/18(金) 15:59:25.31 ID:L+5vgTbE0
改正犯収法におけるeKYC手続き要件例

 それでは、eKYCとは具体的にどのように進めていくのでしょうか。ここでは改正犯収法(2018年11月公布・2020年4月1日施行)において、郵送不要の新手法として定義された「ホ」「ヘ」「ト」および公的個人認証を活用する「ワ」の要件について解説します。

「ト」の要件

 「ト」とは、顧客から本人確認書類の画像またはICチップ情報の送信を受け、併せて銀行等の金融機関もしくはクレジットカード会社に本人特定事項を確認済であることを確認するという方法です。

ドコモだけでは無く全ての本人確認を必要とされる業者について、の話です。
この意味は銀行等が本人確認済みで有るとされる場合その情報を利用して本人確認をして良い。
つまりドコモには独自で本人確認をする義務は無く免許証等の画像データだけ保持すれば良い。その免許証が偽造品でもそれを確認する義務は無い。

 

225: 不要不急の名無しさん 2020/09/18(金) 16:03:38.36 ID:RBFGOzlQ0
>>217
確認済みであることを確認してないよね

銀行は口振の登録できましたって返しているだけですから

 

221: 不要不急の名無しさん 2020/09/18(金) 16:00:42.52 ID:MDGBuW9o0
ドコモのは追跡できない誰だか判らないアカウントを無制限で作れる時点で銀行に全責任を転換するのは無理がある。
他のちゃんとしたサービスは言えるかもだが。

 

227: 不要不急の名無しさん 2020/09/18(金) 16:04:44.16 ID:XA63DtsZ0
そもそもが了承待ちですらないだろ
みっともねぇ嘘つきやがって
忖度してくれる癖がついちゃったか?

 

231: 不要不急の名無しさん 2020/09/18(金) 16:06:07.50 ID:DYHLOeGw0
絶対マスクしないマン状態

 

232: 不要不急の名無しさん 2020/09/18(金) 16:07:06.64 ID:u13hMz9Q0
>>231
まあそれに近いものあるのも確かだな
だからセキュリティがザルになるわけで

 

235: 不要不急の名無しさん 2020/09/18(金) 16:17:31.57 ID:0V3k4Op50
了解が得られなかったんなら提携するなよww

 

引用元: https://asahi.5ch.net/test/read.cgi/newsplus/1600403568/

コメント

  1. 匿名 より:

    Sbi証券の件とは違って、パスワードを想定されやすいものにしてたユーザーが一番だめだろ。それさえ避けよきゃもっと被害は少なかった。とはいえ今後をみれば今のうちに改善できてよかったというところだな。

  2. 匿名 より:

    ペイペイさんで郵貯銀行使ってたけど、パスワード入れたらすぐ口座から
    引き落とせて便利だった
    確かに悪用されたら一発だな・・って感じだったけどさ

  3. 匿名 より:

    口座というが連携しているのはプリペイドだろ
    クレカの履歴に残したくないものを買うために
    本人確認しないから利用するものじゃねぇか

    >ゆうちょ銀行は最初からログインIDパスワード必須だったぞ
    >暗証番号なんて使った事ねぇわ

    全くの見当違いだな。ペイパル、ゆうちょでぐぐってみろ

  4. 名無し より:

    普通は提携契約の締結の前に、担当者レベルで口座振替に係る条件をお互いに確認するけどなあ。
    少なくとも金融機関は、本人確認も無しに誰でもいくつでも口座登録できるシステムだと知らされてれば、提携しないか複数認証してるでしょ。

  5. ななし より:

    口座連携するのに個人も特定できない時点でドコモもPayPayも正当性ないのよ
    反社の迂回口座になってる自覚が足りない
    偽名口座と何が違うって話でして

    口座連携時に口座番号、契約者氏名、生年月日を送って銀行側に口座名義と照合してもらってOKNG結果だけ貰えば済む話だろ
    自分のところのセキュリティの甘さを責任転嫁すんな

  6. 匿名 より:

    嘘ばっか言ってんじゃねぇよ
    ゆうちょ銀行は最初からログインIDパスワード必須だったぞ
    暗証番号なんて使った事ねぇわ