「イオン銀行やゆうちょ銀行のほか、～～京都銀行や但馬銀行のものも確認されている」、「セキュリティーが強化されている大手を避けるため、中小の銀行を狙い、情報を入手した可能性がある」とのことですが、メガバンク並みの１３８兆円の貯金を預かるゆうちょ銀行が、預金量７兆円の京都銀行や１兆円の但馬銀行と同じ「中小銀行」並みに扱われるとはね・・・　（・・；
民営化されたとはいえ未だに国の信用がバックのゆうちょ銀行。国の機関はデジタル時代に乗り遅れていると見られているのかな　(^^;

リバースブルートフォースの可能性が指摘されてましたが、フィッシングサイトも大量に見つかっていたとのこと。
何回もコメントしてることですが、、フィッシングサイトでは二要素認証も突破されてしまうんです。地銀(CNS)側のセキュリティ強化だけでは完全に被害はなくせないことは決済サービス事業者もユーザーも認識し対策しなければいけないと思います。

参考:
https://www.google.com/amp/s/internet.watch.impress.co.jp/docs/column/security_basic/1240/360/amp.index.html

そもそも、事業者に対して使っていた引き落としの設定である振替サービスを、個人に開放して、これをKYCとして認めた金融庁にも判断の甘さはあると思います。

海外でも、プリペイドカードへ銀行口座からチャージは出来ますが、それは、プリペイドカードを発行する時にKYCをしてからです。
国の施策としてキャッシュレス決済を広める為、ここは甘かったと思います。

また、ドコモ口座自体が、広範な使い方をされています。携帯代と合わせてお纏め払いは、私は使いたいと言った記憶がないのに付いています。

かなり分かりにくいのはドコモです。

この事件、どんどん伏線が出てきますが、時間が経つにつれ、セキュリティの甘さが強く露呈している気がします。また、今回関係ない人も、少しずつ危険を感じることが増えるのではないでしょうか。

フィッシングサイトに誘導するためのメールも、どんどん見分けのつかないものになっているので、リテラシーの無い人に見分けろと言っても難しくなっています。誰もがメールソースを解析できるわけではないので、宛名が信用できるようなところで、メールの形式も内容もそれっぽいと宛名を信用してクリックしてしまいそうです。

フィッシングサイトで情報を集めてドコモ口座を開設し、今回の手口を使うといとも簡単にドコモ口座にチャージができてしまいます。技術で完全に防ぐのは難しいので、一人ひとりが情報リテラシーを持たなければならない時代になっているのだと思います。

例えば政治家の方なんかだと今の段階で被害者を責めるようなことは言いにくいでしょう。ただ技術寄りな専門家は言うべきことは言うべきですね。当初、最悪のケースを見越していたようにほぼ公開情報（一覧が転がっているわけではないが、振り込み画面などから相手先の口座番号と名義人のカタカナ名を知れる）だけからのリバートブルートフォースではなくフィッシュによって磨かれたリストでやられたかもということですね。仮に先日の会見でこの事実を既に掴んでいたとしても、itリテラシーの低いマスコミに対して我々は悪くないがフィッシングに引っかかった人がいた。それは我々としては本人との分別は不可能である！なんて言ったら死ぬまで燃やされたでしょう。私個人としては国民のitリテラシーの低さからドコモさんが過剰に燃やされているように見えます。全面的に悪くないとは言えないまでも、さすがに無理筋では？というところまで抱き抱えで罪を負わされつつあるという意味で。

これは長期的な組織の手口ですね。利用者もリテラシーを高めて安易に個人情報を入れないなどは徹底していかないといけません。。そもそも二段階認証等が備わっていないことも問題ですが。。

また2要素認証が流行り言葉となるか
セブンの再来