【不正利用】ドコモ口座 自己防衛が必要 トレンドマイクロ・岡本氏「暗証番号を定期的に変えることを勧めている」 [trick★]
■ このスレッドは過去ログ倉庫に格納されています
ドコモ口座不正 流出情報、何度も悪用恐れ データ化、自己防衛が必要(1/2ページ) - 産経ニュース
https://www.sankei.com/affairs/news/200911/afr2009110039-n1.html
ドコモ口座不正 流出情報、何度も悪用恐れ データ化、自己防衛が必要(2/2ページ) - 産経ニュース
https://www.sankei.com/affairs/news/200911/afr2009110039-n2.html
2020.9.11 21:12社会事件・疑惑
NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出しが相次いでいる問題では、口座番号や暗証番号などを入手した何者かが預金者になりすましてドコモ口座を設け、銀行口座から金を移していたとみられており、被害はさらに拡大する恐れがある。専門家は過去の口座などの流出情報が悪用されている可能性も指摘。暗証番号を定期的に変えるといった自己防衛手段を講じない限り「一度流出した情報は何度も悪用される傾向にある」と警鐘を鳴らしている。
■メールだけで本人確認
今回の事件では、本人確認の甘さが悪用されたとみられている。ドコモの口座を開設する際、メールで本人確認をするだけで、携帯番号に任意の認証コードを通知し、それを打ち込むなどの「2段階認証」は行っていなかった。
何者かが口座番号や4桁の暗証番号のほか、氏名と生年月日を入手。預金者になりすましてドコモ口座を開設し、被害者の銀行口座を勝手に連携させ、預金を不正に移していた。
情報セキュリティー会社「トレンドマイクロ」(東京)の岡本勝之セキュリティエバンジェリストは「ドコモ側からすると、口座番号などの銀行情報自体が本人確認の要所だったのかもしれない。だが、金銭に直結するアカウントで別の本人確認方法をとるべきだった」と話す。
(中略)
平成30年にはスマートフォン向け決済サービス「PayPay(ペイペイ)」で他人名義のクレジットカード情報を悪用する事件が相次いだ。昨年も第三者による不正利用被害で「7pay(セブンペイ)」が運用停止に追い込まれた。
■悪用され続ける恐れも
トレンドマイクロによると、不正に盗まれた個人情報をネットに大量に保存するサーバーの存在も確認さている。情報はデータベース化され、カード番号や有効期限、生年月日などに加え、販売済みかどうかの記録もあった。約2年前には1日2千件のペースで蓄積されていることも確認された。
今回もこうした情報が使われた上で、過去の事件同様にセキュリティーの脆弱(ぜいじゃく)性を突かれ、被害を拡大させた恐れがある。岡本氏は「一度流出した情報は何度も悪用される傾向にある。暗証番号を定期的に変えたり、セキュリティー強化のオプションサービスを利用したりすることをすすめている」と話している。 >>229
ドコモは関係ないのが問題なんだよ
ドコモ固有のサービスじゃないんだよ
銀行が世界に向けて公開してるサービスなんだよ これギャグだろ?
大手のセキュリティ関連ソフト会社の言い分がこれでは、
絶望感が半端ないんだが。
ドコモもトレンドマイクロも本当にプロなのか? メールでの本人確認って、それメールアドレスの確認してるだけじゃね ドコモ口座とやらが、ワンタイムパスワードを導入したら問題ないのでは
もっとも、ドコモユーザー以外がドコモ口座を作れないようにしたら良い
ドコモユーザですらない一般人に被害を与えるドコモ口座というハッキングツールが
まだ存在していることが驚愕だよ >>227
おれは使いたくねー。
でもどこかで”私があなたに代わってやってあげますよ”というやつがいる。
”手数料はいただきますね”と抜かしおって上限いっぱい持っていかれました、クククッ!
なんてことが起きている。(カァ~カァ~ >>235
ドコモ口座はセキュリティ破られてねーって
paypayなどからも同じ事できるってw
ドコモの問題じゃねーんだよ
しっててドコモに泥かぶらせてるだろ
ドコモの社員か? >>219
ネットバンキングは、4桁の暗証番号以外の情報で認証されるだろ
どうやってログインしているんだよ
ドコモ口座と銀行口座の紐付けを処理する銀行の内部の端末ではICカード情報を使
わずに認証をしていたとして、そんな内部の端末を使ってリバースブルートフォー
スアタックをしたら、すぐにバレる
リバースブルートフォースアタックなんていう周知の攻撃法に対する対策は、銀行
のシステムでは取られている 今回のは総当たりアタックなんじゃないの?
4桁しかない方が問題 >>237
俺がドコモの社員なら
地銀のセキュリティ対策を責めるよw
ドコモ口座は捨てメールでも作れたのが最大の要因だったと思うよ >>238
API公開されてんだからリバースなんたらを大量の端末からやれば暗証番号見つけれるだろ
マネーフォワードアプリで入出金明細みれるだろ
どうやって見てると思ってるんだ >>240
本当事をいって地銀せめたら取り付け騒ぎ起きるだろうーが
それこそ金融犯罪になるだろ
知ってるくせにまたまたw 他人のPayPalアカウント乗っ取って銀行と連携して海外に送金してる奴いそうだよな >>232
それ違うんじゃないの?
おれも送金は時々やるが口座番号と暗証番号だけで送金できるとは聞いたことも
なければやったこともない。送金するにはいくつか条件がある、それをクリア
しないと送金は出来ない。(ただし、ATM機の前ではこの限りではない)
そもそも暗証番号は秘中の秘、身内にも教えないってくらいなもんだ。
それをネット上に曝け出すとは考えにくい。本当に暗証番号だけで送金出来ると
いう銀行があるなら速攻で解約すべき案件だな。 トレンドマイクロのセキュリティーソフトは無用の長物だということは分かった。 >>244
それを可能にしたのがネット口座振替受付サービスだよ
ぐぐればやり方がすぐに見つかるよ
違法でもなんでもないから >>246
本人確認されてるはずのpaypayので犯罪がニュースになってないから逮捕できないんじゃない 10万の定額給付金が怪しいわ、個人情報、口座情報、マイナンバーカードの暗証4桁と
悪い奴が喜ぶ3点セット
定額給付システムの運用・保守のSEが犯人な気がするわ
そしてマイナと口座の暗証番号を同じにしている奴が被害者 >>241
銀行APIは一般には公開されていないぞ
そんな限定された状況でリバースブルートフォースアタックなんてしたら、すぐに足が
付く これがセキュリティ会社のレベルなんだからお笑いだろ。 >>250
公開されたんだよ、銀行オープンAPIっでくぐってみな
マネーフォワードとかあるよね〜 >>247
え〜”ネット口座振替受付サービス”
こんなの昔からやっているよ。
ただし、書面で申請したのちに有効になるシステム。
この場合は予め相手先が分っている。
しかも暗証番号までは教えていない。←ここが今回の事件とは相違あり。
例:収納機構(公共料金等)、証券会社の買い付け、担保補充など、etc。
今回の詐欺事件は不特定の人物またはグループによる犯行。
しかも調査すると100本のIPアドレスから被害口座に侵入していることが
分っている。犯人側はいくつかのIPアドレスを使って侵入を試みている模様。
まず、個人ならあり得ない。 >>1
パスワードを何度でも総当りできることが問題やったろうに
ホンマにセキュリティのプロか? 総当りされてる間に変えまくるのか?
仕事してる暇なんてないだろ >>239
問題だけど4桁以上にすると番号を覚えずにメモする人が増える >>1
アホかこいつ、暗証番号変えたって意味ないわ
暗証番号なんか、たった1万通りしか無いんだから
簡単に破られるだろ常考
コールバックして来る二段階認証が、今のところ1番安全だ >>253
書面で申請したのちに有効になるのは口座振替な
ちなみに口座振替を利用した詐欺は昔からあるからね
組織的にするにはしょぼすぎると思うよ
やり方公開されててそれ見た個人がやってるんじゃない今回のは
PAYPAYで同じこと起きてるけど犯人特定さえてねーのはなんでや >>257
人間の記憶力では4桁がせいぜいという実験結果から導きだしたらしい。
だったら4桁―4桁―4桁―4桁にすりゃーいいじゃん。
と、思ったがクレジットカードの番号覚えていないやー。ww
でもなぜか電話番号は覚えられるんだよな―。
3桁ー4桁―4桁(携帯電話番号)など パスワードレスにすればいいのにな
ATMとキャッシュカードとGPSで金降ろせるようにしてもよくない
何時でも何処でも金降ろせる必要なくね、都内に住んでる奴が島根で金降ろす必要って
一生に何回あるんだ?
パスワード無しを検討してもいいとおもう 暗証番号が読みとられる、銀行、クレジットカード会社 キャシュレス ハッカーたちは簡単に
読みとっていく 登録制度を変える? 指先認証 体温認証を合体し暗証番号の代わりにする!
バーコードの感じで読み取る 指紋をコピーされると困るから 熱感知 湿度感知でセーフ
暗証番号は 時代遅れ! 今回のってネットを使わない人には全く必要じゃない機能を悪用された犯罪だろ
無駄なサービスが多すぎるよ、一昔前までみたいに必要な機能だけ選ばしてくれよ
一律同じサービス提供する必要ないだろ 「ウイルスバスターは、窓から捨てろ!」
ってことだけは確かに伝わった そういう問題じゃないのほ誰も知ってるのに、こういった場を設けてこう言うぼやかした戯れ言を言う
こういう日本なんとかならんのかw >>1
いつまで経っても「4桁パスワードを漏らした奴が悪い」ってアホ(ドコモ副社長など)が
減らないので、リバースブルートフォースアタックについて理解してほしいのだが、
やっぱり英語だと「なんだかすごいこうげき」としか認識してくれない。
で、調べてみたら適切な訳語が設定されていない模様。
「ブルートフォースアタック」は「総当たり攻撃」として有名なので、あとは「リバース」を
その働きに合わせて訳すならば「逆引き総当たり攻撃」なんてどうだろうか? 物理的な認証が最強なんだがな、アクセスする場所を決めてしまえばいいのに
例えばATMに番号振って金降ろしたいときはその番号を銀行側に伝えて
その番号のATMとキャッシュカードじゃないと下せなくすればいいのに GPSを使って特定の範囲からしかアクセスできなくすればいいのにな
ATMやネットバンキングとかは
GPS情報偽造できるとして位置情報の総当たりは無理だろw ここのセキュリティーは使えないと言う事だけは分かった 極めつけそっちに逃げるか?って感じ
そんなもん基本だろうに それ以前の問題をごまかしてる発言 >>270
公開情報側(この場合、口座番号や名義))がリスト化されている場合も、
適切な訳語が必要だね 銀行とドコモ、バカが揃ったことで事件が発生したって印象だな ネットバンクやってない奴はパスワード変えといたほーがいいかもな
過去にリスト化されてないとは限らないからな
今までは繋がらなかったのが繋がるよーになってしまったからなネットバンク申し込んでない口座が >>279
印象操作って恐ろしな
全て銀行側のサービスで
ドコモは関係ないのにな 現実問題としては、上位20位で全体の30%
上位400位で全体の60%相当が該当する全く無意味な4桁暗号を
ネットから匿名でアタック可能な仕様にしてるドコモがキチガイ >>281
フリーメアドで好きなだけドコモ口座を作れる状態にしておいて関係ないは無いんじゃないか? >>285
知らん奴がドコモ口座作ってあなたの銀行口座とリンクさせてるんだから
自分でドコモ口座作って自分の口座を先にリンクさせておくのが最大の防衛では? >>286
それを記者会見で説明しろ!
おばあちゃんもおじいちゃんも口座が10個ある人はアカウントを
10個作って全部にそれぞれ紐づけしろ、ってw
じゃないとドコモの犯人の方に口座からお金が盗まれますよ、ってwww >>286
なら本人確認してあるアカウント乗っ取ってpaypayやPayPalからリンクしてお金の抜いてやるぐふふ >>285
まだこんな馬鹿がいる
釣りか?
ドコモの工作員か? >>283
銀行側が公開してるからドコモかんけーねーよ
どこからともなく声が聞こえる、paypayやPayPalのアカウント乗っ取ってお金抜いてやるって >>284
フリーメアドで好きなだけアカウント作れるサービス他にもあるよな
でもpaypayやPayPalのアカウントのっとったほーがはえーかw >>3
今回もパスワード据え置きで入手した大量の口座番号を変えて当てたみたいだからな。
例えば良く使うパスワード1234はそのままで、口座Aで試してダメだったらBでみたいな。
口座番号だけだと、支払いやらで使うし大量に流出するやろ。 >>1
【菅官房長官】マイナンバーカードを2年半後に国民全員に。普及に向けて電子行政を一元化する「デジタル庁」創設が必要★2 [記憶たどり。★]
https://asahi.5ch.net/test/read.cgi/newsplus/1599925016/ ハッカーやクラッカーが作ったネットに出回ってるツール使って面白い半分でやったハイエナみたいな奴が犯人だろな
セキュリティ破られてねーもんな >>295
ランサムウエア作った中学生を入閣させるべきやな この話聞いて、暗証番号変える(キリッ
とか、トレンドマイクロ使ってなくてよかったなって思うわ 創価学会員は公助、
その他は自助という発想だよ。^^ なんで暗証番号数字4ケタなん?1万パターンしかないよね
ひらがなカナ漢字使えば堅牢になるのにね というより本来銀行って通帳なりの現物と暗証番号の二重セキュリティをかけて引き出してたのに
金融業界の方からセキュリティ枚数減らしてんだから世話ないよな
二重セキュリティだからこそ数字のみの4桁の暗証番号で済んでいたって認識がなさ過ぎ 常用漢字を1文字使用可能とするだけで安全性は飛躍的に高まるだろう
なんせ外国人と在日には漢字が理解出来ないから 偶々メインがUFJだからよかったものの、他の銀行カスすぎじゃね?
他人の金だからって適当こいてんじゃねーよ 暗証番号変えても
総当たりで口座番号と一致狙われるから
無意味では?
某地銀の人から聞いたけど
カードを作らなければ不正紐付けされない
と言ってた
どうしてもカードがいるなら提携してない
銀行に移すしかない >>12
ドコモ口座への対策、という意味なら効果ゼロ
毎回同じ番号の宝くじ買っても、ランダムの番号の宝くじ買っても当選確率は同じ マジで聞きたいんだが。
今は公私にわたって暗証番号は10や20求められるし、しかも8桁で英数字大文字混同だの複雑化が増してる。
それを定期的に変えろ?
みんなどうやって管理してるの?
結局手書きの管理手帳が必用だよな? >>59
ソフト使ってフルアタックかけてるから
数字の配列に意味はない。 パスワードマネージャー
入る特のパス長文にしとけば堅牢
後はとお好きなようにパスを変更してればいい >>1
>口座番号や暗証番号などを入手した何者か
はっきりスパイアプリ(LINEやTictokなどなど)がインストールされている
スマホから口座番号、暗証番号など入力していると吸い取られれるゾ。と言ってやったほうが
頭の悪いユーザーも理解できるだろ >>271
使ってる端末(スマホ)の問題
あれだけスパイアプリ使うなって言われても
自分の情報はとられても大したことない。
ってほざいてたバカが多かったからな。
いいんじゃないの >>309
頻繁な変更は却ってよくないとは言うね
1回目は練りに練った、しかも自分にとって忘れにくいパスワードを作るけど、そんなパスワードは何度も簡単に作れるもんじゃない
変更を求められるたびにいい加減で、しかも自分でも記憶しづらいパスワードになっていく >>1
被害チェックリスト
(重要:下記35の銀行で口座を持っている人、全員対象!
使っているスマホ・携帯がドコモかどうかとか、d払いの利用有無とか、ドコモの口座有無とか関係なし。 ハフポスト日本版 2020/09/10 12:26より)
Q:該当する35の銀行の口座を持っている?
はい(すぐに通帳記帳して、次の質問へ)
いいえ(被害なし)
連携している35の銀行.
みずほ銀行、三井住友銀行、ゆうちょ銀行、イオン銀行、伊予銀行、池田泉州銀行、愛媛銀行、
大分銀行、大垣共立銀行、紀陽銀行、京都銀行、滋賀銀行、静岡銀行、七十七銀行、
十六銀行、スルガ銀行、仙台銀行、ソニー銀行、但馬銀行、第三銀行、千葉銀行、
千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、南都銀行、西日本シティ銀行、八十二銀行、
肥後銀行、百十四銀行、広島銀行、福岡銀行、北洋銀行、みちのく銀行、琉球銀行
Q:該当する銀行の預金通帳の履歴に「ドコモコウザ」や「デイーバライ」への引き落としの記載がある?
はい(次の質問)
いいえ(現時点で被害なし。今後も頻繁に通帳記帳を推奨)
Q:過去にドコモ口座や「d払い」のサービスを使ったことがある?
はい(一つ一つ、通帳をよく見て、身に覚えのない引き落としがないか、確認推奨)
いいえ(不正に引き落としの可能性大。銀行窓口で例のドコモ被害を訴え口座凍結手続きしてから、通帳を持ってすぐに地元警察署で被害相談)
関連報道
2020/9/11 午前6時35分 テレビ地上波 テレ朝
35の銀行で口座を持っているすべてが被害にあう可能性
通帳記帳で確認してください。不正引き出しがなくとも、わざわざATMに足をはこび通帳記帳する人も、ある意味で被害者だと思います。
2020.9.10 22:58 産経新聞 NTTドコモの電子マネー決済サービス「ドコモ口座」を使った、銀行預金の不正引き出しが見つかった問題 被害者全員がドコモ口座持たず スマホ決済使わない人が標的
2020.9.10 20:46 産経新聞 ドコモ不正利用、「氷山の一角」か 本人確認に後ろ向き
2020/9/11 20:46 日本経済新聞 ドコモ口座、15行なお稼働 被害額2000万円に拡大 サービス継続に強まる批判
>被害をおそれる人はこまめに通帳記入するか、ネットバンキングで残高を確認し続けるしかない。ドコモは(問題のサービスを)すべて停止すべきだ 4桁とか元々強度ゴミなんだから変わんねーだろ
たまたま犯罪者が知って実行日までの間に変えてたらちょっと意味ある程度だ
気持ちの問題レベルだろ >>3
ソーシャルハッキングに対しての防衛だな
半沢直樹みたいな社内重要データへのアクセスとか 今回の攻撃に暗証番号変更は無意味だろ
逆に攻撃に使う番号に変えちゃう可能性もあるんだがwwww リバースブルートフォース攻撃にはパスワード変更は関係無い >>1
ここまで自己防御が必要になる金融サービスとかありえないだろ
しかもサービス利用者じゃない人間が被害対象とか訴訟レベルでしょ まず暗証番号を固定してIDをたくさん打ち込んでいくらしいよ。
だから定期的に変えても4桁から5桁にしてもドコモ口座みたいのがあったら意味ないみたいよ。 >>175
セキュリティの基本的な考え方を、政治や商業主義で歪めてはいけないだろう。
そういう事をすれば結果的にシステムの信頼性が失われるだけ。
攻撃者は容赦してくれないから。 >岡本氏は「一度流出した情報は何度も悪用される傾向にある。
>暗証番号を定期的に変えたり、セキュリティー強化のオプションサービスを
>利用したりすることをすすめている」と話している。
今件のことではなく、一般論とオプションサービスの宣伝しかしていないな
総当たりアタックで破ってるから、個人情報が流出してなくても紐づけ可能だったし ドコモが全国の銀行口座に仕込んだバックドア。
しかも全銀行の口座にバックドアが常に開いている状態
もはやドコモの犯罪 この岡本とか言う馬鹿はセキュリティをわかってないだろ。
犯罪者は4桁 総当たりするから暗証番号変えても同じだぞ >>329
俺も全く同じこと思った。
俺なら暗証番号は5桁にするべきって言う。
これなら総当りの確率は一気に低くなるから誰もが納得する。 お前らジャップは、俺に対して何十年も「バカには教育しても無駄。遺伝とか人種の問題で、教育しても無駄な奴は無駄」と扱ってきただろ。
お前らジャップのそのやり方こそがまさに、「白人がアフリカ系のかたに対して何百年もやってきたやり方」なんだ。
お前らジャップが被害者面するのはおかしい。お前らジャップこそがレイシストのナチだ。
日本人はあらゆる瞬間に被害者面をしようとして汚い。いつその技術を身に着けたんだ。
戦前にはそんな脳みそはなかったように見える。最近は欧米白人トップ1%が、そのお前ら日本人のやり方をコピーしている。
日本およびドイツを滅ぼしたほうが地球は平和になる。 不正に開設された本人口座なんでしょ?
暗証番号かえただけで、阻止できるん?
本人じゃないのに口座開設できたり、
簡単に紐づけできるのが問題なんじゃないのか? ■ このスレッドは過去ログ倉庫に格納されています