ID非公開

2020/9/18 18:23

33回答

ゆうちょ銀行の不正引き出しの件でドコモ口座問題の影が薄くなってませんか?

ゆうちょ銀行の不正引き出しの件でドコモ口座問題の影が薄くなってませんか?

ベストアンサー

0

そりゃ銀行側の問題が大きいですからね。 docomoだけ対策したって、銀行側が対策しないと次々と別の決済サービスで被害が発生しますよ。

その他の回答(2件)

0

今回の事件は NTTドコモより地方銀行の責任のほうが 大きいと思う。 記事みて ↓ 「SBIや三菱UFJも被弾」相次ぐ不正出金のウラに 隠れたもう1つの危ない現実 9/18(金) 7:05配信 ITmedia ビジネスオンライン 金融機関を標的とした度重なる攻撃に、業界全体が揺れている。 9月7日のドコモ口座による銀行預金の不正出金問題がくすぶり続けている中、16日にはSBI証券の顧客口座から、不正に計9860万円が引き出される事件が発生した。現在、SBI証券はすべての顧客について出金先銀行口座の変更受付を停止し、郵送によってのみ出金先口座の変更手続を行うなど事件の対応に追われている。 三菱UFJ銀行で偽口座が作られたという衝撃 ドコモ口座とサービス連携しなかったことで難を逃れ、一定の評価を受けた三菱UFJ銀行。しかし、SBI証券の不正出金問題では、ゆうちょ銀行と共に三菱UFJ銀行の偽口座が不正出金の送金先として悪用されたことが判明し、一連の不正出金騒動で”被弾”した形となる。 今回は、これらの不正出金問題を振り返りつつ、ちまたで見過ごされがちなもう1つの危ない現実についても確認したい。 ドコモ口座はセブンペイよりヤバい? ドコモ口座やSBI証券のような不正出金がらみの事案で、記憶に強く残っている事件といえば、「セブンペイ」だろう。ドコモ口座も、セブンペイもセキュリティーを犠牲にして顧客獲得や利便性を追求した結果、不正出金という結果を招いてしまった。 セブンペイにおける被害者は、いわゆる「リスト型攻撃」の対象となるセブンペイユーザーであった。リスト型攻撃とは、別のWebサイトなどから漏えいしたIDとパスワードのリストを用いるタイプの攻撃方法である。 なお、SBI証券の不正ログインに用いられた攻撃も、この「リスト型攻撃」によるものとみられている。セブンペイでは、このリスト型攻撃によって約900人、総額5500万円ほどの被害が出たことでサービス終了に追い込まれた。 この種の攻撃は、主に他の場所でパスワードを使い回しているユーザーが被害に遭いやすい性質がある。 確かに、セブンペイの事例では二段階認証機能を軽視したセブンペイ側や、攻撃者に責任があることが大前提である。しかし、パスワードの使い回しなどによりリスト型攻撃を許す隙を与えてしまった利用者側にもわずかながら責任があるといえるだろう。 一方で、ドコモ口座の事例は、セブンペイよりもはるかに深刻だ。本件では、攻撃者側がドコモ口座を作成すれば銀行顧客への攻撃が成立してしまうため、ドコモ口座を利用していない顧客の口座からお金が不正に引き出される可能性もあることになる。 この脆弱性に対し、ドコモ口座側はSMSによる二要素認証およびeKYC(電子的な本人確認)を導入することで無尽蔵に匿名アカウントを作成できる現状を改善し、金融機関側はログインや送金時にSMSなどによる二要素認証を用いる”合わせ技”で不正出金のリスクを抑制するという。 17日現在では、ドコモ口座においてワンタイムパスワードやSMSによる二要素認証を導入していたみずほ銀行、三井住友銀行などでは被害は確認されていない。現時点で判明している被害状況をみると、攻撃の対象は地方銀行を中心とした二要素認証を導入していない銀行に集中している。 ワンタイムパスやSMSによる二要素認証を破るには、口座のIDとパスワードだけでなく、専用端末やスマートフォンそれ自体またはその情報も入手する必要があり、不正出金の難易度が一気に上昇する。したがってこれらの対策は有効打にはなりそうだ。 「いつでも偽の銀行口座が作れる」 ではなぜ、SBI証券の事例では、二要素認証を備えていた三菱UFJ銀行の口座が不正出金に利用されてしまったのだろうか。その理由は、三菱UFJ銀行で開設された口座がそもそも偽物であった要因が大きい。 SBI証券の事例では、SBI証券のセキュリティー不足も不正を手助けしたといえるが、そのような脆弱(ぜいじゃく)性があったとしても、ゆうちょ銀行や三菱UFJに偽口座が作れなければ攻撃に踏み切ることはできなかったといえる。 なぜなら、証券会社の出金先に指定できる銀行口座は、証券口座と同じ名義でなければならないからだ。証券会社から顧客資産を抜き取るには、攻撃が成功した顧客の名義を確認したうえで、速やかに偽の銀行口座を作成しなければならない。 しかし、SBI証券でこのような不正出金が発生したということは、「犯人がスピーディーに偽の銀行口座を作成できる脆弱性が銀行に存在する」ことを示唆していることになる。 連載第1回目では、我が国が “マネロン天国”である現状を指摘し、アンチ・マネーロンダリングの状況を審査する国際機関のFATF(ファトフ、金融活動作業部会)による「第4次対日相互審査」における銀行・金融庁の対応について触れた。 偽の口座が簡単に作れてしまうことは、今の我が国は不正出金だけでなくマネーロンダリングのリスクも非常に高い状態のままであるということも同時に示唆しているといえる。 一連の騒動では、二段階認証のような「口座開設後」のセキュリティーについてもっぱら議論されているようにも思われるが、この対策は偽の口座に対しては無力だ。 いかに偽の口座を作らせないかという「口座開設時」のセキュリティーも、不正出金やマネーロンダリングといった金融犯罪を撲滅するために必要不可欠な視点である。 (古田拓也) ITmedia ビジネスオンライン https://news.yahoo.co.jp/articles/5f55983548995f08106e76935fe7386427e71ae4?page=2 「見る見るうちにお金が引き出され」 …本人確認に危険な“穴” ゆうちょ銀行の不正引き出し問題 9/16(水) 19:42配信 FNNプライムオンライン ドコモ口座以外でも…ゆうちょ銀行が謝罪会見 9月16日午後4時から行われた、ゆうちょ銀行の会見。 ゆうちょ銀行 田中進副社長: この度は、広く預金者の皆様に大変ご迷惑をお掛けをいたしております。 この場をお借りして深くおわびを申し上げます 電子決済サービスドコモ口座が発端となった、銀行口座からの不正引き出し問題。 ドコモ口座経由の被害は、これまでに11の銀行で確認されている。 その一つである、ゆうちょ銀行と提携するドコモ口座以外の電子決済サービス5社でも、新たに同様の被害が起きていることが分かった。 PayPayでの被害は2020年1月以降に17件、合わせて約141万円。LINEPayでは2件、約50万円などの被害が明らかになっている。このほか、Kyashでの被害は約23万円、メルペイでの被害は約50万円と確認されている。 ゆうちょ銀行 田中進副社長: 各事業者様と連携をいたしまして、全額補償する方針であることを改めてご報告申し上げます ドコモ口座をめぐる被害件数も、日に日に増加。 16日の時点で145件、被害金額は2678万円に上っている。 5分間で、どんどん引き落とされていく… 埼玉県に住む被害者の出金記録。被害額は、2カ月間で60万円。 被害者: 8月27日が計6回で、10万、7万、4万、5万、3万、1万という感じで引き落とされていた 最初の引き出しは、合わせて30万円。 気が付いたのは、月をまたいだ9月1日に自分の口座に入金をした際だった。 慌ててパソコンで入出金記録を確認。 すると、その5分ほどの間に… 被害者: 10万、9万、9万、2万という感じで引き落とし送金されていた。 計60万円ということです。 全額送金されてしまうんじゃないかと怖くなって… ドコモ口座からの送金は月30万円が上限となっており、月をまたいだ日に再度上限額いっぱいの不正な出金がなされたとみられる。 狙われた本人確認の「穴」 ドコモ口座を通じた被害の場合、標的となったのはドコモ口座と銀行口座を紐づける際の本人確認の仕組み。 ドコモ口座を通じて不正引き出しのあった11行はすべて、“なりすまし”を防ぐための「2段階認証」を実施していなかった。 「二段階認証」とは本人確認強化のための手続きで、利用者の携帯電話にパスワードが書かれたショートメールを送るなどの方法がとられる。 もし不正な“なりすまし”が行われても、口座を持つ本人に確認の連絡が行くため、防げる可能性が高い。 16日会見を行ったゆうちょ銀行は、一旦停止している多くの電子決済サービスとの間で、17日から「二段階認証」を導入する予定であることを発表した。 https://news.yahoo.co.jp/articles/0d7cf368af1aa75183247a30078044dc6b576f07