ゆうちょ銀行口座から「PayPay」通じて不正な引き出し
コメント
選択しているユーザー
ATMでの現金引き出しや振替は、銀行カード(物理カード)+暗証番号のセットだったからこそ『4桁の数字』というセキュリティー激甘なものでもよかったというだけなので、ネット取引時に『口座番号』+『4桁の暗証番号』だけでOKとしてしまっていたのがそもそも大間違いで、そんなセキュリティー意識の金融機関はインターネットバンキングをやってはいけないと思います。
かつて銀行が『4桁の数字』という簡単なパスワード仕様にしたのはおそらく『どんな人でも覚えられるように』という配慮だとは思いますが、インターネット上では『1/10000』はかなりの高確率ですからね。。
そもそも『パスワード』というもの自体が、どんなに複雑で長い文字列でも流出したら意味がないというシロモノなので、生体認証に切り替えていくべきなのだと思います。
将来的には二重生体認証がスタンダードになりそうな気がします。顔認証or光彩認証と指紋認証or声紋認証の組み合わせのような。
注目のコメント
何度も申し上げてますが、この手口はドコモ口座固有の話ではありません。
銀行側のオンライン口座振替のプロセスをメガ各行のように多要素認証を導入するなどの強化をしないと、資金移動事業者側が暫定的な対応をしても抜本的な対策にはなりません。「ドコモだけでなくPayPayもか」といったコメントが散見されますが、認証方法が同一ならサードパーティーが何であれ不正出金可能です。ドコモやPayPayはとばっちりもいいところで、問題にすべきは不正出金された先の銀行のセキュリティですからね。批判するなら「ゆうちょはアカン」が正解です。
ゆうちょに関してはゆうちょダイレクトで「キャリアメールアドレスのみしか登録できない」というセキュリティ的には何ら意味がなく、ただただ利便性が低いだけのサービスを提供しているのでお察しですが、不正出金対策ついでにキャリアメールアドレス以外も登録できるように改善していただきたい。【なんでも二要素認証の登録をしましょう!】
「簡単に利用できる」ものは
「簡単に侵入できる」ものであるということ。
自己防衛はしっかりしておきたいものですね。
まずは二要素認証かな。