有料コンテンツの購読
現在、Web上での有料コンテンツ購読機能は準備中です。
ご不便をおかけしますが、有料コンテンツを購読希望の方は
モバイルアプリ上で購読の手続きを行ってください
認証方法を選んでください
ご協力いただきありがとうございます。
いただいた情報は実名認証のみに使用いたします。
利用可能になる機能
コメントの公開範囲が
すべてのユーザーまで開放されます
フォロー中トピックスの投稿にコメント・返信ができるようになります
Facebookで認証を行う
LinkedInで認証を行う
名刺・学生証で認証を行う
お名前の変更には
再度実名認証が必要です
Facebookで認証を行う
LinkedInで認証を行う
名刺・学生証で認証を行う
名刺または学生証を利用して
実名認証を行いましょう
名刺または学生証をアップロード
※ 名刺等の情報は照合にのみ利用します
※ アップロードされた資料は公開されません
入力された情報に虚偽があった場合、認証が取り消されることがあります。
これに同意の上、下記のチェックボックスにチェックして登録を完了してください。
実名認証を行う
を利用して
実名認証を行いましょう
入力された情報に虚偽があった場合、認証が取り消されることがあります。
これに同意の上、下記のチェックボックスにチェックして登録を完了してください。
実名認証を行う
実名認証が完了しました
ご協力いただきありがとうございました。
一層のコミュニティ活性化に取り組んで参ります。引き続きNewsPicksをご活用ください。
利用をつづける
実名認証をして
コメントを発信しよう
現在あなたのコメント公開範囲は
フォロワーのみに限定されています
信頼性の高いコメントコミュニティをつくっていくために、実名認証にご協力をお願いします。設定を行うことでコメントの公開範囲が「すべての利用ユーザー」に開放されます。
実名認証を行う
あとで
学割プラン継続確認
学割プランは毎年月に更新の確認を行っております。
月以降も学割プランを継続されたい方は、
学生情報を更新してください。
学生情報を更新されない場合、
次回更新時に自動解約となります。
卒業される方等、プレミアムプランに移行される方には
1ヶ月無料期間をサービスいたします。
学割プランを更新されない場合
学生の場合
学生の間であれば、またいつでも学割プランにお申込み頂けます。
社会人になる場合
いま、アンケートに答えてプレミアムプランに移行すると1ヶ月無料の特典が受けられます。
ここで「更新しない」を選択すると、後からは1ヶ月無料の特典は受けられなくなりますのでご注意ください。
メール認証をしてください
ご登録いただいたメールアドレス宛に届くメールから
URLをクリックし本人確認をお願い致します。
届いてない場合、見つからない場合は下記から再送と認証をお願い致します。
再送設定する
閉じる
新しいトップページへの
フィードバックのお願い フィードバックを受けて改善いたしますので、ご意見・ご要望をいただけませんか?
ドコモ側の本人確認が「甘かった」ことはわかりましたが、銀行側の情報管理に問題がなかったか早急に検証が必要です。今回の問題が発覚し、通帳の中身を確認して初めて被害に気付く方は、まだいるかもしれません。
4年前にコンビニATMから不正に現金が引き出された事件。被害額は18億円以上にのぼり、日本から北朝鮮に入国した男が主導したと言われています。
今回と関連があるか分かりませんが、アメリカは最近、北朝鮮によるサイバー攻撃「ファスト・キャッシュ」戦略が活発化していることを警戒しているようです。
警察当局はドコモや銀行から話を聞くなど、情報収集中です。
・ドコモ口座というキャッシュレスサービスがある。
・ドコモ口座は、メールアドレスさえあればドコモユーザーじゃなくても使えるサービス。
・誰かの銀行口座名義、銀行口座番号、暗証番号がわかれば、ドコモ口座に紐付けができる。
・ドコモ口座に紐付けできれば、銀行口座からお金を引き出せる。
・銀行口座からドコモ口座に引き出せれば、セブン銀行ATMなどで出金できる。
・銀行口座番号と暗証番号の特定にはリバースブルートフォースアタックが使われた可能性がある。
・リバースブルートフォースとは例えばよく使われそうな「1234」とか「1357」とか、そういう暗証番号に対して口座番号「1111111」「1111112」「111113」みたいに総当りで試していく方法。だから犯人が試してみたい暗証番号に運悪くロックオンされると、危険。(ブルートフォースがIDに対して暗証番号やパスワードを総当たりで試す攻撃。これはアカウントロックで対応されるが、リバースブルートフォースはいちアカウントに対しての攻撃は一回なので、保護は難しい)
・口座番号がわかれば、振り込みを試してみたりすれば口座名義名も分かる。
犯人が手口としてドコモ口座を使っているのであって、ドコモ口座を使っている人が被害に遭うわけではない。
結局は銀行側の本人確認方法次第なので、自らの防衛は難しいです。これまでの手口だと、被害にあった人は口座から「ドコモコウザ」で引き出しされるようなので、自らの口座を確認しましょう。(今後、別の手口で引き出される可能性もあります)
※追記
上田さんが「webにしても本人確認をちゃんとすればある程度は防げるはずなのに、簡単な登録でセキュリティホールを開けたのはドコモで、だから責められるべきはドコモです」と書かれていますが、僕は50:50かそれ以上に地銀の認証の甘さが問題だと思っています。
現在、dアカウントは、ドコモ携帯を持っていなくても作れます。dアカウントがあれば、ドコモ口座は作れて、ドコモ口座の本人確認手続きは、銀行口座との紐付け手続きを指すのであり、この本人確認手続きをしたら、ドコモ口座から第三者のドコモ口座に送金が出来るからです。
このプロセスの中で、他にはメールアドレスによる認証だけしか認証手続きがないのです。
→私はドコモ携帯を持っているので、dアカウントを2段階認証にしています。
ですから、今回の被害者には、ドコモサービスを使っていないけれども被害が発生している地銀に口座を持つ人がいます。
不安な人は、通帳記帳をする、銀行口座の残高が動けばメール通知が来る設定が出来るならば設定をするなどの対策をすると良いと思います。
被害に遭った人達はその間、結構不安な思いをされたかも (・_・;
端末認証(初回や端末変わったら2段階認証)だけでもやってればよかったものを。
ドコモ口座は使ってませんが、今のところ被害は無いようで安心しました。
今すぐサービスそのものを止めるべきでしょうけどね。
当方オンラインバンキングはキチンと対策してる銀行以外開設してませんが、開設してないのにこんなカタチで抜かれたら怒り心頭です。
再発防止策、とりわけ電子本人確認(EKYC)
の整備対応を早急に行う事が何より大切。
今月末と言わず、可及的速やかに行うべき。
キャッシュレス推進の流れを妨げることの
無いようしっかりした対応を望みたい。
送金元と先の各々でセキュリティ対策が必要で、どっちかというと送金元である地銀のセキュリティが甘すぎるのでは?と思ってしまう。
ちなみに大手バンクは送金時にトークン要求されたりと二段階認証されていますね。
正味の被害総額がどこまで拡大していくのか全く想像つかないですね。
ドコモ以外にも、肝を冷やしながら騒ぎになる前にそっと対策を進めているサービス事業者がいるかもしれない。
とにかく被害者にはほとんど落ち度はない。ドコモと一切関わりがなくても被害者になり得るのは既報の通り。また、各銀行のオンラインサービスのセキュリティ仕様まで確認しないと怖くて口座を持てないとかいわれたら、一般人には無理ゲーだ。あるいは仕様変更の内容次第で取引銀行を変えろとか。
規模が小さく自力でのオンラインサービス提供にも限界がある地銀は、こうしてますます追い込まれていくのだろう。