【不正利用】ドコモ口座 自己防衛が必要 トレンドマイクロ・岡本氏「暗証番号を定期的に変えることを勧めている」 [trick★]
■ このスレッドは過去ログ倉庫に格納されています
ドコモ口座不正 流出情報、何度も悪用恐れ データ化、自己防衛が必要(1/2ページ) - 産経ニュース
https://www.sankei.com/affairs/news/200911/afr2009110039-n1.html
ドコモ口座不正 流出情報、何度も悪用恐れ データ化、自己防衛が必要(2/2ページ) - 産経ニュース
https://www.sankei.com/affairs/news/200911/afr2009110039-n2.html
2020.9.11 21:12社会事件・疑惑
NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出しが相次いでいる問題では、口座番号や暗証番号などを入手した何者かが預金者になりすましてドコモ口座を設け、銀行口座から金を移していたとみられており、被害はさらに拡大する恐れがある。専門家は過去の口座などの流出情報が悪用されている可能性も指摘。暗証番号を定期的に変えるといった自己防衛手段を講じない限り「一度流出した情報は何度も悪用される傾向にある」と警鐘を鳴らしている。
■メールだけで本人確認
今回の事件では、本人確認の甘さが悪用されたとみられている。ドコモの口座を開設する際、メールで本人確認をするだけで、携帯番号に任意の認証コードを通知し、それを打ち込むなどの「2段階認証」は行っていなかった。
何者かが口座番号や4桁の暗証番号のほか、氏名と生年月日を入手。預金者になりすましてドコモ口座を開設し、被害者の銀行口座を勝手に連携させ、預金を不正に移していた。
情報セキュリティー会社「トレンドマイクロ」(東京)の岡本勝之セキュリティエバンジェリストは「ドコモ側からすると、口座番号などの銀行情報自体が本人確認の要所だったのかもしれない。だが、金銭に直結するアカウントで別の本人確認方法をとるべきだった」と話す。
(中略)
平成30年にはスマートフォン向け決済サービス「PayPay(ペイペイ)」で他人名義のクレジットカード情報を悪用する事件が相次いだ。昨年も第三者による不正利用被害で「7pay(セブンペイ)」が運用停止に追い込まれた。
■悪用され続ける恐れも
トレンドマイクロによると、不正に盗まれた個人情報をネットに大量に保存するサーバーの存在も確認さている。情報はデータベース化され、カード番号や有効期限、生年月日などに加え、販売済みかどうかの記録もあった。約2年前には1日2千件のペースで蓄積されていることも確認された。
今回もこうした情報が使われた上で、過去の事件同様にセキュリティーの脆弱(ぜいじゃく)性を突かれ、被害を拡大させた恐れがある。岡本氏は「一度流出した情報は何度も悪用される傾向にある。暗証番号を定期的に変えたり、セキュリティー強化のオプションサービスを利用したりすることをすすめている」と話している。 >>3
パスワード変更を強制するサービスとかあるけどいい加減見直したほうがいい
別のスレでも書いたけど危険なのは短いパスワードだとかパスワードの使いまわしなんだよね
短いとその組み合わせが限られるから破られる可能性も高くなる
パスワード使いまわしはひとつ漏れただけで即全滅 ドコモがドコモ口座とやらをやめればいいだけちゃうの??? ところで、今回被害に遭った人は、
銀行側のオンラインバンクを利用契約してないで被害に遭った人っているのか? パスワード替えるだけで防げるなら
トレンドマイクロ儲からない キャッシュカードやクレジットカードの暗証番号って、
4桁の数字の時点でなぁ…… docomoがトンチンカンなことを言うのは既定路線だが、
トレンドマイクロの立場で言っちゃうと株が下がるよ 暗証番号を変えても口座番号を割られる確立は同じ 完全なる無駄手間
ドコモ口座のサービス停止をしろ
それしか手はない この岡本さん、転職したほうがいいんじゃない
セキュリティ会社向いてないよ 新規登録の停止措置は、新たな模倣犯の予防にはなる
しかし
今現在活動している犯人は、変わらず割った口座から金を引き落とせる状況にある トレンドマイクロみたいなデタラメな会社に取材行くなよ >>3
それやるとめんどくさくなって簡単なパスワードにしちゃうんだよな。 >>105
暗証番号はキャッシュカードやクレジットカードというモノと対だからってのはあるね
その人だけが所有してるモノとその人だけが知ってる知識の組み合わせ
これがカードそのものではなく口座番号でもいいですよとなると
知識+知識でかなり事情が違ってくる >>102
13000人のお客様に不便が・・・
その他の国民何人いると思ってるんだよな
気が狂ってるよね
それにもう二度とドコモの金融業には新規の客は入らないよな
ドコモ口座はいずれ廃止、名前を変えても誰も入らないよ >>115
そこが一番の問題だよね。
インターネットシステムのパスワード認証でたった4桁、しかも数字のみなんて話にならない。 極端に言うとパスワードって方式が時代おくれも良いとこだし
初めてパスワード作った人もあんなもの作るんじゃなかったって言ってるぐらい
ましてや4桁の数字なんて速攻で破られる
あと、パスワードの定期的な変更は現在ではあまりおすすめされてない
理由は前記の通りで単純化を招くから 現在活動中の犯人を止める方法は、「ドコモ口座の停止」以外に存在しない
時間が経てば被害が大きくなるんだから、今やれよ
無関係な人間にいつまでテメーの会社の都合で迷惑かけるんだよ で、例の口座振替のAPIは引き落としのたびに暗証番号を要求するタイプ?
それとも一度連携すると後はフリーパスなタイプ? 4桁のパスワード、実際は海外では西暦、日本では誕生日あたり
あとは1234とか4321、ゾロ目が圧倒的
したがって総アタックする人も0101から31日以上を外して1231まで
これに西暦の0001から2000年ぐらいを追加して、
ゾロ目、数字の連番をリスト化していれば、アタックする数字も実際は2500もあれば良いところ
下手すれば1000件ぐらいでも10万人のリストが手に入ったら確実に100ぐらいはヒットする 最近のSMSの履歴は認証番号だらけだよ
消すのが面倒 >>1
ドコモ口座持ってる人が自己防衛するのは当然だが、
全く無関係で見事なとばっちり食らってる人にまで
自己防衛しろとか酷すぎる。 >>71
銀行の窓口に行ってドコモ口座の紐付けの拒否登録をお願いしたとして、銀行がその
処理をしてくれるのかと聞いている まあ、数年後はスマホで二段認証かトークン必須になるだろう
利便性だと二段認証の方が効率良い 個人のできることなんてメーンバンクを安全な銀行に替えることくらいしかできんけど水道やら電気やらガスやら新聞やらケータイの引き落とし先や旦那の給与の振込先の変更手続きもせんとならんからそう簡単にできることじゃないしな リバースプルートフォースで暗号定期的に変えても無意味じゃろ よくわからないんけど
自分が知らない間に登録されたかものドコモ口座はどうやって調べるの?
実際の銀行口座に不明な出金がないから大丈夫とかならないし この件に関しては、暗証番号を頻繁に変えることが自己防衛の役にあまり立たないようだけど >>66
クレジットカードのPINコードはネットワーク上でやり取りされるものでは無い
カード読み取り機からカード情報を取り出す時にしか使用されない フィンテックが接続されるならゼロトラストセキュリティの概念が必要になってくるわ。
暗証番号を定期的に変えにゃならん手間をウォレットアプリが作り出した。
しかも、他人の口座を巻き込んで。 つか、サービス継続するとの発表を受けて、
試行回数無限問題が改善されているか確認する新聞記者は居ないのか 信用して使う奴が愚かw
本名登録だの電話番号登録が必要とか信用できん >>3
定期的に変えるより長くて複雑な方がいいと言われてるね
ただ銀行の4桁暗証番号は定期的に変えた方がいい そういう問題じゃ無い
1段階認証ならその瞬間に暗証が合ったら終わりだよ
岡本さんって・・・経理の人? NHKもトレンドマイクロも間違ったこと教えるなよwww
総当たりハッキングなんだから、パスワード変えても無駄
銀行をかえるか、マイナスにならない口座で残高0にする >>141
試行回数無限問題ていうのを記事にしない・できないからトンチンカンな分析になる。 バカすぎ、定期的に変えて総当たりに当たったらどーすんだ >>144
定期的に変えてたら強度が下がったの引く可能性が高まるから駄目 >>69
トレンドマイクロがアホなのは昔から有名やで
わい20年ほど前に日立で派遣やってたけど全社でウイルスバスターいれてて
自動updateでPCが起動不能になるのが結構あった。セキュリティソフトでPC
が壊されるなんてしゃれにもならんよな。
トレンドマイクロがまだ存続してたのが驚きだよ。 そもそもdocomoがタコな訳で、各人が自己防衛と云う話がおかしい。 >>149
記帳したー、大丈夫だった!
ついでにパスワードも買えとこーポチィ〜!!
ドコモコウザ
ドコモコウザ
ドコモコウザ
ドコモコウザ >>148
話が複雑になるからさ。
試行回数無限問題がなぜダメなのか
試行回数無限だと何ができるのか
どうしてドコモではそれができたのか
ていうのをいちいち説明しなきゃこの問題は理解できないし、
そんなことしていたら30分ぐらいの番組になっちまうし、
文字だったら雑誌数ベージの読み物になってしまう。
マスコミは報道したがらなかったのは一つにはそういうわけ。 暗証番号変更って
面倒くさくないの?
しかも忘れそう 暗証番号総当りだったの?
それとも、暗証番号固定で、口座番号を変えていく総当りとかだったの? >>158
パスワード総当たりじゃロックされるから口座番号じゃね? >>158
わかってる口座番号全部やって吸い尽くしたら
次の暗証番号いくだろ
自分の口座は何千万あるんだから トレンドマイクロが使えない会社ってのがよくわかるわ >>139
そう、今はね、古い口座なんかで誕生日そのままってのも結構あるんだよ
で、今は誕生日駄目ですと言われたら西暦を設定したり
5050とか設定してそれも破られる 多分、犯人はりそなの時に気がついたんじゃないかな?
で、銀行の口座番号と氏名のリストを手に入れて、準備していた
で、前準備にどの銀行のセキュリティが甘いかをチェックして
9月に入り一気にクラック、破れた所から片っ端から出勤してトンズラ まず暗証番号変えるのは良くないし、
今回は変えてても無意味だろ >>158
暗証番号固定で口座番号を変えて試す攻撃なんて、普通の銀行システムでは取れない
普通の銀行のシステムでは、口座番号と4桁の暗証番号とクレジットカードのICカ
ード情報の3つを組み合わせて認証するから
4桁のパスワードを固定したとして、口座番号とクレジットカードのICカード情報の
組み合わせが膨大な数になるから、ツールで自動化したとしても総当りでは正しい組
あわせを探せない
ある銀行のシステムに欠陥があって、クレジットカードのICカード情報を使わずに、
口座番号と暗証番号の2つの組み合わせだけで認証していたとか、そういう特殊な
ケースでないとこの攻撃は使えない 口座番号と名義のリスト→通常の振り込み手続きでわかるようになってるからリストの入手は容易
暗証番号→上記で入手した口座番号リストにリバースブルートフォースアタックして一つ二つくらいは暗証番号が判明する
あとはドコモ口座で紐付けして終りってことかな?
キャッシュカードっていう物理認証+暗証番号の二段階認証が前提となってるセキュリティを
暗証番号だけで本人確認としてしまったのが過ちだなあ >>1 >>6
テレビはドコモがスポンサーだから、ドコモでなく銀行を攻撃する
そこに電通が援護射撃 >>170
>クレジットカードのICカード情報を使わずに、
>口座番号と暗証番号の2つの組み合わせだけで認証していた
今回のドコモ口座と一部の地銀の組み合わせてこうなってたのが問題なんでしょ?
あとクレジットカードじゃなくてキャッシュカードな >>1 >>153
テレビでは民放は、スポンサーのドコモを攻撃しない
悪いのは自己防衛しない個人ユーザー、ドコモは悪くない、というスタンス スポンサーだからていうより、マスコミがこの問題を正しく理解できてないから論旨もトンチンカンな方向に向かってしまってる。
この記事だって、フィッシングサイトで暗証番号が漏れたてことで記事が書かれてるから、
そりゃ預金者がマヌケだねとか暗証番号変えろよていう結論になるのは当然。 >>174
キャッシュカードの間違い
口座番号と暗証番号だけでドコモ口座と銀行口座を紐付けしていたとして、そこで使わ
れた暗証番号が何が原因で事前に漏洩していたのかが不明だということを言いたい
170に書いたように、リバースブルートフォースアタックで暗証番号が抜き取られるな
んて、普通の銀行のシステムでは無理だから
フィッシングサイトとかで取られたという方が、可能性としては高い やっぱり、キャッシュカード作らず、通帳と印鑑持って顔なじみの銀行に行くのが一番 え?今ごろパスワードを定期的に変えることをいうの?
今回のは明らかに運用面がおかしいだけだろ 銀行でATM操作して、現金を引き出してる人の後ろに立って、
盗み見れば、名前、口座番号、暗証番号、わかるよー >>177
>リバースブルートフォースアタックで暗証番号が抜き取られるな
>んて、普通の銀行のシステムでは無理だから
普通の銀行のシステムってどんなものの事言ってるのか知らんけど
IPアドレス変えながらやればできるんじゃないの? >>181
4桁の暗証番号を一つに固定して、その暗証番号を使っている口座番号を総当りで調べる
のは、時間コスト的に可能
4桁の暗証番号を一つに固定して、その暗証番号を使っている口座番号をキャッシュカー
ドのICカード情報との組み合わせで調べるのは、時間コスト的に不可能 >>173
ここでドコモをコテンパンに叩く報道を続け、やめて欲しけりゃCM増やせ
って恐喝できるのが民放 >>182
補足すると、口座番号と4桁の暗証番号だけで認証を試すことができる手段が、通常は
提供されていないからね
通常は、口座番号と4桁の暗証番号とクレジットカードのIC情報の3つで認証を試す手
段が提供されている >>28
貴方にはその程度の人員を充てがえば良いと思われいるだけ。 >>3
変えた結果、たまたま不正利用者の推測したやつに当たったってことが海外だかで昔あったらしい。 >>170
なんでクレジットカードが出てくる?ドコモ口座の話だよね。 >>185
さっきから不可能って言ってるばっかりでどう不可能か全くわからないんだけど。
たしかにお前が言うとおり普通はキャッシュカード+暗証番号っていう二段階認証になってるんだよ。
でも今回はドコモ口座+一部の地銀の組み合わせのときに口座番号と暗証番号だけで認証するパターンがあったのが問題なんでしょ? >>100
セキュリティ専門家が何年も前にほとんど意味ないとか指摘してたな >>1
トレンドマイクロは
ドコモ、セブンイレブン並みに バカ ということ。 >>89
10年以上前から1111の連続番号や単純な1234とか
誕生日1225とかは入力できないようになってるよ。
10年以上前に設定してるなら別だが。 >>1
阿保・阿保・阿保・阿保・・・・・それ、根本的な解決策になってない 紐付き銀行解約して他の銀行かタンス預金にする方が無難
紐付きって判った以上、どれだけ対策取られても不安しかない 定期的に変えて入れなくなったサービスがいっぱいあるわ ドコモ口座に関係してる銀行から関係ない銀行に預金を移せばいいのか?
取り付け騒ぎが起きないかな? ネットに繋がないのが最強のセキュリティーだろ
顧客に無断でネットに繋いだのがゆうちょ >>185
今回の話でなんでクレジットカードが出てくるの?
クレカ付きのキャッシュカードじゃないとドコモ口座は作れないの?? >>189
口座番号と暗証番号の組み合わせだけで認証を試せる手段が、普通の人には提供されて
いないだろ
キャッシュカードのICカード情報を使わないリバースブルートフォースアタックを、ど
こで実施するんだよ ■ このスレッドは過去ログ倉庫に格納されています