1ヨロロの名無しさん2020/09/09(水) 09:37:21.86ID:ZUBSH9zV9
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
2020年09月09日 07時00分 公開
[井上輝一,ITmedia] NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。
<中略>
今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。
Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。
ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座のWebサイトから銀行口座を登録する必要がある。ドコモは「銀行のWebサイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『4桁の暗証番号』の3点を利用していた」と明かす。
ドコモは、これらの情報が何らかの理由で第三者に漏れたことが不正利用の一因ではないかとしている。
<中略>
不正利用の被害にあった人のネットへの書き込みなどから、ネット上では「リバースブルートフォース」や「パスワードスプレー」と呼ばれる攻撃があったのではないかという臆測が上がっている。
「リバースブルートフォース」とは? 原因について専門家の意見は
Webセキュリティ専門家の徳丸浩さんは「リバースブルートフォースやパスワードスプレーが使われた可能性はある」としながらも、「ドコモ口座側の防御策に問題があった可能性もある」と話す。
「リバースブルートフォースはパスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃のことで、パスワードスプレーは数千〜数万のIPアドレスを使っていろいろなIPアドレスから少しずつ攻撃し、攻撃を気付かれにくくする手法。これらが使われたかどうかは臆測でしかいえないが、いずれにせよ今回は暗証番号が4桁という部分が狙われたと考えられる。しかし、4桁の暗証番号を決済アプリとの連携に使っていても被害を受けていないケースもある」(徳丸さん)
「例えばゆうちょ銀行は、『LINE Pay』や『ゆうちょPay』などとの連携に4桁の暗証番号を使っている。しかしこれらで被害が発生していないのは、いずれもアプリがスマホ専用のものだからだと考えられる。『スマホを利用する』ということ自体が一種の認証であり、防御策になっている」
一方、ドコモ口座はPCからでも利用できる。ログインに2段階認証は必要なものの、口座開設時に携帯回線をひも付けていなければ登録メールアドレスにセキュリティコードが送られてくるため、攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結する。
徳丸さんは「こうした防御策の差で、今回は地方銀行とドコモ口座が狙われたのではないか」と分析している。
銀行が取るべき対策としては「アプリとの連携に4桁の暗証番号を使うのをやめ、ネットバンキングと同等のセキュリティ対策を取れるようにするべきだ」と話した。
省略。全文は引用元で
![]()
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。顧客に被害があったのはいずれも地方銀行。今回の不正出金はなぜ起きたのか、専門家に見解を聞いた。
https://www.itmedia.co.jp/news/articles/2009/09/news048.html
→ この発言にコメント
287ヨロロの名無しさん2020/09/09(水) 10:31:13.11ID:vveVuXSF0
>>1 これ、docomoのセキュリティ設定が甘すぎた。
損害賠償はdocomoがしないと。
→ この発言にコメント
【悲報】イオン銀行も陥落、17行に… ドコモ口座と提携銀行で不正な預金引き出し相次ぐ
3ヨロロの名無しさん2020/09/09(水) 09:38:06.41ID:qMPPR5RR0
銀行側があまりにも杜撰
→ この発言にコメント
39ヨロロの名無しさん2020/09/09(水) 09:47:45.44ID:eoxzHeyT0
本当にこれが可能だったんなら
被害規模はけっこう大きいのでは
→ この発言にコメント
40ヨロロの名無しさん2020/09/09(水) 09:48:02.12ID:lJ24XX+90
こうでは? スタート
↓
本人認証が不要なドコモ口座を作る
↓
適当な銀行口座に適当な暗証番号を試す
↓
合わなければ、スタートに戻り、次の銀行口座を試す
これで暗証番号は知らなくていい
ヒットした銀行口座に振り込み手続きしようとすれば、名義はわかる ★
銀行口座は自分で作った口座から連番で探ればいい
暗証番号を探すんじゃなく、決めた暗証番号にあう銀行口座を探す
→ この発言にコメント
64ヨロロの名無しさん2020/09/09(水) 09:50:02.64ID:YCLGpv8G0
>>40
10人くらいでPCをカタカタしてれば出来ちゃう作業だよな。
ってかドコモ口座が∞に作れるのが悪いだろ。
→ この発言にコメント
137ヨロロの名無しさん2020/09/09(水) 10:03:04.89ID:lJ24XX+90
>>64
1日あればひとりで自動スクリプトをかけると思う
→ この発言にコメント
44ヨロロの名無しさん2020/09/09(水) 09:48:18.12ID:PcfTCQ9P0
パスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃 これって口座番号と暗証番号が一致するまで再試行切り返すの?
ロック掛からんか?普通
→ この発言にコメント
75ヨロロの名無しさん2020/09/09(水) 09:51:59.51ID:fmr7Ekts0
>>44
口座番号基準ならロックもかけられるけど、不特定のipから複数の口座番号に別々に試されたらどうしようもない
→ この発言にコメント
45ヨロロの名無しさん2020/09/09(水) 09:48:21.68ID:kDGie4Ny0
昔はトークンでワンタイムパス発行とかだったのにどんどん簡略化していったらこのザマに
→ この発言にコメント
51ヨロロの名無しさん2020/09/09(水) 09:48:49.41ID:ozACUuF40
被害原因はシステムと管理者だから全補填だよ
廃行出るな
→ この発言にコメント
53ヨロロの名無しさん2020/09/09(水) 09:49:01.37ID:MaU5R6YL0
4ケタの暗証番号なら総当りで1秒かからないからな
→ この発言にコメント
73ヨロロの名無しさん2020/09/09(水) 09:51:26.75ID:MaU5R6YL0
>>53
インテル ペンティアムプロセッサの時代でな
→ この発言にコメント
58ヨロロの名無しさん2020/09/09(水) 09:49:46.19ID:u4Hx31jW0
暗証番号なんて誕生日にしてるやつが80%やろ
お前らも心当たり有るな?
→ この発言にコメント
62ヨロロの名無しさん2020/09/09(水) 09:49:55.37ID:3AFpVrPN0
よくわからんのだけどドコモ口座っての持ってなければ危険ないんだよね?
→ この発言にコメント
68ヨロロの名無しさん2020/09/09(水) 09:50:54.33ID:YCLGpv8G0
>>62
関係ないよ!
→ この発言にコメント
【銀行預金】複数の地銀で不正な預金引き出しが発生 ”ドコモ口座”と提携銀行に口座があるだけで危険!?
63ヨロロの名無しさん2020/09/09(水) 09:49:55.51ID:otd/Pf0L0
文字認証&パスを入力するまでに1分待ち時間置くとか対策できるのにしないアホ 総当りまでの敷居をアホほど高くしないと
→ この発言にコメント
65ヨロロの名無しさん2020/09/09(水) 09:50:15.21ID:uT+9Ysjp0
パスワード固定の口座番号総当たり。
つまり一番多いパスワードで固定してんだろうな。
1234とか7777とか。
→ この発言にコメント
94ヨロロの名無しさん2020/09/09(水) 09:54:31.62ID:wyMy7wfs0
容疑者は世界中か、どうすんだこれ
→ この発言にコメント
101ヨロロの名無しさん2020/09/09(水) 09:55:26.96ID:6WX+ZmyA0
いいからドコモ口座はさっさとサ終しろや
→ この発言にコメント
140ヨロロの名無しさん2020/09/09(水) 10:03:25.20ID:reV6MwQ60
>>101
日本人は、一度決まったことは貫くから
それ無理
→ この発言にコメント
150ヨロロの名無しさん2020/09/09(水) 10:05:23.82ID:lyUTVt9F0
>>140
去年のセブンペイの前例があるだろ。 これだけ大問題なら、ドコモ口座サービス自体終了の可能性もある
→ この発言にコメント
179ヨロロの名無しさん2020/09/09(水) 10:11:37.69ID:gb41dyr90
>>150
それどころか、同じ携帯系の銀行の不信感にもなるから
auペイとかも駄目になるじゃね? それくらいの大騒ぎになるな
→ この発言にコメント
110ヨロロの名無しさん2020/09/09(水) 09:57:07.54ID:xngdoyKA0
ATMは数回の暗証番号間違いでロックがかかってたはずだけど、ネットだとIPアドレス変えるとリセットされるのが問題では。
→ この発言にコメント
132ヨロロの名無しさん2020/09/09(水) 10:01:41.57ID:DA/RAlDr0
>>110
一つの口座で何回もパスワード試したんじゃなくて
一つのパスワードで何個もの口座試してるからロックもクソもないって話なんじゃないの?
→ この発言にコメント
114ヨロロの名無しさん2020/09/09(水) 09:57:56.29ID:JcT3m4mh0
数字だけの暗証番号だけじゃなく漢字やひらがな混在のパスワードの2段階認証にすれば破ることほぼ不可能になるのに
→ この発言にコメント
119ヨロロの名無しさん2020/09/09(水) 09:59:17.79ID:S/9GMRZC0
日本では、一般事業会社の銀行業への参入を認めてるからね。
アメリカとか海外では、認めない国が多いんじゃね? 日本は、規制緩和の議論ばかりだからな。
→ この発言にコメント
145ヨロロの名無しさん2020/09/09(水) 10:04:08.84ID:y2gZqYF80
セブンとかドコモとかトップ企業がやらかすんだね
→ この発言にコメント
147ヨロロの名無しさん2020/09/09(水) 10:04:29.18ID:cdm5tv9K0
わいの預金3000円は無事か?
もし不正されてたらDOCOMOに絶対補填させるで!!
→ この発言にコメント
154ヨロロの名無しさん2020/09/09(水) 10:05:58.42ID:rXoi/fNi0
>>147
残念あなたの預金はマイナスです
3000円とか関係あらへん
→ この発言にコメント
189ヨロロの名無しさん2020/09/09(水) 10:13:14.34ID:l4ngUdbr0
ドコモロ座のシステムじゃなきゃやれないよね
簡単に無限にアカウント作れるとか
→ この発言にコメント
204ヨロロの名無しさん2020/09/09(水) 10:17:22.94ID:6T047v4k0
もし本当にリバースブルートフォースだとしたら、監視してりゃすぐ気づくだろ・・・
金を扱うサービスなら監視くらいしとけよ
→ この発言にコメント
240ヨロロの名無しさん2020/09/09(水) 10:21:55.06ID:9nanPJwd0
>>204
監視してなかったとしても、
被害が明らかになった時点で
穴の修正も、攻撃の手口もすぐに公表できるよね でも、現時点でドコモも銀行も手口が掴めてるとは思えないんだよね。
→ この発言にコメント
245ヨロロの名無しさん2020/09/09(水) 10:23:20.39ID:IpZoN0r40
今現在、記帳して被害を受けてないなら、安心のために、暗証番号を変更する事で対策とれないか?
それとも、被害を受けてないなら、触らない方がよい?
→ この発言にコメント
250ヨロロの名無しさん2020/09/09(水) 10:24:47.30ID:dEs9vtq70
>>245
実際どういう方法で突破されたかによる
システムの不備ならユーザー側で対処不能だよ
→ この発言にコメント
256ヨロロの名無しさん2020/09/09(水) 10:25:41.99ID:DfDivQ+b0
口座名義が必要なら
リバースブルートフォース攻撃だけじゃ突破できなくね?
→ この発言にコメント
262ヨロロの名無しさん2020/09/09(水) 10:26:52.31ID:3n8irISO0
エラーメッセージで最初に教わる事。
パスワードが違います。
IDが違いますは。
はいけない。どちらか一方の間違いの時常にログイン出来ませんとすべき。
どっちが間違いなのか知らせてはいけない。懇切丁寧も時と場合による。まあそこから始めましょう。
→ この発言にコメント
275ヨロロの名無しさん2020/09/09(水) 10:28:48.81ID:qcz9T1ll0
>>262
その教則は正しいけど
今回の件には該当しないw
→ この発言にコメント
276ヨロロの名無しさん2020/09/09(水) 10:29:15.42ID:G+XwGCSk0
4桁固定だからマズイのか
銀行の4桁ってずっと変わらないもんな
もう時代遅れなんだよな
→ この発言にコメント
292ヨロロの名無しさん2020/09/09(水) 10:31:56.67ID:2yYbboJj0
>>276
カードを所持してるっていう一つのセキュリティが噛んでる前提よね
→ この発言にコメント
285ヨロロの名無しさん2020/09/09(水) 10:30:44.29ID:mD22JoC30
リバースかどうかは別にしてブルートフォース攻撃はほぼ無理では?
仮に可能だったとしたら銀行がかなりおかしい。
→ この発言にコメント
321ヨロロの名無しさん2020/09/09(水) 10:35:40.59ID:XevgIMyc0
>>285
一口座番号に1回しか試行しないから、ロックかかりようがない。
→ この発言にコメント
338ヨロロの名無しさん2020/09/09(水) 10:37:14.66ID:mD22JoC30
>>321
ロックかどうかはおいといて、すぐにバレるだろうということ。
→ この発言にコメント
341ヨロロの名無しさん2020/09/09(水) 10:37:41.88ID:XevgIMyc0
>>338
IP変えればバレる要素がどこにもない
→ この発言にコメント
293ヨロロの名無しさん2020/09/09(水) 10:31:56.71ID:JDFx8ljf0
ドコモ口座に入った金は何に使えるの?通販とかなら足が付きそうだけど
→ この発言にコメント
325ヨロロの名無しさん2020/09/09(水) 10:35:52.52ID:wv5gZRYA0
>>293
海外にも送金可能・・・中国もOK
→ この発言にコメント
317ヨロロの名無しさん2020/09/09(水) 10:35:18.11ID:wOjVSqpT0
え? リバーシブルフルートフォーク攻撃がなんだってー? 変わった楽器だなぁ
→ この発言にコメント
コメント一覧