【不正利用】PayPayやメルペイも「銀行口座登録によって本人確認が完了」 ドコモ口座問題 [trick★]
■ このスレッドは過去ログ倉庫に格納されています
ドコモ口座問題、PayPayやメルペイは大丈夫? - ITmedia ビジネスオンライン
https://www.itmedia.co.jp/business/articles/2009/10/news111.html
2020年09月10日 15時29分 公開
[斎藤健二,ITmedia]
全国の地方銀行を中心に、ドコモの決済サービス「ドコモ口座」へ不正に入金される被害が相次いでいる。ドコモは銀行の新規口座登録を停止する措置を取ったが、根本的な問題として甘い本人確認というセキュリティ面も指摘されている。
では、同様に銀行口座とひも付けて入金が可能な決済サービスでは、不正利用は起こらないのか。PayPayを運営するペイペイと、メルペイに聞いた。
ドコモ口座を経由して、銀行から預金を引き出される事件が起こった
なりすましてドコモ口座を開設可能
今回の問題点の1つとして、メールアドレスだけで作成できるdアカウントがあればドコモ口座が開設できてしまう点が指摘されている。
メルペイでは、「メルペイを利用するためのメルカリのアカウントは、SMSによる認証がないと作れない。さらに銀行口座登録時は、メルカリに登録した名前との照合も行っている」(広報)と話す。
またペイペイは、「電話番号をアカウント作成の認証キーにしている。SMS登録が必要なので、第三者がなりすまして作ることは困難だ」(広報)とした。
銀行口座登録によって本人確認とする
ドコモ口座の2つ目の課題は、銀行口座登録をもって本人確認完了とする仕組みだ。ペイペイとメルペイは、免許証などをスマホのカメラに写して本人確認を行うeKYCの仕組みを導入しているが、ドコモ口座同様に銀行口座登録でも本人確認を可能にしている。
「本人確認済みの銀行口座登録を利用する仕組みを取っている。ただし、比較的簡単に登録できてしまうと当社が判断した一部の銀行については、別途eKYCも必須としている」とペイペイ。一部の銀行の「Web口振受付サービス」では、口座番号と暗証番号など比較的入手しやすい情報で登録が可能になっており、そうした点に独自に対策を取っている。
PayPayでは、eKYCだけでなく銀行口座の登録でも本人認証済みとみなす仕組みだが、一部銀行については併せてeKYCも必須としているという
メルペイは、銀行側のシステムに依存するとしつつも、「より強固にできる方法はないか考えていく必要がある。銀行に対応いただく部分もある」とした。
不正利用時の補償
ドコモ口座の場合、こうした悪用による被害に対する補償に明確な規定がなく、ドコモと銀行は預金者への補償を協議中だとされている。ペイペイやメルペイではどうか。
「不正な取引は、常に人の目やAIで異常な動きがないかチェックしている。検知されれば、もしチャージされてもその先には出ていかない。仮に出ていったとしても、全額を補償する規約にしている」(メルカリ)
「もし不正が起きてしまった際は、全額補償することを規約に明記している。PayPayを使っていない人が、誰かに勝手にアカウントを作られて、PayPayが踏み台にされた形でも補償する」(ペイペイ)
(続きはソース)
https://www.itmedia.co.jp/business/articles/2009/10/news111.html イオン銀行とゆうちょ銀行は例によって二段階認証なしで登録可能 【独自】「ドコモ口座の存在すら知らなかったのに」…不正送金、わずか1分間で計30万円
https://www.yomiuri.co.jp/national/20200911-OYT1T50081/
「私はNTTドコモの携帯電話を使っておらず、ドコモ口座の存在すら知らなかった」。
七十七銀行(仙台市)の預金口座から、無断で開設されたドコモ口座に30万円を不正送金された宮城県の30歳代の女性は落胆した様子で語った。 ●マスコミが、ドコモ口座による不正チャージ事件を異常に叩いているのはなぜ?。
悪いのはセキュリティ意識低い地方銀行だと世論、大手都市銀行等はセキュリティ意識高く被害はありません。
不正被害件数は73件、被害総額は約1990万円に上るが、ソフトバンクPayPayの不正チャージ事件は数億円だったがマスコミは矮小化しソフトバンクの謝罪会見すらなかった。Paypayは クレジットカード登録時にセキュリティ番号が何回でもトライできる仕様であったため他人のカードが使われてしまった。PayPayの完全ミスだ。
セブンpayについても異常にバッシング報道され廃止にまで追い込まれた。
PayPayのライバルは韓国人の多いマスコミにより潰されている感じだ。過去Macの異物混入でMacが異常に叩かれたが調理場が汚いと言われているロッテリアについてはスルーされたのと同じだ。
韓国に生意気な態度をとる安倍政権を異常にバッシングし3年間追及しても何も出てこないモリカケで立憲民主党とマスコミは国会妨害しているだけだった。外交や安全保障での成果、株価上昇や失業者の激減、インバウンド需要発掘など多々の成果があり外交ボロボロで倒産とリストラの嵐だった民主党政権とは比べ物にならない。
今回のドコモ口座問題では、生年月日と氏名、暗証番号、口座番号の4つの情報を入手した何者かが、預金者になりすましてドコモ口座を開設している。
口座番号や暗証番号を盗み取る銀行偽サイト(フィッシング詐欺サイト)が大量に見つかっていたことが分かっており被害者はそれらに口座情報を入力してしまった可能性がある。
そのような詐欺情報がありながら一部銀行は暗証番号で口座連携していたのだ。大手銀行はワンタイムパスワードや通帳残高入力など本人確認に2重のセキュリティー対策をしていたから今回被害はなかった。
ドコモにも運用責任はあるが今回についてはセキュリティー意識の低い地方銀行や半官銀行の過失割合が高いといえる。デジタル社会を目指す上でこういった地方企業等の意識改革が必要といえる。未だに地方銀行や信用金庫では行員がメールすら使ってないところもあるデジタル音痴のアナログ企業だから仕方ないのかもしれない。安全性の低いアナログ銀行に口座持てば不正利用される世の中だと事実を報道すべき事件だ。
ドコモの対策としてはドコモの安全基準を満たさない被害者多数を出した中国銀行を中心とした地方銀行は解約する強い姿勢が必要だ。
あと公務員のような郵貯やJAも意識低そうだから注意が必要だ。
こう言った情報をしっかり報道せず単にキャッシュレスが危険というようなアンチ報道をする日本マスコミが、日本のマイナンバーや監視カメラやキャッシュレス化が遅れて先進国では最低のアナログ国となってしまった。
マイナンバー浸透は在日韓国人の脱税用の通名口座発覚になるし、監視カメラはスパイ活動の防止になる。
未だに日本の保健所はメールでもなくオンラインでもなく手書きしてFAXで送っていて世界から笑われた。地方と公務員のアナログ度には驚く。
毎月9万件のチャージ利用があるドコモ口座で2000万円弱の不正利用のためにシステムが止められた。
クレジットカードは暗証番号もなく通販購入できてしまうザルセキュリティーなので日本の不正利用被害額は240億円にもなっている。損失補填するからではなくマスコミはこの巨大なザルシステムのカード会社を批判すべきではないだろうか?
店にカードを渡したらカード番号も有効年月もセキュリティー番号もすべて写真撮られてしまう危険性がある。、 ドコモ口座「我が滅びようとも第二第三のドコモ口座が現れるだろう…」 docomo
・サービス悪い
・CMうざい
・セキュリティ意識ゼロ >>1
んなもん恐ろしくて
使えねーよ。クソドコモ! paypayは
サービス開始時にクレカでやらかしてるし
あれに口座紐付けるとか馬鹿のやることだろ
kyashがドコモの騒ぎを無視して銀行紐付け
やったのもどうなのか?と思う ほぼ同時期
なのに そんなことも考えられない無能が
経営してるんだろうな > またペイペイは、「電話番号をアカウント作成の認証キーにしている。SMS登録が必要なので、第三者がなりすまして作ることは困難だ」(広報)とした。
こんな認識の奴が広報やってるのってやばくね?
SMSも偽名でも認証出来るのに >>1
ジャパンネットバンクがpaypay銀行になるって前報道あったけど本当にやるのかね
イメージ最悪なんだけど >>1
今までも被害にあってたけど今回の件ににまぎれてこっそり白状してたのはPayPayだったかな 今のdocomoて親が作った財産を食いつぶすバカ息子世代なんだろうな 日本も懲罰的な賠償金を制度化しろよ!
アメリカなら数億の慰謝料を請求されるぞ。 >>15
携帯自体、本人確認必須
とどのつまり銀行口座の名義人、Paypayやau PayのIDの名義人、携帯電話の名義人すべて同じ名義でそろえなければならない
この時点でドコモ口座とは雲泥の差
この差IDに対する本人確認不要を突かれたのが今回の事件 これ、犯人はすぐ逮捕されると思うぞ
それで一件落着。 イオンて今はしらないけど支店名が誕生月なんだよなw
わざわざ誕生日を憶測しやすいようにしてるとか笑える。 >>21
SMS認証は本人確認なんてしてないぞ適当言うなよ >>24
お前は携帯番号を入手するときに本人確認されなかったのかと
本人確認無しにSMSが届く携帯番号を発行するのは違法なのだよ ドコモと銀行の責任ですべての契約者にドコモ口座と紐付けされているか
書面で通知して確認させるのが筋だろ >>24
キャッシュレス利用開始時のSMS認証はID名義人の確認
銀行口座チャージにおける本人確認とは利用者IDと口座名義人の同一性の本人確認やで
ドコモ口座はその同一性前提を崩す不特定多数取得可能な方法でIDをバラまいた
相変わらず何も分かってない奴は
銀行口座チャージの意味すら分かってない
分かってないからクレカチャージと同じとでも思ってるんだろ クレカチャージってのは電子マネーという電子商品券を購入する『信販行為』
銀行口座チャージは現金を電算システムでやり取りする為替取引で『金融取引行為』
今時金融取引の免許を持った業者が自分とこの利用者の本人確認をしていない状態で金融取引するってのは
犯罪収益移転防止法に引っかかるのだよ
大事なことなので二度言うけど
資金移動業者のドコモ口座が本人確認していない状態でサービスを利用させた時点で『金融関係業者としてアウト』なのだよ なんだよ
みんなアブねーのか
電子決算もう躓いたな 不文律が崩れた異例のNTT人事、ドコモは戦々恐々
2020.06.01
https://xtech.nikkei.com/atcl/nxt/column/18/00138/052800553/
事務系の辻上氏が退任し、技術系の井伊氏が就く結果、ドコモで代表権を持つ社長と2人の副社長すべてが技術系になる。「過去記憶にない事態」(NTT関係者)というのが異例たるゆえんだ。 中華
派手に電子決済やっているけど
あれって監視社会と厳罰主義だから成り立つのか? Suica(口座)って500円払えば作れるよな
メルペイからチャージできるよな
メルペイって銀行と連携できるよな
メルペイアカが乗っ取られたらやばくね >>21
本人確認が必要なのは音声通話で、SMS付きのデータSIMは本人確認不要ですよ。 >>1
ライター馬鹿すぎ
ドコモコウザ擁護のために、すり替えて騙して他も同等という間抜け理屈
他はアカウント作成時に、SMS認証しているということで、スマホ・モバイル
の契約と紐づけ その契約上の料金支払い決済の裏付けが1対1で保証されている
これを10000契約分集めるのは中国人留学生ならとても簡単といい言えるが
コストがかかる
楽天モバイル 今なら無料で10000口座外人押し寄せならまずい
ドコモのDアカウントは前半記載の捨てメールだけで10000アカウントできる
中華漏洩名簿売り企業が口座番号 名義 生年月日 リストを入手したとしても、
他人の口座にアクセスして、犯罪クズの口座に振り込んでも、
捨てメールならすぐ逃げられるが、SMS認証でスマホ契約の裏付けがあれば
足がつくリスクは10000倍なので、犯罪抑止になる
前半の文書と後半を、わざとリスクをすり替える屑論法 ライター しね! その電話番号が銀行にも登録されてるなら良いが・・・・違うんだよなー >>34
乗っ取られたときに危ないのはキャッシュレスサービス全てに言えるんだが >>30
間違った認識ですよ。
銀行口座チャージと資金移動業は関係ないです。
とはいえドコモは送金サービスを提供するので、資金移動業に該当します。ドコモは銀行との口座振替契約で銀行からKYC情報をもらっており、本人確認は行っています。この方法は犯収法でも認められている方法です。なのでドコモはアウトではありません。もう少し勉強しましょう! >>26
SMS可能なSIMでもデータ専用なら本人確認不要のSIMもある >>40
勉強が必要なのは君だよ
paypayがマネーとマネーライトで別れている理由を調べるところからどうぞw smsデータsimでマトモな銀行取引できると思うならどうぞ、としかね言いようがないわw
あと名義を揃えるハードルとは何も関係がないというねw
Paypayもau payもサービスID名義人と口座名義人が同一でないとアウト ブルートフォース系でなく漏洩情報に基づくアタックだと仮定しても
普通にSMS認証を導入してれば、SIMを攻撃する数だけ揃える手間と各アタック毎に名義を用意する莫大な手間と費用が必要なんだけど
フリーメールだけでID作れるドコモ口座がなぜ悪用できたのかがわからないなら
もうちょっと社会勉強しろよとしかね言いようがないねw >>43
マネーとマネーライトの違いはご存知なんですね!
であれば、もう少し勉強したら相当くわしくなれると思います。
あと、この辺りの知識で間違いやすいのは、クレジットチャージした資金は資金決済法で送金ができないというものです。
これは資金決済法に依拠しているのではなく、実質的な貸金業になることが問題になるためです。参考にしてください! SNSとSMSが混同している人が話を掻き回しているww >>46
>クレジットチャージした資金は資金決済法で送金ができないというものです。
この時点でオメーがなにもわかってない事が確定してるんですが。
墓穴掘ってるぞ >>44
少なくともpaypayは、回線契約の名義はチェックしてないぞ。サービスID名義って自己申告なんだから、ドコモと違う!キリッって言える話じゃないだろ。ドコモがダメなのは当然として、paypayも対して変わらんレベル。 >>44
少なくともpaypayは、回線契約の名義はチェックしてないぞ。サービスID名義って自己申告なんだから、ドコモと違う!キリッって言える話じゃないだろ。ドコモがダメなのは当然として、paypayも対して変わらんレベル。 銀行口座登録で本人確認実施の際に各銀行がやってるのはKYC情報の『提供』であってeKCYサービスではないんだろ?
KYC情報の提供だけなら当然、『自分とこに登録されてる名義情報と銀行提供のKYC情報との突き合わせ』で確認してるんやないのけ?
銀行が『本人確認しました』と言ってくるならeKCYを実施している事になるが
少なくともPaypayは口座情報とPaypay登録名義が一致しなければ銀行口座は登録できないはずだが ITmediaと銘打ちながら、こんな切り口で良いのか 上に居るのが昭和のいい時代いきてきたアイテーのあの字も知らんゴミどもだからねえ
面倒や金掛かることは必要な事でも効率化wと称して手抜きするアホが多いから
今回のも起こるべくして起こった事件だろう
ドローンの時と同じ事前にある程度の法整備すべきところを中抜きや抜け道使ってウマーしたいからと
おざなりにしてた結果の勉強代。
アレ見たく特攻食らって面倒増えて慌ててる段階やね >>26
SMSが届いても口座名義との付き合わせなんて出来ないだろ。トバシを使うだけ。 >>1
PayPayは銀行口座連携は怖いからしてないわ
しかしドコモ口座はやっぱりこれらの中でもダントツでヤバイな 銀行がドコモに丸投げしてセキュリティ任せたからこんなことになってる。
最終的に本人確認を銀行側でやってないことが一番な問題なんだから、ドコモ叩いたところで問題の解決にならないんだよな。銀行が一番悪い。 サービス止める前に風評対策してる時点でお察しってことかね メルペイはpaypayなどと違って提携先少なかった気がする
ワイが登録した時はゆうちょなかったから無く無く普段使ってる銀行登録したような
送金は本人確認必要だったか忘れた
いずれにしろメルカリのID登録自体が2段階認証あったような ハンコと通帳あれば、本人じゃなくてもお金おろせるからな。そういう問題じゃないの? >>55
分かっている人は上に行けないのが今の企業の仕組み
トップセールスマンが出世に重用されて来たが
セールスなんて商品が良ければ誰でも売れるのに
会社の顔って体で自分の実力と勘違いしてきた
所詮は文系体育会系の低能の集合体
営業会議の意見で企画や製造にもっと良いもの作れとだけ
具体的に何が「良い」のか示せずだからな >>34
乗っ取られるのはヤバいけど、Suicaは関係なくね?
Suicaカードをその犯人に物理的に取られていれば勿論ヤバいけど、あなたが持ってるSuicaにメルペイから資金を移されてもその先犯人は使えない メルペイは免許証撮って送れてきたよ
メルカリと繋がってるから本人確認される ネット上で誰でも引き出せるATMを提供したドコモ神過ぎるだろ え、今どきデータSIMでも本人確認不要とかありえる?
旅行客向けのヤツだと買いきりがあるとか? メリカリやLINE Payは、新規登録時にe-KYC認証だから。
e-KYC認証で運転免許書とか写真付き公的証明アップなんて到底できない。
ペイペイはcoke onキャンペーンで毎週100円相当返って来るので新規登録した。
すき家もモバイル注文に登録した。これをすると10%還元。
案外使っている。 ネット銀行ではない銀行はモバイルアプリは残高を照会できるが、アクセスごとにメールしか来ない。
面倒なので振込の登録はしていない。
ネットのうえ、ID、PWだけなので全世界開放していると思っている。
ただ、誰もアクセスを試みようとしないだろうが。 SMS認証なんて全く信用してない。
やる奴は犯罪集団なんだからなんでもやる。
電話でもしもし、はいはい、出金。一般人相手では通用するだろうが。 >>2
初め読んだときはpaypay以外は白黒わからなかったが、
メルペイは不正に引き出す条件として銀行口座番号、口座パスワード、名前の3つが必要で、
ペイペイはドコモと同じリバースブルートフォースアタックによる不正引き出しが出来そうだな。 口座名義人は口座番号がわかればわかる。
ATMでも振込手順を踏めば口座番号で口座名義人を表示するだろう。 >>4
もうゆうちょ銀行はドコモへの送金止めたよね。セキュリティが甘いのは否めないけど、対応が早いのはいいと思う。 e-KYC認証で運転免許書とか写真付き公的証明をアップしても本人認証にならない。
落ちていた運転免許書をアップすればいいだけだから。
本人認証には窓口で写真と照合が必要。他の情報と照合するのも一応可。 でも被害がないということは、あ〜なるほどな 銀行はサーバーチェックできないの?
今メディアで言われてる
暗証番号固定で口座番号を総当たりしていくハック方式なら
サーバーチェックでわかると覆うんだけど >>15
これって、
携帯の登録名と
銀行口座の登録名が違っていても、
OKと判断されちゃうんじゃないの? 数日前ぐらい前の報道では銀行は、リバースブルートフォース のログは見当たらないらしい。
よって、フィッシングに傾いている。 どこのITゼネコンに発注したんだろ、発表したらゼネコンの仕事激減するから
忖度してるのか Youtubeでも、よく理解してない人がしたり顔で解説してるのが笑ってしまう セブンやローソンのアプリはQR決済できない。
ローソンのアプリはいろいろ頑張っているが使うのが恥ずかしい。
QR決済機能が付いていて他のポイントも溜まるファミペイが完勝。
セブン幹部はアホだろ。 セキュリティを全ての銀行全体で見直さないと
キャッシュレス化がさらに遅れて
ますます日本のガラパゴス化が進んでしまう
もうずっとアメリカの真似っこして大きくなった国なんだから
それも真似っこすればいいんだよ それより、強力な暗号を使った国ベースの認証基盤を作った方がいい。 自治体と国のネットワークはインターネットと繋げていないことになっている。
それほど、ネットの攻撃に対処するのは難しい。
ただ、クラウド、DX時代にインターネットをつながないってことは商売で死を意味する。
インターネット分離に関するガイドライン
https://www.ashisuto.co.jp/pr/ericom/InternetSeparation_Guide.html 日本はIT後進国と認めないといけない。
全国民にIT研修を国の費用で用意しろ。 >>85
データ守りたければ線全部ひっこぬいてコンクリートで固めて海底の奥深くに沈めるしかないって話もあるね
オレの会社は経営陣がクラウドサービス使用に消極的だけど情シス的にはそろそろ限界です >>76
それをできる頭があれば、こんな悪手を打ってないのかもしれない
よって、今も口座と暗証番号は全部リストアップされてるかもしれない 今はただの事務屋だが、ステートレスプロトコルで攻撃を防ぐのはかなり面倒くさそう。
セッションを保つのにクッキー使ってんだろう?
まあ、今回はそれ以前の政治的仕様の問題だが。 【菅官房長官】マイナンバーカードを2年半後に国民全員に。普及に向けて電子行政を一元化する「デジタル庁」創設が必要★4 [記憶たどり。★]
http://asahi.5ch.net/test/read.cgi/newsplus/1599980025/
※出発したら、惨禍にいたるまでは誰も中止を認めません 結局、フォンテックを構築する側のセキュリティ意識の甘さが招いた事件。
態々、脆弱性を呼び寄せ脅威にしてしまった責任はあまりにも大きい。
少なくとも、物理カードと同じで接続させる様な仕様では無く
新たにフィンテック用の暗証番号を用意する様な仕様にすべきだったのだよ。
挙句に銀行への通知に悪さも改善しなければならない。 ソフバン工作員はどんなアクロバティックな言い訳と
そこからのドコモ叩きを展開するの? >>71
スマホでリバースブルートフォースアタックは大変そうw ソース元と違うスレタイにするのはいいんだけど、あまり恣意的なのはやめるべきでは? どんなシステムでも完璧はないよ
でも、フリーメールでOKはないよね >>40
ドコモ口座は、第二種資金移動業に当たるだろ、間抜け。 ■ このスレッドは過去ログ倉庫に格納されています