-
(略)
そして先ほどのゆうちょ銀行のお知らせにあった「2要素認証」だ。サービス事業者のアカウントと銀行口座の接続において、相互で本人認証が行われることはセキュリティ上重要だ。2要素認証とは、2つの異なる要素(例えば「ID+パスワード」と「トークン(ワンタイムパスワード)」や「生体認証」)を組み合わせる仕組みのことだ。
ゆうちょ銀行はWebを使った即時振替の認証において、以前までは口座番号と暗証番号の組み合わせなど、比較的突破が容易な手段しか提供していなかった。その後、2019年1月、2020年5月と段階的にセキュリティレベルを向上させ、現在では4項目+2要素での認証を行っている。ただし、同行によれば「2段階認証を実際に導入するかはサービス事業者との了解によるもので、先方に導入してもらえるようお願いしてきた」(ゆうちょ銀行取締役兼代表執行役副社長の田中進氏)とのことで、了解が得られなかったので2要素認証でセキュリティを強化できなかったというスタンスを貫いている。
一方で、複数のサービス事業者らが事業者名と名前の両方を伏せたうえで「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」「そもそも2要素認証について相談されておらず、今回の措置について聞いたのも直前の出来事」と、寝耳に水の反応を見せている。
実際、ゆうちょ銀行が即時振替と呼ぶ「Web口座振替」では、口座登録時にサービス事業者のアプリ(またはサイト)からいったんゆうちょ銀行のページへと飛び、認証が完了した段階でその結果をサービス事業者側に通知する仕組みになっており、サービス事業者側が関知できるものではない。ゆえに、サービス事業者側としてもゆうちょ銀行が2要素認証を導入したからといってシステム的に対応することはなく、せいぜい登録方法について説明や誘導を促す程度しかない。
つまり、ゆうちょ銀行が「サービス事業者の了解が得られないのでセキュリティ強化が進まなかった」と述べているが、サービス事業者側では「セキュリティ強化の裁量はゆうちょ銀行にあるのに、なぜわれわれの了解が必要でそれが原因と責任転嫁をするのか」と嘆いている構図だ。
ドコモ内部の不可思議な動き
今回の件では、前述のゆうちょ銀行の説明をはじめ、いろいろ不可思議な点が多い。例えば「なぜ被害が報告され始めた時点でドコモ口座を停止できなかったのか」「被害の直接の原因をドコモの本人確認不足によるものとして収束させようとしている」といった具合に、主にドコモにおいてドコモ口座まわりの対応の遅さと、案件をすべて1社で抱え込もうという動きが目立っていた。
後者について、実際には他のサービス事業者でも問題は発生していたわけで、サービス事業者側での本人確認の問題はもちろんのこと、Web口座振替における銀行側のセキュリティの弱さを突かれた側面が大きい。ゆうちょ銀行の会見がなければ、このままドコモの問題として取り扱われて話題がフェードアウトしていた可能性もあり、その点で銀行が潜在的に抱える問題にまで踏み込めた点で一連の会見の功績は大きい。
今回、匿名の情報源によれば、ドコモ口座に紐付く一連の攻撃において、Web口座振替で「2要素認証(IVRや通帳に記入した最終残高など)」を導入するなど比較的セキュリティレベルの高い銀行での被害は1件もなく、被害はすべて「口座番号」「暗証番号」「生年月日」「電話番号の下4桁」など比較的入手が容易な情報を組み合わせて本人認証を行っていた金融機関に集中しているという。ゆうちょ銀行をはじめ、地銀で被害報告が多かったのも、後者の認証を行っていたためだ。
また、みずほ銀行がドコモ口座を含む預金の不正引き出しが過去に行われていたという一部報道があったが、同行によれば以前までに提供していた通帳に未記帳の取引を参照できるサービスを通じて通帳の最終記帳残高を類推する手法を用いられたもので、被害と対策を含め1年以上前に解決済みだという。ドコモ口座での一連の被害は2019年10月以降に発生しているため、2要素認証が導入されているみずほ銀行は今回の件に関係ない。筆者の意見では、すでに今回の問題は「銀行のセキュリティ対策の甘さ」を問う段階にきており、バトンは渡されている状態だと考える。
- そりゃそうだわ
- お互いに責任のなすりつけw
- >>3
なすりつけにすらなってない
ゆうちょ側のセキュリティの問題なんだから - >>5
ドコモの無限アカウント増殖問題は? - あたりまえだな
ゆうちょは非を認めろ - おいちょかぶ
- 強く依頼してきたってゆうちょの口座振替システムに二要素認証入れるってことだったの?
それゆうちょが決めることじゃん - ( ゚∀゚)
( ∩ミ ほれ、本人確認してくれ
| ω |
し ⌒J - 正論やで
- もう全部下ろすわ
だめだここ - そりゃ事業者側に二要素認証入れてもあまり効果ないのになんでと思ってたが
ゆうちょ側の話かよお願いってなんだよ自社のセキュリティ強度の話じゃん
- ドコモが「一斉に」空き巣を陽動しておいて
施錠の甘い家のせいにしている構図 - >>13
上手いwww - >>15
誘導を陽動と間違ったのが悔しい - >>13
いい例えだ - >>13
ゆうちょが「俺の家の鍵を強くしていいか?」って聞いて
事業者が「は?それは自分で判断しろよ」と言ってる状態 - >>21
これな - >>21
こっちが正しい - >>21
その通り - >>13
これ - 前からペイペイやヤフーウォレットで被害出てたのに対策してこなかったんだろ
- ゆうちょーなことで
- なんかこれ銀行と決済業者の間に溝があるっていうかもう一層あるんじゃないのかな
- >>サービス事業者のアカウントと銀行口座の接続において、相互で本人認証が行われることはセキュリティ上重要だ。
なんかいきなりドコモに流れ弾当たってんな
- ダンダンと正確な理解が広まってきたな
銀行の問題と理解出来ずにドコモを叩いてた馬鹿共が大勢居たからな - そらそーだ、サービス提供者以外がアカウントパスワードのリストを持つなんて聞いたこともない
- 銀行がSMS認証で二段階認証すればいいのに事業者で二段階認証すれば防げるという不思議な対策
SMSのワンタイムパスワードはどこに届くのかと - これについてはどっちもどっちだよ
ゆうちょはセキュリティが低い
〇〇ペイはそれを知っていて利用 - 記帳マン
- ゆうちょのトークン持ってるけど
紐付けにはトークン要らないのか? - 本人じゃない者に申請させる事業者が悪いのでは?
事業者が本人確認しなくていいと思ってる事がおかしい - ゆうちょ「セキュリティは外部に丸投げなので良くわかりません」て、とこだろ
- 暗証番号固定で口座番号総当りが出来る事がそもそもの問題点じゃね?
そっちでも数回ミスったらロック掛かるようにしろよ - >>40
総当りする為に反社Aが1万人の被害者名義でアカウント取得してもドコモは本人確認してないので反社Aを把握できない
反社Aが9999回暗証番号をミスしてもドコモには9999人が1回ずつミスしてるように処理される - ドコモロの怖さ
俺だけじゃないよ!
ていうかゆうちょや銀行が悪いんじゃね?
ていうかお前が悪いんじゃね? - ドコモもゴミやがゆうちょもゴミやろ
かんぽの勧誘詐欺みてもわかるやん - ヂギタル庁www
みんなトウシロ
- 海外送金の話ニュースでやってる?
- >>46
海外送金できる事業者なんてあった?
ドコモ口座の海外送金はドコモ回線とマイナンバー必要だから不可能だぞ - 銀行も決済業者も多すぎてろくな資金もなくセキュリティもできないんだろ
もう少し規制して体力ないところは参入させないほうがいいんじゃないか - それよりも、誰かが勝手に口座振替契約結んで、ある日突然金が振り替えられるかもわからんから
振り替えられる前に、そういう不審な契約がないか確認したいんだが
ゆうちょは、ペイ系の即時振り替えの分しか
教えてくれんな - 銀行側は2段階認証や電子マネー紐付け時の本人確認書類を求める必要あるし、
電子マネー側も本人確認書類をちゃんと提出させる必要がある。
要するに、何処もが悪い。 - プロの巣窟、トントン入ってますか?シーン
- そっちのほうが大きな問題だと思うんだが
- どう見ても共犯
で問題が出たから仲間割れして罪のなすり合いしてるだけ - ゆうちょダイレクトの方はあんなにログインめんどくさくしてるのにね
正面玄関の鍵はしっかりしてても裏口がかんぬきだけなら意味ないんだわ - そもそも本人確認っても
犯罪者に本人確認してどうする銀行の利用者本人であることを確認しないと意味がない
それが出来るのは銀行だけだろ - >>55
ドコモが泥棒に裏口を案内してんじゃん - >>55
ゆうちょ銀行側で二要素認証で本人確認したいということをゆうちょ銀行が事業者にお願いしてたのよ - >>61
ゆうちょ銀行のサイトでやる認証なんで
ゆうちょ銀行が勝手にやればいいだけだろ!URLが別だとしても「聞いてねーよ」って決済業者がぶーぶー言ってるが
- >>64
LINE Payはゆうちょに導入したいと言われて「導入してくれ」と返答してる
それからゆうちょの返答がなかったらしいが - ゆうちょ銀が嘘をついているということだな
- どっちもどっち
事業者が2要素認証入れてれば匿名での出金も抑えられただろうし、
ゆうちょもセキュリティ対策してればここまで酷くはならなかった - ゆうちょダイレクトは2段階認証やってるのにな
- ていうかなんであの糞なゆうちょダイレクト使わなかったんやろ
あれ使ってたら被害なかったよな
利用者もいなくなるけど - 責任の押し付け合い
- ドコモ口座はフリーメールの偽名でも作り放題だったのか?
- 誤請求だからゆうちょ関係ない
- >>1
どっちもどっち。目くそ鼻くそレベル - 事業者は銀行のせいにしてるけど、マニュアルをつくるのは事業者だから勝手に2段階認証できるわけないじゃん。
勝手に2段階認証にしたらマニュアル通りやってたらログインまでたどり着かないだろ。 - 日本でキャッシュレスは無理
- だからと言って本人確認を厳格にしない理由は無い
- 両方悪い
- ドコモが悪い
【不正】事業者がゆうちょに反論「2要素認証を行うのはゆうちょ銀行側であり、こちら側の了解を得て判断するものではない」
ニュー速+
コメント一覧