【不正利用】ドコモ口座 自己防衛が必要 トレンドマイクロ・岡本氏「暗証番号を定期的に変えることを勧めている」 [trick★]
■ このスレッドは過去ログ倉庫に格納されています
ドコモ口座不正 流出情報、何度も悪用恐れ データ化、自己防衛が必要(1/2ページ) - 産経ニュース
https://www.sankei.com/affairs/news/200911/afr2009110039-n1.html
ドコモ口座不正 流出情報、何度も悪用恐れ データ化、自己防衛が必要(2/2ページ) - 産経ニュース
https://www.sankei.com/affairs/news/200911/afr2009110039-n2.html
2020.9.11 21:12社会事件・疑惑
NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出しが相次いでいる問題では、口座番号や暗証番号などを入手した何者かが預金者になりすましてドコモ口座を設け、銀行口座から金を移していたとみられており、被害はさらに拡大する恐れがある。専門家は過去の口座などの流出情報が悪用されている可能性も指摘。暗証番号を定期的に変えるといった自己防衛手段を講じない限り「一度流出した情報は何度も悪用される傾向にある」と警鐘を鳴らしている。
■メールだけで本人確認
今回の事件では、本人確認の甘さが悪用されたとみられている。ドコモの口座を開設する際、メールで本人確認をするだけで、携帯番号に任意の認証コードを通知し、それを打ち込むなどの「2段階認証」は行っていなかった。
何者かが口座番号や4桁の暗証番号のほか、氏名と生年月日を入手。預金者になりすましてドコモ口座を開設し、被害者の銀行口座を勝手に連携させ、預金を不正に移していた。
情報セキュリティー会社「トレンドマイクロ」(東京)の岡本勝之セキュリティエバンジェリストは「ドコモ側からすると、口座番号などの銀行情報自体が本人確認の要所だったのかもしれない。だが、金銭に直結するアカウントで別の本人確認方法をとるべきだった」と話す。
(中略)
平成30年にはスマートフォン向け決済サービス「PayPay(ペイペイ)」で他人名義のクレジットカード情報を悪用する事件が相次いだ。昨年も第三者による不正利用被害で「7pay(セブンペイ)」が運用停止に追い込まれた。
■悪用され続ける恐れも
トレンドマイクロによると、不正に盗まれた個人情報をネットに大量に保存するサーバーの存在も確認さている。情報はデータベース化され、カード番号や有効期限、生年月日などに加え、販売済みかどうかの記録もあった。約2年前には1日2千件のペースで蓄積されていることも確認された。
今回もこうした情報が使われた上で、過去の事件同様にセキュリティーの脆弱(ぜいじゃく)性を突かれ、被害を拡大させた恐れがある。岡本氏は「一度流出した情報は何度も悪用される傾向にある。暗証番号を定期的に変えたり、セキュリティー強化のオプションサービスを利用したりすることをすすめている」と話している。 そうだね。たかだか4桁の番号
自動化して何万もドコモ口座を作れば、どれかは当たる >>330
犯罪者がいちいち口座番号と暗証番号を一つずつ手入力すると思うか?
総アタックするプログラム組んでそれを走らすだけだ
暗証番号一桁増やせばその分だけ時間かかるけど、暗証番号固定の
総アタックを受け付けている限り、そのうち破られる。 総当たりが本当なら、暗証番号変更は意味が無いな。
それに、ここ数年の間に定期的な暗号変更は意味が無いとか発表されていたような気がする。
本当にトレンドマイクロの社員なのかな。この発言。
二段階認証を必須化していない銀行もどうかと思うけど、
サービスを提供しようとしているドコモなので、個人認証はドコモが責任を負って処理しないとダメだろ。
まだサービス止めていないのが驚きだが…… 何せトレンドマイクロの記事だからな
NHKと同じじゃ >>334
>暗証番号固定の総アタックを受け付けている限り
おまえバカだな。
暗証番号固定だからこそ桁が増えるだけで確率が一気に下がるんだよ。
おまえみたいなのはよくしゃべるけど数学センスが全くない文系。 >>暗証番号一桁増やせばその分だけ時間かかる
>>暗証番号固定だからこそ桁が増えるだけで確率が一気に下がる
同じことだと思うが ●マスコミが、ドコモ口座による不正チャージ事件を異常に叩いているのはなぜ?
不正被害件数は73件、被害総額は約1990万円に上るが、ソフトバンクPayPayの不正チャージ事件は数億円だったがマスコミは矮小化しソフトバンクの謝罪会見すらなかった。Paypayは クレジットカード登録時にセキュリティ番号が何回でもトライできる仕様であったため他人のカードが使われてしまった。PayPayの完全ミスだ。
セブンpayについても異常にバッシング報道され廃止にまで追い込まれた。
PayPayのライバルは韓国人の多いマスコミにより潰されている感じだ。過去Macの異物混入でMacが異常に叩かれたが調理場が汚いと言われているロッテリアについてはスルーされたのと同じだ。
韓国に生意気な態度をとる安倍政権を異常にバッシングし3年間追及しても何も出てこないモリカケで立憲民主党とマスコミは国会妨害しているだけだった。外交や安全保障での成果、株価上昇や失業者の激減、インバウンド需要発掘など多々の成果があり外交ボロボロで倒産とリストラの嵐だった民主党政権とは比べ物にならない。
今回のドコモ口座問題では、生年月日と氏名、暗証番号、口座番号の4つの情報を入手した何者かが、預金者になりすましてドコモ口座を開設している。
口座番号や暗証番号を盗み取る銀行偽サイト(フィッシング詐欺サイト)が大量に見つかっていたことが分かっており被害者はそれらに口座情報を入力してしまった可能性がある。
そのような詐欺情報がありながら一部銀行は暗証番号で口座連携していたのだ。大手銀行はワンタイムパスワードや通帳残高入力など本人確認に2重のセキュリティー対策をしていたから今回被害はなかった。
ドコモにも運用責任はあるが今回についてはセキュリティー意識の低い地方銀行側の過失割合が高いといえる。デジタル社会を目指す上でこういった地方企業の意識改革が必要といえる。未だに地方銀行や信用金庫では行員がメールすら使ってないところもあるデジタル音痴のアナログ企業だから仕方ないのかもしれない。
ドコモの対策としてはドコモの安全基準を満たさない中小銀行は口座連携できなくする強い姿勢が必要だ。
こう言った情報をしっかり報道せず単にキャッシュレスが危険というような報道をする日本マスコミが、日本のマイナンバーや監視カメラやキャッシュレス化が遅れて先進国では最低のアナログ国となってしまった。
未だに日本の保健所はメールでもなくオンラインでもなく手書きしてFAXで送っていて世界から笑われた。
毎月9万件のチャージ利用があるドコモ口座で2000万円弱の不正利用のためにシステムが止められた。、、
クレジットカードは暗証番号もなく通販購入できてしまうザルセキュリティーなので日本の不正利用被害額は240億円にもなっている。損失補填するからではなくマスコミはこの巨大なザルシステムのカード会社を批判すべきではないだろうか?
店にカードを渡したらカード番号も有効年月もセキュリティー番号もすべて写真撮られてしまう危険性がある。 1234使ってるやつが10%近くいるんだっけ
1234で逆ブルートフォース攻撃かければ余裕で開きまくり 口座番号と名義人は秘密情報じゃないよ。
振り込みしようとして,適当な銀行名,店番,種別,口座番号を
入れると教えてもらえる。
のこりの暗証番号は固定で当たるところが分かればもう抜かれる
んだから,なんともならん。 セキュリティ専門家のクセに
「現在も最大の脅威を生んでいるドコモ口座の運用をまず止めるべき」
と言わずに、意味のない対策を示すのかのはおかしすぎる
本来、徹底的に叩かれるべきドコモに対し、政府もメディアも遠巻きに見てるだけ
ドコモはどういうヤクザなの? 今回のドコモの話してCVEとかの番号てつかないの? 4桁の数字だけの認証? バカみたいだな、アルファベットなど含めて8桁以上にしろ。 ドコモに対して集団訴訟起こそうよ
セキュリティの穴を確信犯的に放置してるなんてもはや犯罪的行為だろ 認識してるパスワードの一覧作ったら100越えててワラタ。
これを数ヵ月に一回全部変えろとおっしゃるか。 てかドコモ現時点でサービス停止してないのって犯罪に屈してるって事でおk? >>347 ドコモの「サービス設計ミス」にすぎないから。他のプログラムやシステムには影響がないから
>>346 そうね >>347
ドコモ口座がクラックされたわけじゃないからな 楽天みたく8桁にするとか
任意で4〜8桁に対応できるようにしろよ >>8
一つの暗証番号を任意に設定して、口座番号1から9999999までアタックすれば突破出来る >>187
だろうな、余程1111とかじゃなきゃ確率は変わらない。
こういうとこの社長も雇われ文系なのかね?あほ過ぎるわ。 >>343
>政府もメディアも遠巻きに見てるだけ
麻生はブチ切れてたらしいじゃん。
マスゴミも2日目にはワイドショーみんなやってたし
現実見えてないのはドコモだけだろ。 >>349
被害にすらあってねーのにバカじゃん。勝手に起こせよ今すぐに これって1日の送金額0円にしたら大丈夫ですよね
送金なんか個人的に月一回くらいしかしないから パスワードじゃないぞ
暗証番号なんて替えても何も意味がないやろ
すげーな本当に馬鹿なんだ >1 >200-400
昭和金融恐慌
1997年、
アルバニア ギガねずみ講テラ破綻、
アルバニア全土での、ペタ取り付け騒ぎ。
ウルトラ預金封鎖、デノミ、財産税へ。
アルバニア全土でテラ暴動、アルバニア国家崩壊
1997年 アジア通貨危機時の、
日本での、三洋、山一証券や、北海道拓殖銀行や、
宮城県内の、地方銀行 徳陽シティ銀行など、
金融機関の、同時連鎖破綻での、取り付け騒ぎ。
ここらみたいな、破局事態。
【リアルタイムで、日本全土で、あらゆる銀行預金がテラ流出中】
多数の地銀と、ゆうちょ銀行、イオン銀行で、
不正な預金引き出しが多数発生。
預金者に、無断で開設された #ドコモ口座 と紐付けし、多数、出金。
【令和金融システム崩壊、グローバルギガ恐慌】
2020/9/9 朝日新聞 NHK FNN
幸田 真音 著 小説 日本国債 大暴落 ガラ
堺屋太一 著 小説 平成30年 水木 楊 著 小説 銀行連鎖倒産
故 打海文三 著 小説 応化戦争記 ハルビンカフェ
森達也 著 東京スタンピード
深町秋生 著 東京デッドクルージング
御堂地 章 著 小説 日本崩壊 村上 龍 半島を出よ
此処等で、
近未来起きうると予測されていた、ジャパンテラショック、
日本発の、全世界恐慌、ギガ取り付け騒ぎ テラ預金封鎖、
日本国債 ギガ暴落 テラ ガラ、
日本国債金利ギガ暴騰、テラ重税
ハイパーインフレ、超スタグフレーション慢性化構造不況化が、おきそうw パスワードの桁数を増やすのが重要ならわかる。4桁じゃ変えてもあまり意味ないな。 >>1
パスワードを定期的に変えて意味があるのはパスワードクラックが定期を越えて行われる場合だけ
ドコモロ問題の場合は口座凍結かドコモロ提携してない銀行へ移す以外にない
場合によりけりらしいが自分で口座に紐付けしたドコモ口座を作ると他人だろうが本人だろうが二つ目のドコモ口座は作れないらしい トレンドマイクロのひとですらそんなことを言うというwww笑ってしまう。 4桁の暗証番号で許されるのは
店頭のATMでしか使わないという前提だったはずなのに
あろうことかネット口座で無限アタック可能な環境にそのまま使うとか
あほでしょ? 100万人分の口座情報があれば
100件くらいの乗っ取りが可能ってことらしい
今回のはそんな感じかな いいこと考えた。
ペイペイアプリに、ワンタイムパスワード機能をつければいい。
a345とかパスワードが毎分表示される。それを各銀行が使う。 >>371
1234にしてる奴が10%くらいいるからもっとヒット率は高いはず >>363
そんなネットバンキングに対応してるような銀行なら
web口座振替みたいなざるシステムで運用しません >>374
じゃあ1日の送金額0円にしたら大丈夫ってことかな
俺は全部の送金額0円にして
必要なときだけ送金額増やして送金→すぐに送金0円戻してるけど 大手銀行全て送金0円にしたけど
なぜか新生銀行だけ最低送金額1万円で0円にできない汗 >>375
何がじゃあなんだ?
そもそも送金ではなく口座引き落とし扱いなんだろ? 送金だの引き落としだの口座振替だの色々混乱してるんだろう
一般ピーポーのセキュリティー意識なんてこんなもんだぞ
サービス提供者と銀行側でしっかり守ってあげないと簡単に割られる
これからのキャッシュレスの最重要キーワードは手軽さではなくセキュリティーだよ間違いなく。あと万が一の場合のしっかりした補償 フィッシング詐欺に引っ掛かって架空HPに暗証番号入れない
暗証番号を1234 2468 1357
みたいな単純なのは使わないということですね
こんなのジジババには不可能だ 出来る限り全銀行口座
ネットのトークンワンタイムパスワードにしてるけど意味ないな 少し前だと、こんなのもあったよな。
バングラデシュ中央銀行のシステムに侵入して約92億円を、北朝鮮に不正送金させたケース
https://gendai.ismedia.jp/articles/-/53450 >>1 今日、YAHOOアドレスに詐欺メールが届いた カードにはそこ使ってない
2019年11月以降、JCBカードをお持ちかどうかにかかわらず、不特定多数の人にJCBを装った不審なメールが配信されているとのお問い合わせを多くいただいております。
JCBを装い何らかの緊急性を訴えて情報を入力させようとするもので、弊社から配信したメールではございません。
検知した不審メール例を随時追加しておりますのでご確認ください。
万一このようなメールを受信された場合は、メールは削除してください。
また、弊社がクレジットカード番号や暗証番号等、お客様の個人情報をEメールでお聞きすることは一切ありません。
記載されているリンク先をクリックしたり、個人情報は入力しないようご注意ください。
【JCBを装った不審メールの一例】
1.配信元メールアドレス
メールの差出人情報は簡単に詐称ができるため、真正のJCBメールアドレス<mail@qa.jcb.co.jp>で不審メールが配信されるケースもあります。
下記の不審メールタイトル・本文の一例をご確認ください。
4.署名欄
以下の例のように、実際の住所や電話番号が記載されているケースもありますのでご注意ください。
==================================
株式会社ジェーシービー
東京都港区南青山5-1-22 青山ライズスクエア 〒107-8686
※本メールは送信専用です。
お問い合わせは上のURLの、専用フォームよりお願いします。
================================== 暗証番号を変える事に意味はない
認証を増やさないと無意味 >>1
くるぞくるぞくるぞ
フィッシング(Phishing)とは、カード会社や大手インターネット企業などを装いEメールを送信し、「キャンペーン当選」「重要なお知らせ」など巧みな言葉で偽のWEBサイトに誘導し、
クレジットカード番号や暗証番号・住所・氏名などの個人情報を詐取する行為です。
誘導先の偽のホームページは、本物のホームページと同じデザインになっている場合が多く、見た目での判断は困難です。
https://www.jcb.co.jp/security/phishing.html テレビの専門家が
暗証番号を1234 2468 1357
みたいな人が設定しそうな
番号を一斉に打ち込んだと言ってるけど
これは実際は現実的ではない、ありえないのですかね >>386
ウイルスソフト入れてない
携帯やパソコンが危ないね
ドコモ側は1800マン程度で済んで良かったかもしれんが
怖すぎ smsだって偽サイト作っておいて、セキュリティ強化云々言って、そこにアクセスしてもらって、そこでsms認証したと思わせて、コードゲットすれば良いだけだからなあ >>18
これだよな
登録されてるパスワード入力+現在使用してる物理的デバイスからの指示された一時パスワード入力 よりによってトレンドマイクロの●●どもにセキュリティ講義うけるとか。 ネット銀行が最強か
楽天銀行とか6重くらいセキュリティかけて
ようやく安全度中から強になった >>386
誘導先に行く前に「クリックしようとしているURL」を判別できる能力
を養う必要がある
パソコンメールならhtmlやめてテキスト表示して確認できるし
マウスオーバーで表示確認って言う直前の確認方法も、ちょっと危ないけどある
でもそんなパソコンメールでさえHTML標準になっててすぐクリックして行っちゃうやつ多そう
スマホだと難しいと思うんだけど対策ある? ゆうちょのこれ入れたけど、これだけじゃダメ?
https://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_phishwall.html
「PhishWallプレミアム」
ゆうちょ銀行では、「ゆうちょダイレクト」および「ゆうちょBizダイレクト」を安心・安全にご利用いただくため、
MITB(マン・イン・ザ・ブラウザ)攻撃対策機能を持つ不正送金対策ソフト「PhishWall(フィッシュウォール)プレミアム」に対応しています。
「PhishWallクライアント」を株式会社セキュアブレインのWebサイトからダウンロード(無料)して、お客さまのパソコンにインストールいただくことで「PhishWallプレミアム」が利用できるようになります。
インストール後は「ゆうちょダイレクト」または「ゆうちょBizダイレクト」にアクセスした際、ブラウザのツールバーやシステムトレイにシグナルを表示させることで、真正なWebサイトであることを確認できるようになります。
また、インターネットバンキング利用中に不正な偽画面を表示させることによって認証情報を盗み取る攻撃を検知した際は、警告画面を表示し、お客さまにお知らせします。
※他社サイトのサービス利用時に「PhishWallクライアント」をすでにインストールされているお客さまは、改めてインストールする必要はありません。 >>394
これ使いにくかったから
すぐアンインストールした
お気に入り作って
必ずお気に入りから銀行口座に入ればいいだけでは? >>1
ドコモに忖度してんじゃねぇよ
サービス止めずにユーザー以外も含めた全国民に迷惑かけてるドコモを叩くのがお前らの仕事だ うっかりメールや他サイトから飛んじゃう人の対策だよ >>397
PhishWall なんか目ざわりなのがいっぱい ついてて見にくくない? 何がいいとか、よく分かんないレベルだから、どうしたもんかと 暗証番号が漏れたのかどうかが問題だな。
確かに,暗証番号決め打ちでもできるだろうが,
報道がないことにはわからん。 暗証番号の決め打ちで金を抜かれたんだからドコモは、原因公開せずに隠してるんじゃないか
フィッシング詐欺で金抜かれたんだったらドコモは原因公開するだろうよ >>402
決め打ちに対策できてないから、
暗証番号漏れだと主張して今をしのいでいるのでは?
それなら、惨禍はこれから。口座主全員。 フリーメールでもできる、dポイントキャンペーン開始はいつからだろ?
ゆうちょって辞任続いたよね 金抜かれた暗証番号はドコモは分かってる
同じ暗証番号ばかり抜かれたのか違うのかも言わない
何か隠してるよね 本人しかわからない質問系(いくつでも設定できる)がいいなあ VLCは使い難い感じがしたのでGOM入れようとしたらESET先生にこれはヤバいから止めとけと言われた >>407
言わないが暗証番号を言うのは
ドコモが今まで許可していた立場上
ドコモが非を全面的に認めて
被害あってない同じ番号使用者に対しても変更促すなどアクションを求める必要が出てくる
と言うことはそのための手間代なりドコモが負う必要が出てくる
いろいろ訴訟される可能性出てくる >>414
その後はその暗証番号は使われてない前提で違う番号がハックされるだけかも知れないし これって本人確認ちゃんとせんで銀行口座と直結したのが問題なんで番号云々っ関係なくね? ドコモ「フフフ、本人が知らない間に勝手に口座作れます」 いまだに暗証番号1234とかの人いるから
そういう人がターゲットになったか
なってないか
どうかだけでも知りたいけどなあ >>418
ドコモ口座】まだ広がるか 勝手に口座を“紐づけ”通帳の確認を テレ朝 ★4 [孤高の旅人★]
https://asahi.5ch.net/test/read.cgi/newsplus/1599749939/15
101 名前:不要不急の名無しさん Mail: 投稿日:2020/09/11(金) 00:16:14.56 ID:rSx2JsyA0
>>15
これ書いた本人だけど、
昨日、5ちゃんで知って、
新規で自分のドコモ口座を持ち、自分のゆうちょ口座に紐付けしたら良いと思い、
登録しようとしたら、
まだ新規受け付けてるのに、エラーみたいになったんだよ。
今から考えたら、詐欺師が一足早く紐付けしてた、というわけだ。
とにかく、記帳だけじゃダメだ。窓口の人もわかってない場合がある。
コールセンターに電話するのが一番だよ。
ちなみに調査に2日ほどかかると言われたが、自分は紐付けされちゃってたから、当日中に連絡もらったよ。
133 名前:不要不急の名無しさん Mail:sage 投稿日:2020/09/11(金) 00:19:12.87 ID:wJeW81r/0
参考までに
給付金の銀行だった?
暗証番号を産まれた月日とかわかりやすいやつにしてた?
172 名前:不要不急の名無しさん Mail: 投稿日:2020/09/11(金) 00:23:52.57 ID:rSx2JsyA0
>>133
給付金の口座だった。
暗証番号は、誕生日とか関係ない数字
719 名前:不要不急の名無しさん Mail: 投稿日:2020/09/11(金) 01:03:29.60 ID:4c40r4Yz0
甥っ子がやられたが
給付金とか関係ない口座だったよ
そもそも親の口座に給付金は振り込まれていたから
209 名前:不要不急の名無しさん Mail:sage 投稿日:2020/09/11(金) 00:27:23.16 ID:NdE48vgt0
>>172
暗証番号はよく使われると言われるような数字ですか?
266 名前:不要不急の名無しさん Mail: 投稿日:2020/09/11(金) 00:32:52.51 ID:rSx2JsyA0
>>209
単にお気に入りの4つの数字だから、簡単な羅列ではないよ トレンドマイクロの岡本ってワイドショーコメンテイターレベルの人物だからな ドコモ口座のサービス止めろ。
何で銀行口座持っている一般人が注意しなきゃならないんだ。 PayPayはクレカ番号が流出していることが前提だったけど
こっちのは組み合わせ試せば通るしな 何言ってんだ?
セキュリティに関係ないシロートのコメントか?
トレンドマイクロってアパレルか何かだろ? 今回の暗証番号の突破はほぼブルートフォースアタックだから個人では防衛できない ブルートは関係ないらしい。
ブルーとをやるとすぐに銀行がわかる。
同じ暗証番号ばかりくるから。 ドコモ口座引き落としが可能な銀行を
解約してドコモ口座引落としができない
銀行を利用すること
はっきり言ってドコモも馬鹿だが今回は
馬鹿銀行発見装置となったのがドコモ口座
セキュリティ甘い銀行なんだから今後も
継続して使うとまたやられる
別に三菱のファンでは無いが三菱がドコモ
口座引き落としやって無かった意味に
気がつけよ >>2
確かに。
リバースブルートフォースアタックが今回の手口なら、
パスワードが何であれ関係ないからな。 >>430
詳細が出てないからアレだけど、リバースブルートフォースとパスワード辞書の組み合わせでやられている気がする。
特定口座にアクセス集中すると監視サービスに検知されるし。 ■ このスレッドは過去ログ倉庫に格納されています