今日のオリジナル番組


詳細を確認
どこでも栽培可能!?「農業イノベーション」
本日配信
368Picks
Pick に失敗しました

人気 Picker
ドコモの会見だからといって誤解してはいけないのが、今回の不正被害はドコモ利用者に限らないということ。「ドコモ口座」という単語だけが独り歩きしていて誤解している方が多そうです。該当の銀行口座を持っている方は被害に遭う可能性があります。66件、1800万円というのは、あくまでも現時点でドコモが把握している内容ということでしょう。
一転、謝罪・全額補償の方針が示されましたが、会見でドコモ副社長が「当初は銀行口座とドコモ口座の名義が一致しなくてもいいという緩いかたちで運用を始めた」と発言したことには驚きました。

ドコモ側の本人確認が「甘かった」ことはわかりましたが、銀行側の情報管理に問題がなかったか早急に検証が必要です。今回の問題が発覚し、通帳の中身を確認して初めて被害に気付く方は、まだいるかもしれません。

4年前にコンビニATMから不正に現金が引き出された事件。被害額は18億円以上にのぼり、日本から北朝鮮に入国した男が主導したと言われています。

今回と関連があるか分かりませんが、アメリカは最近、北朝鮮によるサイバー攻撃「ファスト・キャッシュ」戦略が活発化していることを警戒しているようです。 

警察当局はドコモや銀行から話を聞くなど、情報収集中です。
簡単にいうと
・ドコモ口座というキャッシュレスサービスがある。
・ドコモ口座は、メールアドレスさえあればドコモユーザーじゃなくても使えるサービス。
・誰かの銀行口座名義、銀行口座番号、暗証番号がわかれば、ドコモ口座に紐付けができる。
・ドコモ口座に紐付けできれば、銀行口座からお金を引き出せる。
・銀行口座からドコモ口座に引き出せれば、セブン銀行ATMなどで出金できる。
・銀行口座番号と暗証番号の特定にはリバースブルートフォースアタックが使われた可能性がある。
・リバースブルートフォースとは例えばよく使われそうな「1234」とか「1357」とか、そういう暗証番号に対して口座番号「1111111」「1111112」「111113」みたいに総当りで試していく方法。だから犯人が試してみたい暗証番号に運悪くロックオンされると、危険。(ブルートフォースがIDに対して暗証番号やパスワードを総当たりで試す攻撃。これはアカウントロックで対応されるが、リバースブルートフォースはいちアカウントに対しての攻撃は一回なので、保護は難しい)
・口座番号がわかれば、振り込みを試してみたりすれば口座名義名も分かる。

犯人が手口としてドコモ口座を使っているのであって、ドコモ口座を使っている人が被害に遭うわけではない。

結局は銀行側の本人確認方法次第なので、自らの防衛は難しいです。これまでの手口だと、被害にあった人は口座から「ドコモコウザ」で引き出しされるようなので、自らの口座を確認しましょう。(今後、別の手口で引き出される可能性もあります)

※追記
上田さんが「webにしても本人確認をちゃんとすればある程度は防げるはずなのに、簡単な登録でセキュリティホールを開けたのはドコモで、だから責められるべきはドコモです」と書かれていますが、僕は50:50かそれ以上に地銀の認証の甘さが問題だと思っています。
今回の事故が厄介なのは、ドコモのサービスを一切使っていない人でも、該当する地銀に口座がある場合には被害者になり得ることです。

現在、dアカウントは、ドコモ携帯を持っていなくても作れます。dアカウントがあれば、ドコモ口座は作れて、ドコモ口座の本人確認手続きは、銀行口座との紐付け手続きを指すのであり、この本人確認手続きをしたら、ドコモ口座から第三者のドコモ口座に送金が出来るからです。

このプロセスの中で、他にはメールアドレスによる認証だけしか認証手続きがないのです。
→私はドコモ携帯を持っているので、dアカウントを2段階認証にしています。

ですから、今回の被害者には、ドコモサービスを使っていないけれども被害が発生している地銀に口座を持つ人がいます。

不安な人は、通帳記帳をする、銀行口座の残高が動けばメール通知が来る設定が出来るならば設定をするなどの対策をすると良いと思います。
大量に飛び交うフィッシングメールに引っ掛かる手抜かりはあったにしても、直接関係しないdocomo口座の利用客が防げる事案では無さそうなので、当然の対応であるように感じるけれど… 即座に補償する旨発表しなかったのは、銀行との綱引きに備えてかなぁ(・・?
被害に遭った人達はその間、結構不安な思いをされたかも (・_・;
まぁ甘いですよね。
端末認証(初回や端末変わったら2段階認証)だけでもやってればよかったものを。

ドコモ口座は使ってませんが、今のところ被害は無いようで安心しました。

今すぐサービスそのものを止めるべきでしょうけどね。

当方オンラインバンキングはキチンと対策してる銀行以外開設してませんが、開設してないのにこんなカタチで抜かれたら怒り心頭です。
初動対応としては悪くないのではないか。
再発防止策、とりわけ電子本人確認(EKYC)
の整備対応を早急に行う事が何より大切。
今月末と言わず、可及的速やかに行うべき。
キャッシュレス推進の流れを妨げることの
無いようしっかりした対応を望みたい。
銀行口座を持っていれば誰でも狙われている状態でサービスを続けて来た結果です。ドコモと銀行との連携にも問題はありますが、ドコモ口座の本人確認システムが緩かったのが問題点として大きいのです。セキュリティに絶対というものはありませんが、ドコモ口座というサービスを行うにあたって何重ものチェックを怠ったように思います。社長が出てきて謝罪するべきところを副社長で済ませるのはしっかりと反省していないように思います。
個人的にはドコモはちょっと可哀想ですね。
送金元と先の各々でセキュリティ対策が必要で、どっちかというと送金元である地銀のセキュリティが甘すぎるのでは?と思ってしまう。
ちなみに大手バンクは送金時にトークン要求されたりと二段階認証されていますね。
正味の被害総額がどこまで拡大していくのか全く想像つかないですね。
口座番号と暗証番号だけで振り込みできてしまう地銀のオンラインサービスも問題だが、体力も技術もあるドコモが率先して対策すべき。
ドコモ以外にも、肝を冷やしながら騒ぎになる前にそっと対策を進めているサービス事業者がいるかもしれない。
とにかく被害者にはほとんど落ち度はない。ドコモと一切関わりがなくても被害者になり得るのは既報の通り。また、各銀行のオンラインサービスのセキュリティ仕様まで確認しないと怖くて口座を持てないとかいわれたら、一般人には無理ゲーだ。あるいは仕様変更の内容次第で取引銀行を変えろとか。
規模が小さく自力でのオンラインサービス提供にも限界がある地銀は、こうしてますます追い込まれていくのだろう。
契約数で国内トップの移動体通信事業者。携帯電話サービスを中心とした通信事業のほか、動画・音楽・電子書籍配信を行うdマーケットなどのスマートライフ事業、携帯補償サービスやシステム開発を行うその他事業を展開。中期的に5G通信を軸としたサービス展開拡大を目指す。

業績