ドコモ不正引き出し 昨年末に銀行偽サイト大量発見 個人情報入手に悪用か
コメント
注目のコメント
「ドコモ口座は開設にあたってメールで本人確認をするだけで、「2段階認証」などを行っておらず」
記事中のこの表現は適切ではないと思います。
捨てメールアドレスでも口座開設出来た以上、正しい表現は「本人確認を行っておらず」であり、確認されていない本人を二段階認証したところで無意味です。
二段階認証という言葉がバズワード化していますが、認証は何所まで行っても認証であり、認証された本人の確認・身元の確認とは異なります。
この記事の情報が正しいとすれば仮にドコモ口座が二段階認証を行っていても無意味です。携帯番号は捨てメールアドレスよりも調達が困難ですのでSMSを用いて二段階認証をする事で確かに多数のアカウントを作成して何度も口座接続を試行することは一定程度防げます。しかし攻撃者が予め精度の高い情報を持っている場合は飛ばし携帯を使うだけで事足ります。
今回の問題は銀行口座接続時の認証が本人確認に使える強度ではなかったこと、にもかかわらずドコモ口座は本人確認を銀行側に丸投げしたことです。なーるほど、どうやって口座番号や生年月日を入手していたのか不思議だったのですが、「フィッシングサイト」を利用して事前にデータを集めてたんですね!
「フィッシング詐欺」とは、簡単に行ってしまえば、本物そっくりなニセモノサイトを作って、そのサイトを本物と勘違いした利用者がデータなどを入力してしまい、個人情報をいただいちゃうという、ITリテラシーのない人狙った卑劣な詐欺です。
最近だと、「半沢直樹」で吉沢亮さんが演じた、スパイラルの天才技術者が過去に手伝ってしまった犯罪、というのが、このフィッシングサイトづくりでした。
銀行なんて、日本最高のセキュリティーのはずだからハッカーは入れないと思ってたんですが、こういうことだったんですね。
もう、テレビCMでしょっちゅう「二段階認証」のやり方を報じ続けて、日本のITリテラシーを上げて続けるしか無いのかもしれませんね。
