ドコモ口座不正 流出情報、何度も悪用恐れ データ化、自己防衛が必要(1/2ページ) - 産経ニュース
https://www.sankei.com/affairs/news/200911/afr2009110039-n1.html
ドコモ口座不正 流出情報、何度も悪用恐れ データ化、自己防衛が必要(2/2ページ) - 産経ニュース
https://www.sankei.com/affairs/news/200911/afr2009110039-n2.html
2020.9.11 21:12社会事件・疑惑
NTTドコモの電子マネー決済サービス「ドコモ口座」を利用した不正な預金引き出しが相次いでいる問題では、口座番号や暗証番号などを入手した何者かが預金者になりすましてドコモ口座を設け、銀行口座から金を移していたとみられており、被害はさらに拡大する恐れがある。専門家は過去の口座などの流出情報が悪用されている可能性も指摘。暗証番号を定期的に変えるといった自己防衛手段を講じない限り「一度流出した情報は何度も悪用される傾向にある」と警鐘を鳴らしている。
■メールだけで本人確認
今回の事件では、本人確認の甘さが悪用されたとみられている。ドコモの口座を開設する際、メールで本人確認をするだけで、携帯番号に任意の認証コードを通知し、それを打ち込むなどの「2段階認証」は行っていなかった。
何者かが口座番号や4桁の暗証番号のほか、氏名と生年月日を入手。預金者になりすましてドコモ口座を開設し、被害者の銀行口座を勝手に連携させ、預金を不正に移していた。
情報セキュリティー会社「トレンドマイクロ」(東京)の岡本勝之セキュリティエバンジェリストは「ドコモ側からすると、口座番号などの銀行情報自体が本人確認の要所だったのかもしれない。だが、金銭に直結するアカウントで別の本人確認方法をとるべきだった」と話す。
(中略)
平成30年にはスマートフォン向け決済サービス「PayPay(ペイペイ)」で他人名義のクレジットカード情報を悪用する事件が相次いだ。昨年も第三者による不正利用被害で「7pay(セブンペイ)」が運用停止に追い込まれた。
■悪用され続ける恐れも
トレンドマイクロによると、不正に盗まれた個人情報をネットに大量に保存するサーバーの存在も確認さている。情報はデータベース化され、カード番号や有効期限、生年月日などに加え、販売済みかどうかの記録もあった。約2年前には1日2千件のペースで蓄積されていることも確認された。
今回もこうした情報が使われた上で、過去の事件同様にセキュリティーの脆弱(ぜいじゃく)性を突かれ、被害を拡大させた恐れがある。岡本氏は「一度流出した情報は何度も悪用される傾向にある。暗証番号を定期的に変えたり、セキュリティー強化のオプションサービスを利用したりすることをすすめている」と話している。 パスワードを定期的に変えるのは意味ないって論文あった
>>1
トレンドマイクロは相変わらず無能でワロタw あくまでも自己責任!補償なし!
という世論に持って行きたいんですよね、わかってます
実際、テレビと新聞が情報源の爺婆はインターネットバンキングしてる奴が自分で各種情報をお漏らしした事件だと思ってるしな
> 口座番号や暗証番号などを入手した何者
そもそもここから理解できないのだが、なんで知ってるんだ?
暗証番号の意味がないじゃん
自動化して手当たり次第にやってるんじゃないの?
毎日変えれば1回の被害だけで済むかもな。
数字だけの4桁暗証番号なんて変えても意味ねぇーだろ
リバースなんとかアタックには意味ないでしょ。暗証番号の神経衰弱してるわけでしょ。予防するとしたら暗証番号しやすい番号は避けるしかない。キーパットの縦一列とか横一列とか止める。
たった四桁だからね
英文字使えないしね
一万パターンなんて
簡単解除かもしれん
トレンドマイクロがよく言うよ
数年前、iPhoneでウイルスバスターでひどい目にあった
アップルストアーでダウンロードが一切禁止になったソフト
今も怖くて怖くて
いまだに、スーパーハカーさまがポチポチと推理ゲームやりながら解除してるとか思ってるなら平和だなぁと思う。
この時代、指紋認証でさえ
指紋の数値化データが盗まれたら
おそらく突破される
二段階認証してる銀行に乗り換えるだけ
暗証番号の定期的変更とかアホか
パスワードを変更しろとかつて証券口座持ちはうるさく言われてきた。
か、いつだったかパスワードを頻繁に変えても意味がない。またいままで
被害がなければむしろそのほうが強力といったニュースが流れ、それ以降
証券各社からのパス変えろコールがピタッと止んでいるよ。
これどういうこと!!。
>>8
変えても攻撃がヒットする確率は変わらないから 銀行側のドコモ口座との紐付けの確認が駄目なんじゃないの?
ことさらドコモを強調して、本質から目を逸らせたいバカが多すぎる。
暗証番号はあまり変えない方がいい
忘れてひたすら面倒な思いしかしない
NTTは、考え方がボス経営で顧客に催促するのが前提、癖に気づきもしてない。
故障した携帯についてもちゃんとした説明をはぶいてるのが、今じゃググってから
質問してるのでシステムをわかってないのが丸わかりw
NTTなんてMbpsとMBの説明すら出来ない始末w
暗証番号を変えるのは逆効果だって言ってる専門家もいた。
>不正に盗まれた個人情報をネットに大量に保存するサーバー
コンビニATMでの偽造カード不正利用事件でも、カード情報は南アの銀行へのハッキングから
だったしな。技術もつ国際的な犯罪組織とつながり。
オレは毎年替えてるけど記憶力悪いから2679ってのを次は6792、次は7926って替えてる
勝手に被害者でるもの作って防衛してくださいってふざけるな!
流出していない暗証番号を変えるのは意味なし
というより事実上4桁の暗証番号をネットから確認することが危険
だからずいぶん前にネットのアカウントははパスワードは8桁以上が推奨となった
俺からお前らに暗証番号の提案だ
自分の年齢例えば30才なら3030、47才なら4747
覚えやすい!毎年変更するんやで(´・ω・`)?
普通の銀行のシステムだと、リバースブルートフォース攻撃は通用しない
リバースブルートフォース攻撃で、4桁のパスワードを固定した上で口座番号を総当り
で変更して試そうとしたとして、その前の段階として、口座番号に対応するクレジット
カードのICチップとの認証が必要になるので、そこを破るのに時間的に大きなコストが
かかるから
オンラインバンキングで、4桁のパスワードだけでログインできるシステムは、自分は
知らない
リバースブルートフォース攻撃で4桁のパスワードが流出したのだとしたら、銀行の認証
処理に問題がある
もしくは、4桁のパスワードを確認せず、ドコモ口座と銀行口座を紐付けた可能性がある
悪人を捕まえる仕組みを口座開設時に組み込めないのかね
暗証番号を固定して、口座番号を変えて接続するなんて思いつきもしなかったよな。
パスワードを何度も間違えたらロックかかるけど、口座番号変える分にはロックかからないって
全てにおいて同じ暗証番号にしてるのはヤバイよね
しょうもないサービスの提供者に悪用されてアタックされる可能性あるんだし
ん?一度紐付けされちゃったらその後暗証番号変えてもダメじゃないか?
>>42
そういう攻撃は予め予想されていて、クレジットカードのICチップで対策が取られている >>44
紐付け解除に犯人しかわからないドコモ口座のアカウントとパスワード要求されるらしいから解約しか選択肢がない >>24 簡単だろ、ATMへゆけばいいだけさ
あとは画面が教えてくれる >>8
企業アカウントなど、長い間情報を吸うようなタイプの場合は有効な可能性があるが、
金の場合は一瞬で抜かれるのでほぼ意味がない
あまり頻繁に変えすぎると本人が暗証番号を把握できなくなり、紙などに書いてしまってかえって危険 どんどん便利どころか不便になっていってる。
もう現金の方が早くないか?
自動精算機導入すればいいやん
>>26
ゆうちょなら窓口に行って聴くしか方法はない
DOCOMO、IDユーザーなら紐付けしてみたら分かるんじゃね。 まあでもカードも通帳も手元にあって
盗まれるってなぁ
終わってるだろ
>>55
変える意味がないからこんな馬鹿の言うことは無視しとけ 総当たり突破もさることながら何度間違えてもロックがかからないシステムはさすがに古すぎる
>>53
ここまで落ちたトレンドマイクロがまだ存在してる社会も、終わってる >>1
とりあえず犯人はみんながつかいそうな暗証番号から
あたっていくだろうから、それを避けた暗証番号を
選ぶべきで、そもそも4桁だから選択肢が少ない。
頻繁に変更してたらこちらから犯人が好む暗証番号に
よせていくことになってしまう。 やっぱ、顔認証だよ。
届けてある顔と今日の顔を照合したとき不一致ならアウト。
道路の側溝で変死体発見。
持っていたキャッシュカードから被害者の顔を照合したところ
被害者が判明。事件性が疑われ捜査本部が設置された。
〜にも役立つ!!
刺し身で食中毒出した店は営業停止で天ぷらも出せなくなるのだから
ドコモ全てを営業停止は無理でも、半年くらいあらゆる銀行取引全面禁止でいいだろ
毎月の支払いは現金書留で
定期的に変更させると一部の情弱が単純なパスワードを使いだすので逆にセキュリティーが甘くなるんだよな
>>51
今回の不正引き出しが、リバースブルートフォース攻撃で4桁のパスワードが流出した
のかが怪しいし、そもそも、流出した4桁のパスワードが使われたのかどうかも怪しい
ということ
ドコモ側や銀行側が何も発表しないから、利用者側の対策としては定期的な口座の確認
以外は今の所無い クレカも4桁暗証番号だけど…
クレカは連絡すれば不正利用があったと云う方向で調査してくれる
電子マネーや銀行は連絡してもお前詐欺師だろ?と疑って取り合ってもらえない
この差はデカイ
>>65
利用者ができるのはドコモ口座の紐付け確認と
ドコモ口座をつかわないので紐付けするなって申請だろ >>67
ドコモ口座の紐付けを拒否する仕組みを、銀行側が用意したの?
そういう報道をまだ見ていないけど >>1
トレンドマイクロはアホなのか?
ウイルスバスターの売り上げにも影響するレベルの失言だぞ パスワードはメモ帳などに控えておきゃいいんだよ。
おれも覚えきれないためすべてメモ帳に保存してある。
問題はその保存方法。まともに書き留めるバカはいないと
思うが、暗号化ソフトを使って保存するといい。
しかも、前段階では自分しか分からない暗号化をしさらに
それを暗号化ソフトを使って暗号にするという具合に2重の
暗号化を計ると安心だ。今現在およそ50アイテムの
パスワードはすべてこれで実施してある。いまのところ被害には
あっていないが仮に一部が破られたとしてもすぐには総なめで
被害に合わないような工夫も必要だ。
もちろん、自分流暗号化をするには一定のテクニックは必要。
これをPCなり外部のクラウドに保存して置けばよいだろう。
>>68
紐付けできるなら離すことも持ちろんできるわ
APIだしてるんだから >>8
定期変更しても突破確率は同じ
変える番号をいちいち強度の高い別のもので重複しないパスを毎回覚える手間から安易なパスにしてしまう例が増える
強度が維持できてもヒューリスティックが発生する可能性が高い(無意識のパターン化)
結果的実務的にパスの定期変更はパスの強度が落ちやすい上に覚えきれずに忘れやすい
手続き、見かけ上のパスの強度が高いかどうかと実務上強度が維持できるかどうかは話が違うということ 銀行側のシステムで、今この口座に紐付けられてるサービス一覧が見れるような何かが必要
最悪ATMで確認でもいいし、オンライン確認でもいいから
これじゃ暗証番号変えようが客側から知るすべがないのはおかしい
>>75
ネット口座ならAPIの紐付けは確認できると思う しかし凄いな。何の身に覚えが無い人の貯金がバンバン引き出されてるなんて前代未聞の大事件がニュース番組でも既にスルー。大丈夫か?この国
暗証番号、一切流出していないのならリスクは同じだよ
ドコモ口座に移動しましたよって来るのかねぇ?
もし何もないのなら、分かってないのがゴロゴロあるのでは?
>>78
解ってる人にはとてつもなくヤバいとわかるが、解ってない人には全く理解できてない
中高年のデジタルディバイドがヤバすぎる >>78
うちの母も知らんかったレベル
新聞取ってないから情報にうとい
ワイドショーは今こそ騒げよ
【エセ法治国家】 日本が成長できずに、衰退している最大の原因がパチンコ
パチンコにより日本のGDP成長率は毎年0.5%〜1.0%押し下げられている
パチンコ禁止前の韓国で向こうの新聞に掲載された、当時の韓国の規模でもマイナス0.3%〜0.5%という韓国シンクタンクの分析結果から推定(数兆円規模の現金支給による経済効果、その逆を考えるとほぼ同じような結果になる)
パチンコは非常に強い中毒性を有するように作られていて、それがゆえに多数のパチンコ中毒者を生み出し、その家族含めて人生を破滅させる
ゲームセンターが行うとすぐに取り締まられる三店方式
一方パチンコについては見逃す
法治国家として許されざるケース、その最悪なものがパチンコへの目こぼしだろう
また、金とマスコミ問題が存在している
パチンコシンジケートに買収されている
人権よりもパチンコなのが日本のエセ左翼、普段は人権重視と唱えながら実のところパチンコ重視というトンデモ
政治家がやっているのは愛国ではなくて愛パチンコ
警察はパチンコ警備員
>>80
ネットで口座つかってないなら
通帳を記帳しないと気づかない 4桁プラス指紋にするだけでかなり強度があがると思うんだけど
なかなか普及しないね
今回の被害者は4桁の暗証番号が漏れたのかね?
どうもその辺の報道がイマイチなので真偽は定かではないわな。
ドコモの仕様がイマイチ不明なんだが、使っている人、送金するのに
暗証番号が必要なのか教えてたもれ。普通送金する時は暗証番号は
使わないわなー。この番号を使うのはATMの前ぐらいじゃないの?。
もし口座番号と暗証番号で送金出来るならむしろ銀行側にも問題大ありだな。
要するにATMと同じことがネットで出来るということを意味するよな。
コワイ,コワイ、ドコモ口座みたいなやつが将来出てきても無視だー。
もはや暗証番号を4桁の数字では時代にそぐわない、漢字かな交じりの
暗証文字とでもいうかこちらの導入を検討してくれーい。
秘密の質問と答えのバージョン編だ。
>>1
この程度の認識って事はウイルスバスター使っても役に立ちそうにないな >>85
この紐付けに生体認証関係ないと思うが
キャッシュカード通さないもの >>86
暗証番号は「漏れてない」
決め打ちした、例えば1111の暗証番号を全ての銀行口座に試した感じだよ
一万口座試して1回ログイン出来たらOKな手口 トレンドマイクロおまえ……
そんなこと言ってるようだとクライアント側のソフト次は他社に変えるぞ
ドコモロ座の聖衣は自己防衛機能を備えているのだった・・・!
ドコモの無限アカを利用して銀行口座の暗証番号が特定された珍しい事件
何をエバンジェリズムしているんだろうなあ
まーしらんkど
>>1
しかしアホだよな
4桁の暗証番号なんて、コロコロ変えても無意味
そりゃ1111だとか1234とかなら別だけど、
スキミングとかが流行っていた時の話じゃん
そもそもオンラインで暗証番号4桁とかがあり得ない
二段階認証、一番いいのは開設時は本確認の電話、
もしくは書面でのやり取り。基本だろ
ドコモも馬鹿だが銀行も怖ぇ〜 >>1
> 何者かが口座番号や4桁の暗証番号のほか、氏名と生年月日を入手。預金者になりすましてドコモ口座を開設し
氏名か生年月日変えといたわw >>93
今は特定されても問題無かった
振り込みはトークンが必須だから
それを打ち崩したのがドコモロ >>3
パスワード変更を強制するサービスとかあるけどいい加減見直したほうがいい
別のスレでも書いたけど危険なのは短いパスワードだとかパスワードの使いまわしなんだよね
短いとその組み合わせが限られるから破られる可能性も高くなる
パスワード使いまわしはひとつ漏れただけで即全滅 ドコモがドコモ口座とやらをやめればいいだけちゃうの???
ところで、今回被害に遭った人は、
銀行側のオンラインバンクを利用契約してないで被害に遭った人っているのか?
パスワード替えるだけで防げるなら
トレンドマイクロ儲からない
キャッシュカードやクレジットカードの暗証番号って、
4桁の数字の時点でなぁ……
docomoがトンチンカンなことを言うのは既定路線だが、
トレンドマイクロの立場で言っちゃうと株が下がるよ
暗証番号を変えても口座番号を割られる確立は同じ 完全なる無駄手間
ドコモ口座のサービス停止をしろ
それしか手はない
この岡本さん、転職したほうがいいんじゃない
セキュリティ会社向いてないよ
新規登録の停止措置は、新たな模倣犯の予防にはなる
しかし
今現在活動している犯人は、変わらず割った口座から金を引き落とせる状況にある
トレンドマイクロみたいなデタラメな会社に取材行くなよ
>>3
それやるとめんどくさくなって簡単なパスワードにしちゃうんだよな。 >>105
暗証番号はキャッシュカードやクレジットカードというモノと対だからってのはあるね
その人だけが所有してるモノとその人だけが知ってる知識の組み合わせ
これがカードそのものではなく口座番号でもいいですよとなると
知識+知識でかなり事情が違ってくる >>102
13000人のお客様に不便が・・・
その他の国民何人いると思ってるんだよな
気が狂ってるよね
それにもう二度とドコモの金融業には新規の客は入らないよな
ドコモ口座はいずれ廃止、名前を変えても誰も入らないよ >>115
そこが一番の問題だよね。
インターネットシステムのパスワード認証でたった4桁、しかも数字のみなんて話にならない。 極端に言うとパスワードって方式が時代おくれも良いとこだし
初めてパスワード作った人もあんなもの作るんじゃなかったって言ってるぐらい
ましてや4桁の数字なんて速攻で破られる
あと、パスワードの定期的な変更は現在ではあまりおすすめされてない
理由は前記の通りで単純化を招くから
現在活動中の犯人を止める方法は、「ドコモ口座の停止」以外に存在しない
時間が経てば被害が大きくなるんだから、今やれよ
無関係な人間にいつまでテメーの会社の都合で迷惑かけるんだよ
で、例の口座振替のAPIは引き落としのたびに暗証番号を要求するタイプ?
それとも一度連携すると後はフリーパスなタイプ?
4桁のパスワード、実際は海外では西暦、日本では誕生日あたり
あとは1234とか4321、ゾロ目が圧倒的
したがって総アタックする人も0101から31日以上を外して1231まで
これに西暦の0001から2000年ぐらいを追加して、
ゾロ目、数字の連番をリスト化していれば、アタックする数字も実際は2500もあれば良いところ
下手すれば1000件ぐらいでも10万人のリストが手に入ったら確実に100ぐらいはヒットする
最近のSMSの履歴は認証番号だらけだよ
消すのが面倒
>>1
ドコモ口座持ってる人が自己防衛するのは当然だが、
全く無関係で見事なとばっちり食らってる人にまで
自己防衛しろとか酷すぎる。 >>71
銀行の窓口に行ってドコモ口座の紐付けの拒否登録をお願いしたとして、銀行がその
処理をしてくれるのかと聞いている まあ、数年後はスマホで二段認証かトークン必須になるだろう
利便性だと二段認証の方が効率良い
個人のできることなんてメーンバンクを安全な銀行に替えることくらいしかできんけど水道やら電気やらガスやら新聞やらケータイの引き落とし先や旦那の給与の振込先の変更手続きもせんとならんからそう簡単にできることじゃないしな
リバースプルートフォースで暗号定期的に変えても無意味じゃろ
よくわからないんけど
自分が知らない間に登録されたかものドコモ口座はどうやって調べるの?
実際の銀行口座に不明な出金がないから大丈夫とかならないし
この件に関しては、暗証番号を頻繁に変えることが自己防衛の役にあまり立たないようだけど
>>66
クレジットカードのPINコードはネットワーク上でやり取りされるものでは無い
カード読み取り機からカード情報を取り出す時にしか使用されない フィンテックが接続されるならゼロトラストセキュリティの概念が必要になってくるわ。
暗証番号を定期的に変えにゃならん手間をウォレットアプリが作り出した。
しかも、他人の口座を巻き込んで。
つか、サービス継続するとの発表を受けて、
試行回数無限問題が改善されているか確認する新聞記者は居ないのか
信用して使う奴が愚かw
本名登録だの電話番号登録が必要とか信用できん
>>3
定期的に変えるより長くて複雑な方がいいと言われてるね
ただ銀行の4桁暗証番号は定期的に変えた方がいい そういう問題じゃ無い
1段階認証ならその瞬間に暗証が合ったら終わりだよ
岡本さんって・・・経理の人?
NHKもトレンドマイクロも間違ったこと教えるなよwww
総当たりハッキングなんだから、パスワード変えても無駄
銀行をかえるか、マイナスにならない口座で残高0にする
>>141
試行回数無限問題ていうのを記事にしない・できないからトンチンカンな分析になる。 バカすぎ、定期的に変えて総当たりに当たったらどーすんだ
>>144
定期的に変えてたら強度が下がったの引く可能性が高まるから駄目 >>69
トレンドマイクロがアホなのは昔から有名やで
わい20年ほど前に日立で派遣やってたけど全社でウイルスバスターいれてて
自動updateでPCが起動不能になるのが結構あった。セキュリティソフトでPC
が壊されるなんてしゃれにもならんよな。
トレンドマイクロがまだ存続してたのが驚きだよ。 そもそもdocomoがタコな訳で、各人が自己防衛と云う話がおかしい。
>>149
記帳したー、大丈夫だった!
ついでにパスワードも買えとこーポチィ〜!!
ドコモコウザ
ドコモコウザ
ドコモコウザ
ドコモコウザ >>148
話が複雑になるからさ。
試行回数無限問題がなぜダメなのか
試行回数無限だと何ができるのか
どうしてドコモではそれができたのか
ていうのをいちいち説明しなきゃこの問題は理解できないし、
そんなことしていたら30分ぐらいの番組になっちまうし、
文字だったら雑誌数ベージの読み物になってしまう。
マスコミは報道したがらなかったのは一つにはそういうわけ。 暗証番号変更って
面倒くさくないの?
しかも忘れそう
暗証番号総当りだったの?
それとも、暗証番号固定で、口座番号を変えていく総当りとかだったの?
>>158
パスワード総当たりじゃロックされるから口座番号じゃね? >>158
わかってる口座番号全部やって吸い尽くしたら
次の暗証番号いくだろ
自分の口座は何千万あるんだから トレンドマイクロが使えない会社ってのがよくわかるわ
>>139
そう、今はね、古い口座なんかで誕生日そのままってのも結構あるんだよ
で、今は誕生日駄目ですと言われたら西暦を設定したり
5050とか設定してそれも破られる 多分、犯人はりそなの時に気がついたんじゃないかな?
で、銀行の口座番号と氏名のリストを手に入れて、準備していた
で、前準備にどの銀行のセキュリティが甘いかをチェックして
9月に入り一気にクラック、破れた所から片っ端から出勤してトンズラ
まず暗証番号変えるのは良くないし、
今回は変えてても無意味だろ
>>158
暗証番号固定で口座番号を変えて試す攻撃なんて、普通の銀行システムでは取れない
普通の銀行のシステムでは、口座番号と4桁の暗証番号とクレジットカードのICカ
ード情報の3つを組み合わせて認証するから
4桁のパスワードを固定したとして、口座番号とクレジットカードのICカード情報の
組み合わせが膨大な数になるから、ツールで自動化したとしても総当りでは正しい組
あわせを探せない
ある銀行のシステムに欠陥があって、クレジットカードのICカード情報を使わずに、
口座番号と暗証番号の2つの組み合わせだけで認証していたとか、そういう特殊な
ケースでないとこの攻撃は使えない 口座番号と名義のリスト→通常の振り込み手続きでわかるようになってるからリストの入手は容易
暗証番号→上記で入手した口座番号リストにリバースブルートフォースアタックして一つ二つくらいは暗証番号が判明する
あとはドコモ口座で紐付けして終りってことかな?
キャッシュカードっていう物理認証+暗証番号の二段階認証が前提となってるセキュリティを
暗証番号だけで本人確認としてしまったのが過ちだなあ
>>1 >>6
テレビはドコモがスポンサーだから、ドコモでなく銀行を攻撃する
そこに電通が援護射撃 >>170
>クレジットカードのICカード情報を使わずに、
>口座番号と暗証番号の2つの組み合わせだけで認証していた
今回のドコモ口座と一部の地銀の組み合わせてこうなってたのが問題なんでしょ?
あとクレジットカードじゃなくてキャッシュカードな >>1 >>153
テレビでは民放は、スポンサーのドコモを攻撃しない
悪いのは自己防衛しない個人ユーザー、ドコモは悪くない、というスタンス スポンサーだからていうより、マスコミがこの問題を正しく理解できてないから論旨もトンチンカンな方向に向かってしまってる。
この記事だって、フィッシングサイトで暗証番号が漏れたてことで記事が書かれてるから、
そりゃ預金者がマヌケだねとか暗証番号変えろよていう結論になるのは当然。
>>174
キャッシュカードの間違い
口座番号と暗証番号だけでドコモ口座と銀行口座を紐付けしていたとして、そこで使わ
れた暗証番号が何が原因で事前に漏洩していたのかが不明だということを言いたい
170に書いたように、リバースブルートフォースアタックで暗証番号が抜き取られるな
んて、普通の銀行のシステムでは無理だから
フィッシングサイトとかで取られたという方が、可能性としては高い やっぱり、キャッシュカード作らず、通帳と印鑑持って顔なじみの銀行に行くのが一番
え?今ごろパスワードを定期的に変えることをいうの?
今回のは明らかに運用面がおかしいだけだろ
銀行でATM操作して、現金を引き出してる人の後ろに立って、
盗み見れば、名前、口座番号、暗証番号、わかるよー
>>177
>リバースブルートフォースアタックで暗証番号が抜き取られるな
>んて、普通の銀行のシステムでは無理だから
普通の銀行のシステムってどんなものの事言ってるのか知らんけど
IPアドレス変えながらやればできるんじゃないの? >>181
4桁の暗証番号を一つに固定して、その暗証番号を使っている口座番号を総当りで調べる
のは、時間コスト的に可能
4桁の暗証番号を一つに固定して、その暗証番号を使っている口座番号をキャッシュカー
ドのICカード情報との組み合わせで調べるのは、時間コスト的に不可能 >>173
ここでドコモをコテンパンに叩く報道を続け、やめて欲しけりゃCM増やせ
って恐喝できるのが民放 >>182
補足すると、口座番号と4桁の暗証番号だけで認証を試すことができる手段が、通常は
提供されていないからね
通常は、口座番号と4桁の暗証番号とクレジットカードのIC情報の3つで認証を試す手
段が提供されている >>28
貴方にはその程度の人員を充てがえば良いと思われいるだけ。 >>3
変えた結果、たまたま不正利用者の推測したやつに当たったってことが海外だかで昔あったらしい。 >>170
なんでクレジットカードが出てくる?ドコモ口座の話だよね。 >>185
さっきから不可能って言ってるばっかりでどう不可能か全くわからないんだけど。
たしかにお前が言うとおり普通はキャッシュカード+暗証番号っていう二段階認証になってるんだよ。
でも今回はドコモ口座+一部の地銀の組み合わせのときに口座番号と暗証番号だけで認証するパターンがあったのが問題なんでしょ? >>100
セキュリティ専門家が何年も前にほとんど意味ないとか指摘してたな >>1
トレンドマイクロは
ドコモ、セブンイレブン並みに バカ ということ。 >>89
10年以上前から1111の連続番号や単純な1234とか
誕生日1225とかは入力できないようになってるよ。
10年以上前に設定してるなら別だが。 >>1
阿保・阿保・阿保・阿保・・・・・それ、根本的な解決策になってない 紐付き銀行解約して他の銀行かタンス預金にする方が無難
紐付きって判った以上、どれだけ対策取られても不安しかない
定期的に変えて入れなくなったサービスがいっぱいあるわ
ドコモ口座に関係してる銀行から関係ない銀行に預金を移せばいいのか?
取り付け騒ぎが起きないかな?
ネットに繋がないのが最強のセキュリティーだろ
顧客に無断でネットに繋いだのがゆうちょ
>>185
今回の話でなんでクレジットカードが出てくるの?
クレカ付きのキャッシュカードじゃないとドコモ口座は作れないの?? >>189
口座番号と暗証番号の組み合わせだけで認証を試せる手段が、普通の人には提供されて
いないだろ
キャッシュカードのICカード情報を使わないリバースブルートフォースアタックを、ど
こで実施するんだよ 顧客の口座を顧客の許可なくかってにインターネットにつないで
誰からでもアクセスできるようにしたのは銀行側の問題だろ
許可なくネットに公開するなよ
パスワードや暗証番号が漏れてもインターネットにつながって無ければ問題のない話だろ
4桁だけでも物理的にカード必要だからokだったのを
口座番号と4桁で匿名口座に送金できるようこっそり変えるって
頭悪すぎて笑
あの4桁の暗証番号はカードとセットで使うもの、単独で使うものではない
マイナンバーカードの3つの暗証番号も4桁、マイナンバーカードなしで暗証番号だけ個人認証できたら怖いよね
地銀等のシステムを設計したの誰?
そうは言っても、今回のセキュリティ問題は「ドコモのサービスの問題。」ドコモがサービス設計時にこの脆弱性に気付かなかった
しかもドコモはりそなの件を無視した
地銀がドコモより馬鹿
ドコモという名前でokしたんだろ
頭悪すぎ
ただし こういう日本社会で利益上げてる企業なんだから それに気付かないドコモの方が 日本人的には悪かな
気付ける社員いるけど 保身で黙ってたんだろ?
>>204
サービス考えたの銀行側な
ドコモなどはAPIを使わしてもらってるだけだぞ >>202
それなら問題ないけど
口座番号と暗証番号なら漏れた場合、第三者がネット使ってドコモ口座と紐付けできるからこんな騒いでる訳で 普通口座の番号が知られた以上、同じ銀行を使いたければ貯蓄口座を開設すべし。
この一件で昨日、口座のある銀行に片っ端から貯蓄口座の意味を質したのだが
この口座は外部ネットには接続されていないと異口同音に回答を得た。
信金さんやJAバンクさんにも確認してみたが同様の結果が得られた。
つまり、普通口座は引き落としや生活費等の一部の金だけ残しあとは貯蓄口座に
移し替えをお薦めするよ。いままで安易に考えていた貯蓄預金口座は金庫の
ような役目を果たすことを知った。移し替え(普通⇔貯蓄)はネット上でも
出来るが前もって銀行から送付されたワンタイムパスワードを生成するトークンが
ないと移し替えはネット上では出来ない。メンドーではあるがこれも自衛の策だよ。
ドコモ「トレンドマイクロ「ドコモ口座 自己防衛が必要」」
>>208
問題なのは持ち主の意志に関係なく勝手にインターネットから往査できることになったのが問題なんだよ
ネット板金の契約してないのにネットから操作できるんだぞ
そのサービスの利用停止できないんだぞ 大体カード必要だから
万一に備えて4桁番号共有してた家族いるだろ
それが前提崩れるわ
カードなくても匿名で出金可能って
忘れてるぞ、カードと4桁パスワードとATMが無ければお金降ろせなかったんだぞ
物理的にATMに行かなければお金は下せなかったのに
インターネットさえあれば何時でも何処でも資金が減るんだぞ
岡山の金融機関に被害集中してるらしいけど、犯人もそこら近辺にいる根拠にはならない感じか?
いや。なんで自己防衛しなきゃならんのだww
勝手に口座調べて勝手に契約して勝手に引き落とすのは銀行とドコモの責任だろう
>>215
ドコモは関係ない
銀行が世界に顧客の口座を公開したんだ
ネットバンキングしてない口座を >>216
ドコモ口座開設のセキュリティが甘いのは責任ないんか?
俺らは「口座持ってるだけで自己防衛しろ」って言われてるんだぞ
その論理ならドコモはすべて保証しろってくらいの責任あるだろう >>214
どうなんだろ?
犯人もそこまでマヌケとも思えないが・・・?
中〇銀行のガードが甘いことを知って集中攻撃したとも考えられる。
ちなみにみずほもリストに上がっているが聞けば送金時は通帳記載の
最終残高の金額(数字)を求める仕様とのこと。これにより残高を知るのは
通帳を持っている本人しか知り得ない数字ということになる。ただし
これも万全とは言えないが今のところ被害者はいないそうだ。 >>200
言ってる事が支離滅裂だなw
おれのキャッシュカードICチップ入ってないが、ネットバンキング出来てるぞ。 >>217
ドコモ口座のセキュリティー破られてない
一部の銀行がインターネットと口座番号と4桁暗証番号で口座から引き落とせるようにしたんだよ
そしてこれがドコモだけのサービスならドコモを攻めればいい、しかしドコモが絡まなくても
インターネットを通じて世界に公開されているのだからドコモを攻めるのは可笑しい
じっさい本人認証あるPAYAYから同じ事されてる >>220
口座数を増やしたいドコモが上から目線で銀行に要請して
銀行がドコモ口座とキャシュカードの暗証番号のみで承認を許しちゃったんじゃね? >>221
フィッシングサイト説なら意味はある。ブルートフォースアタック説なら意味ない。 1111 2222 3333 4444…といった感じで毎日変えれば被害にあわなくて済むな!
お前ら、そんなにネット振替口座受付サービスや即時振替サービス使いたいのか?
このサービスがそもそもいらなくね、必要な奴だけが申し込めばよくね
なんで全員が使えるんだ?
>>223
やらしたの金融庁
ドコモはサービス利用しただけ >>223
つまりATMへ行く手間をドコモがお手伝いしてあげますって感じかな?
だとしたらドコモと銀行の双方が悪い。
そもそもATMはカードという媒体やカメラという監視機能まである。
ところがネット上にはそういう仕掛けもなければ媒体もない。
なのでセキュリーはATM以上に高度な仕様が求められて当然だがな〜。 >>220
ブルートフォースを許していたならセキュリティの不備と言えるんだが。
まあ攻撃の手法は明らかにはされないだろうな。 >>229
ドコモは関係ないのが問題なんだよ
ドコモ固有のサービスじゃないんだよ
銀行が世界に向けて公開してるサービスなんだよ これギャグだろ?
大手のセキュリティ関連ソフト会社の言い分がこれでは、
絶望感が半端ないんだが。
ドコモもトレンドマイクロも本当にプロなのか?
メールでの本人確認って、それメールアドレスの確認してるだけじゃね
ドコモ口座とやらが、ワンタイムパスワードを導入したら問題ないのでは
もっとも、ドコモユーザー以外がドコモ口座を作れないようにしたら良い
ドコモユーザですらない一般人に被害を与えるドコモ口座というハッキングツールが
まだ存在していることが驚愕だよ
>>227
おれは使いたくねー。
でもどこかで”私があなたに代わってやってあげますよ”というやつがいる。
”手数料はいただきますね”と抜かしおって上限いっぱい持っていかれました、クククッ!
なんてことが起きている。(カァ~カァ~ >>235
ドコモ口座はセキュリティ破られてねーって
paypayなどからも同じ事できるってw
ドコモの問題じゃねーんだよ
しっててドコモに泥かぶらせてるだろ
ドコモの社員か? >>219
ネットバンキングは、4桁の暗証番号以外の情報で認証されるだろ
どうやってログインしているんだよ
ドコモ口座と銀行口座の紐付けを処理する銀行の内部の端末ではICカード情報を使
わずに認証をしていたとして、そんな内部の端末を使ってリバースブルートフォー
スアタックをしたら、すぐにバレる
リバースブルートフォースアタックなんていう周知の攻撃法に対する対策は、銀行
のシステムでは取られている 今回のは総当たりアタックなんじゃないの?
4桁しかない方が問題
>>237
俺がドコモの社員なら
地銀のセキュリティ対策を責めるよw
ドコモ口座は捨てメールでも作れたのが最大の要因だったと思うよ >>238
API公開されてんだからリバースなんたらを大量の端末からやれば暗証番号見つけれるだろ
マネーフォワードアプリで入出金明細みれるだろ
どうやって見てると思ってるんだ >>240
本当事をいって地銀せめたら取り付け騒ぎ起きるだろうーが
それこそ金融犯罪になるだろ
知ってるくせにまたまたw 他人のPayPalアカウント乗っ取って銀行と連携して海外に送金してる奴いそうだよな
>>232
それ違うんじゃないの?
おれも送金は時々やるが口座番号と暗証番号だけで送金できるとは聞いたことも
なければやったこともない。送金するにはいくつか条件がある、それをクリア
しないと送金は出来ない。(ただし、ATM機の前ではこの限りではない)
そもそも暗証番号は秘中の秘、身内にも教えないってくらいなもんだ。
それをネット上に曝け出すとは考えにくい。本当に暗証番号だけで送金出来ると
いう銀行があるなら速攻で解約すべき案件だな。 トレンドマイクロのセキュリティーソフトは無用の長物だということは分かった。
>>244
それを可能にしたのがネット口座振替受付サービスだよ
ぐぐればやり方がすぐに見つかるよ
違法でもなんでもないから >>246
本人確認されてるはずのpaypayので犯罪がニュースになってないから逮捕できないんじゃない 10万の定額給付金が怪しいわ、個人情報、口座情報、マイナンバーカードの暗証4桁と
悪い奴が喜ぶ3点セット
定額給付システムの運用・保守のSEが犯人な気がするわ
そしてマイナと口座の暗証番号を同じにしている奴が被害者
>>241
銀行APIは一般には公開されていないぞ
そんな限定された状況でリバースブルートフォースアタックなんてしたら、すぐに足が
付く これがセキュリティ会社のレベルなんだからお笑いだろ。
>>250
公開されたんだよ、銀行オープンAPIっでくぐってみな
マネーフォワードとかあるよね〜 >>247
え〜”ネット口座振替受付サービス”
こんなの昔からやっているよ。
ただし、書面で申請したのちに有効になるシステム。
この場合は予め相手先が分っている。
しかも暗証番号までは教えていない。←ここが今回の事件とは相違あり。
例:収納機構(公共料金等)、証券会社の買い付け、担保補充など、etc。
今回の詐欺事件は不特定の人物またはグループによる犯行。
しかも調査すると100本のIPアドレスから被害口座に侵入していることが
分っている。犯人側はいくつかのIPアドレスを使って侵入を試みている模様。
まず、個人ならあり得ない。 >>1
パスワードを何度でも総当りできることが問題やったろうに
ホンマにセキュリティのプロか? 総当りされてる間に変えまくるのか?
仕事してる暇なんてないだろ
>>239
問題だけど4桁以上にすると番号を覚えずにメモする人が増える >>1
アホかこいつ、暗証番号変えたって意味ないわ
暗証番号なんか、たった1万通りしか無いんだから
簡単に破られるだろ常考
コールバックして来る二段階認証が、今のところ1番安全だ >>253
書面で申請したのちに有効になるのは口座振替な
ちなみに口座振替を利用した詐欺は昔からあるからね
組織的にするにはしょぼすぎると思うよ
やり方公開されててそれ見た個人がやってるんじゃない今回のは
PAYPAYで同じこと起きてるけど犯人特定さえてねーのはなんでや >>257
人間の記憶力では4桁がせいぜいという実験結果から導きだしたらしい。
だったら4桁―4桁―4桁―4桁にすりゃーいいじゃん。
と、思ったがクレジットカードの番号覚えていないやー。ww
でもなぜか電話番号は覚えられるんだよな―。
3桁ー4桁―4桁(携帯電話番号)など パスワードレスにすればいいのにな
ATMとキャッシュカードとGPSで金降ろせるようにしてもよくない
何時でも何処でも金降ろせる必要なくね、都内に住んでる奴が島根で金降ろす必要って
一生に何回あるんだ?
パスワード無しを検討してもいいとおもう
暗証番号が読みとられる、銀行、クレジットカード会社 キャシュレス ハッカーたちは簡単に
読みとっていく 登録制度を変える? 指先認証 体温認証を合体し暗証番号の代わりにする!
バーコードの感じで読み取る 指紋をコピーされると困るから 熱感知 湿度感知でセーフ
暗証番号は 時代遅れ!
今回のってネットを使わない人には全く必要じゃない機能を悪用された犯罪だろ
無駄なサービスが多すぎるよ、一昔前までみたいに必要な機能だけ選ばしてくれよ
一律同じサービス提供する必要ないだろ
「ウイルスバスターは、窓から捨てろ!」
ってことだけは確かに伝わった
そういう問題じゃないのほ誰も知ってるのに、こういった場を設けてこう言うぼやかした戯れ言を言う
こういう日本なんとかならんのかw
>>1
いつまで経っても「4桁パスワードを漏らした奴が悪い」ってアホ(ドコモ副社長など)が
減らないので、リバースブルートフォースアタックについて理解してほしいのだが、
やっぱり英語だと「なんだかすごいこうげき」としか認識してくれない。
で、調べてみたら適切な訳語が設定されていない模様。
「ブルートフォースアタック」は「総当たり攻撃」として有名なので、あとは「リバース」を
その働きに合わせて訳すならば「逆引き総当たり攻撃」なんてどうだろうか? 物理的な認証が最強なんだがな、アクセスする場所を決めてしまえばいいのに
例えばATMに番号振って金降ろしたいときはその番号を銀行側に伝えて
その番号のATMとキャッシュカードじゃないと下せなくすればいいのに
GPSを使って特定の範囲からしかアクセスできなくすればいいのにな
ATMやネットバンキングとかは
GPS情報偽造できるとして位置情報の総当たりは無理だろw
ここのセキュリティーは使えないと言う事だけは分かった
極めつけそっちに逃げるか?って感じ
そんなもん基本だろうに それ以前の問題をごまかしてる発言
>>270
公開情報側(この場合、口座番号や名義))がリスト化されている場合も、
適切な訳語が必要だね 銀行とドコモ、バカが揃ったことで事件が発生したって印象だな
ネットバンクやってない奴はパスワード変えといたほーがいいかもな
過去にリスト化されてないとは限らないからな
今までは繋がらなかったのが繋がるよーになってしまったからなネットバンク申し込んでない口座が
>>279
印象操作って恐ろしな
全て銀行側のサービスで
ドコモは関係ないのにな 現実問題としては、上位20位で全体の30%
上位400位で全体の60%相当が該当する全く無意味な4桁暗号を
ネットから匿名でアタック可能な仕様にしてるドコモがキチガイ
>>281
フリーメアドで好きなだけドコモ口座を作れる状態にしておいて関係ないは無いんじゃないか? >>285
知らん奴がドコモ口座作ってあなたの銀行口座とリンクさせてるんだから
自分でドコモ口座作って自分の口座を先にリンクさせておくのが最大の防衛では? >>286
それを記者会見で説明しろ!
おばあちゃんもおじいちゃんも口座が10個ある人はアカウントを
10個作って全部にそれぞれ紐づけしろ、ってw
じゃないとドコモの犯人の方に口座からお金が盗まれますよ、ってwww >>286
なら本人確認してあるアカウント乗っ取ってpaypayやPayPalからリンクしてお金の抜いてやるぐふふ >>285
まだこんな馬鹿がいる
釣りか?
ドコモの工作員か? >>283
銀行側が公開してるからドコモかんけーねーよ
どこからともなく声が聞こえる、paypayやPayPalのアカウント乗っ取ってお金抜いてやるって >>284
フリーメアドで好きなだけアカウント作れるサービス他にもあるよな
でもpaypayやPayPalのアカウントのっとったほーがはえーかw >>3
今回もパスワード据え置きで入手した大量の口座番号を変えて当てたみたいだからな。
例えば良く使うパスワード1234はそのままで、口座Aで試してダメだったらBでみたいな。
口座番号だけだと、支払いやらで使うし大量に流出するやろ。 ハッカーやクラッカーが作ったネットに出回ってるツール使って面白い半分でやったハイエナみたいな奴が犯人だろな
セキュリティ破られてねーもんな
>>295
ランサムウエア作った中学生を入閣させるべきやな この話聞いて、暗証番号変える(キリッ
とか、トレンドマイクロ使ってなくてよかったなって思うわ
創価学会員は公助、
その他は自助という発想だよ。^^
なんで暗証番号数字4ケタなん?1万パターンしかないよね
ひらがなカナ漢字使えば堅牢になるのにね
というより本来銀行って通帳なりの現物と暗証番号の二重セキュリティをかけて引き出してたのに
金融業界の方からセキュリティ枚数減らしてんだから世話ないよな
二重セキュリティだからこそ数字のみの4桁の暗証番号で済んでいたって認識がなさ過ぎ
常用漢字を1文字使用可能とするだけで安全性は飛躍的に高まるだろう
なんせ外国人と在日には漢字が理解出来ないから
偶々メインがUFJだからよかったものの、他の銀行カスすぎじゃね?
他人の金だからって適当こいてんじゃねーよ
暗証番号変えても
総当たりで口座番号と一致狙われるから
無意味では?
某地銀の人から聞いたけど
カードを作らなければ不正紐付けされない
と言ってた
どうしてもカードがいるなら提携してない
銀行に移すしかない
>>12
ドコモ口座への対策、という意味なら効果ゼロ
毎回同じ番号の宝くじ買っても、ランダムの番号の宝くじ買っても当選確率は同じ マジで聞きたいんだが。
今は公私にわたって暗証番号は10や20求められるし、しかも8桁で英数字大文字混同だの複雑化が増してる。
それを定期的に変えろ?
みんなどうやって管理してるの?
結局手書きの管理手帳が必用だよな?
>>59
ソフト使ってフルアタックかけてるから
数字の配列に意味はない。 パスワードマネージャー
入る特のパス長文にしとけば堅牢
後はとお好きなようにパスを変更してればいい
>>1
>口座番号や暗証番号などを入手した何者か
はっきりスパイアプリ(LINEやTictokなどなど)がインストールされている
スマホから口座番号、暗証番号など入力していると吸い取られれるゾ。と言ってやったほうが
頭の悪いユーザーも理解できるだろ >>271
使ってる端末(スマホ)の問題
あれだけスパイアプリ使うなって言われても
自分の情報はとられても大したことない。
ってほざいてたバカが多かったからな。
いいんじゃないの >>309
頻繁な変更は却ってよくないとは言うね
1回目は練りに練った、しかも自分にとって忘れにくいパスワードを作るけど、そんなパスワードは何度も簡単に作れるもんじゃない
変更を求められるたびにいい加減で、しかも自分でも記憶しづらいパスワードになっていく >>1
被害チェックリスト
(重要:下記35の銀行で口座を持っている人、全員対象!
使っているスマホ・携帯がドコモかどうかとか、d払いの利用有無とか、ドコモの口座有無とか関係なし。 ハフポスト日本版 2020/09/10 12:26より)
Q:該当する35の銀行の口座を持っている?
はい(すぐに通帳記帳して、次の質問へ)
いいえ(被害なし)
連携している35の銀行.
みずほ銀行、三井住友銀行、ゆうちょ銀行、イオン銀行、伊予銀行、池田泉州銀行、愛媛銀行、
大分銀行、大垣共立銀行、紀陽銀行、京都銀行、滋賀銀行、静岡銀行、七十七銀行、
十六銀行、スルガ銀行、仙台銀行、ソニー銀行、但馬銀行、第三銀行、千葉銀行、
千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、南都銀行、西日本シティ銀行、八十二銀行、
肥後銀行、百十四銀行、広島銀行、福岡銀行、北洋銀行、みちのく銀行、琉球銀行
Q:該当する銀行の預金通帳の履歴に「ドコモコウザ」や「デイーバライ」への引き落としの記載がある?
はい(次の質問)
いいえ(現時点で被害なし。今後も頻繁に通帳記帳を推奨)
Q:過去にドコモ口座や「d払い」のサービスを使ったことがある?
はい(一つ一つ、通帳をよく見て、身に覚えのない引き落としがないか、確認推奨)
いいえ(不正に引き落としの可能性大。銀行窓口で例のドコモ被害を訴え口座凍結手続きしてから、通帳を持ってすぐに地元警察署で被害相談)
関連報道
2020/9/11 午前6時35分 テレビ地上波 テレ朝
35の銀行で口座を持っているすべてが被害にあう可能性
通帳記帳で確認してください。不正引き出しがなくとも、わざわざATMに足をはこび通帳記帳する人も、ある意味で被害者だと思います。
2020.9.10 22:58 産経新聞 NTTドコモの電子マネー決済サービス「ドコモ口座」を使った、銀行預金の不正引き出しが見つかった問題 被害者全員がドコモ口座持たず スマホ決済使わない人が標的
2020.9.10 20:46 産経新聞 ドコモ不正利用、「氷山の一角」か 本人確認に後ろ向き
2020/9/11 20:46 日本経済新聞 ドコモ口座、15行なお稼働 被害額2000万円に拡大 サービス継続に強まる批判
>被害をおそれる人はこまめに通帳記入するか、ネットバンキングで残高を確認し続けるしかない。ドコモは(問題のサービスを)すべて停止すべきだ 4桁とか元々強度ゴミなんだから変わんねーだろ
たまたま犯罪者が知って実行日までの間に変えてたらちょっと意味ある程度だ
気持ちの問題レベルだろ
>>3
ソーシャルハッキングに対しての防衛だな
半沢直樹みたいな社内重要データへのアクセスとか 今回の攻撃に暗証番号変更は無意味だろ
逆に攻撃に使う番号に変えちゃう可能性もあるんだがwwww
リバースブルートフォース攻撃にはパスワード変更は関係無い
>>1
ここまで自己防御が必要になる金融サービスとかありえないだろ
しかもサービス利用者じゃない人間が被害対象とか訴訟レベルでしょ まず暗証番号を固定してIDをたくさん打ち込んでいくらしいよ。
だから定期的に変えても4桁から5桁にしてもドコモ口座みたいのがあったら意味ないみたいよ。
>>175
セキュリティの基本的な考え方を、政治や商業主義で歪めてはいけないだろう。
そういう事をすれば結果的にシステムの信頼性が失われるだけ。
攻撃者は容赦してくれないから。 >岡本氏は「一度流出した情報は何度も悪用される傾向にある。
>暗証番号を定期的に変えたり、セキュリティー強化のオプションサービスを
>利用したりすることをすすめている」と話している。
今件のことではなく、一般論とオプションサービスの宣伝しかしていないな
総当たりアタックで破ってるから、個人情報が流出してなくても紐づけ可能だったし
ドコモが全国の銀行口座に仕込んだバックドア。
しかも全銀行の口座にバックドアが常に開いている状態
もはやドコモの犯罪
この岡本とか言う馬鹿はセキュリティをわかってないだろ。
犯罪者は4桁 総当たりするから暗証番号変えても同じだぞ
>>329
俺も全く同じこと思った。
俺なら暗証番号は5桁にするべきって言う。
これなら総当りの確率は一気に低くなるから誰もが納得する。 お前らジャップは、俺に対して何十年も「バカには教育しても無駄。遺伝とか人種の問題で、教育しても無駄な奴は無駄」と扱ってきただろ。
お前らジャップのそのやり方こそがまさに、「白人がアフリカ系のかたに対して何百年もやってきたやり方」なんだ。
お前らジャップが被害者面するのはおかしい。お前らジャップこそがレイシストのナチだ。
日本人はあらゆる瞬間に被害者面をしようとして汚い。いつその技術を身に着けたんだ。
戦前にはそんな脳みそはなかったように見える。最近は欧米白人トップ1%が、そのお前ら日本人のやり方をコピーしている。
日本およびドイツを滅ぼしたほうが地球は平和になる。
不正に開設された本人口座なんでしょ?
暗証番号かえただけで、阻止できるん?
本人じゃないのに口座開設できたり、
簡単に紐づけできるのが問題なんじゃないのか?
そうだね。たかだか4桁の番号
自動化して何万もドコモ口座を作れば、どれかは当たる
>>330
犯罪者がいちいち口座番号と暗証番号を一つずつ手入力すると思うか?
総アタックするプログラム組んでそれを走らすだけだ
暗証番号一桁増やせばその分だけ時間かかるけど、暗証番号固定の
総アタックを受け付けている限り、そのうち破られる。 総当たりが本当なら、暗証番号変更は意味が無いな。
それに、ここ数年の間に定期的な暗号変更は意味が無いとか発表されていたような気がする。
本当にトレンドマイクロの社員なのかな。この発言。
二段階認証を必須化していない銀行もどうかと思うけど、
サービスを提供しようとしているドコモなので、個人認証はドコモが責任を負って処理しないとダメだろ。
まだサービス止めていないのが驚きだが……
何せトレンドマイクロの記事だからな
NHKと同じじゃ
>>334
>暗証番号固定の総アタックを受け付けている限り
おまえバカだな。
暗証番号固定だからこそ桁が増えるだけで確率が一気に下がるんだよ。
おまえみたいなのはよくしゃべるけど数学センスが全くない文系。 >>暗証番号一桁増やせばその分だけ時間かかる
>>暗証番号固定だからこそ桁が増えるだけで確率が一気に下がる
同じことだと思うが
●マスコミが、ドコモ口座による不正チャージ事件を異常に叩いているのはなぜ?
不正被害件数は73件、被害総額は約1990万円に上るが、ソフトバンクPayPayの不正チャージ事件は数億円だったがマスコミは矮小化しソフトバンクの謝罪会見すらなかった。Paypayは クレジットカード登録時にセキュリティ番号が何回でもトライできる仕様であったため他人のカードが使われてしまった。PayPayの完全ミスだ。
セブンpayについても異常にバッシング報道され廃止にまで追い込まれた。
PayPayのライバルは韓国人の多いマスコミにより潰されている感じだ。過去Macの異物混入でMacが異常に叩かれたが調理場が汚いと言われているロッテリアについてはスルーされたのと同じだ。
韓国に生意気な態度をとる安倍政権を異常にバッシングし3年間追及しても何も出てこないモリカケで立憲民主党とマスコミは国会妨害しているだけだった。外交や安全保障での成果、株価上昇や失業者の激減、インバウンド需要発掘など多々の成果があり外交ボロボロで倒産とリストラの嵐だった民主党政権とは比べ物にならない。
今回のドコモ口座問題では、生年月日と氏名、暗証番号、口座番号の4つの情報を入手した何者かが、預金者になりすましてドコモ口座を開設している。
口座番号や暗証番号を盗み取る銀行偽サイト(フィッシング詐欺サイト)が大量に見つかっていたことが分かっており被害者はそれらに口座情報を入力してしまった可能性がある。
そのような詐欺情報がありながら一部銀行は暗証番号で口座連携していたのだ。大手銀行はワンタイムパスワードや通帳残高入力など本人確認に2重のセキュリティー対策をしていたから今回被害はなかった。
ドコモにも運用責任はあるが今回についてはセキュリティー意識の低い地方銀行側の過失割合が高いといえる。デジタル社会を目指す上でこういった地方企業の意識改革が必要といえる。未だに地方銀行や信用金庫では行員がメールすら使ってないところもあるデジタル音痴のアナログ企業だから仕方ないのかもしれない。
ドコモの対策としてはドコモの安全基準を満たさない中小銀行は口座連携できなくする強い姿勢が必要だ。
こう言った情報をしっかり報道せず単にキャッシュレスが危険というような報道をする日本マスコミが、日本のマイナンバーや監視カメラやキャッシュレス化が遅れて先進国では最低のアナログ国となってしまった。
未だに日本の保健所はメールでもなくオンラインでもなく手書きしてFAXで送っていて世界から笑われた。
毎月9万件のチャージ利用があるドコモ口座で2000万円弱の不正利用のためにシステムが止められた。、、
クレジットカードは暗証番号もなく通販購入できてしまうザルセキュリティーなので日本の不正利用被害額は240億円にもなっている。損失補填するからではなくマスコミはこの巨大なザルシステムのカード会社を批判すべきではないだろうか?
店にカードを渡したらカード番号も有効年月もセキュリティー番号もすべて写真撮られてしまう危険性がある。
1234使ってるやつが10%近くいるんだっけ
1234で逆ブルートフォース攻撃かければ余裕で開きまくり
口座番号と名義人は秘密情報じゃないよ。
振り込みしようとして,適当な銀行名,店番,種別,口座番号を
入れると教えてもらえる。
のこりの暗証番号は固定で当たるところが分かればもう抜かれる
んだから,なんともならん。
セキュリティ専門家のクセに
「現在も最大の脅威を生んでいるドコモ口座の運用をまず止めるべき」
と言わずに、意味のない対策を示すのかのはおかしすぎる
本来、徹底的に叩かれるべきドコモに対し、政府もメディアも遠巻きに見てるだけ
ドコモはどういうヤクザなの?
今回のドコモの話してCVEとかの番号てつかないの?
4桁の数字だけの認証? バカみたいだな、アルファベットなど含めて8桁以上にしろ。
ドコモに対して集団訴訟起こそうよ
セキュリティの穴を確信犯的に放置してるなんてもはや犯罪的行為だろ
認識してるパスワードの一覧作ったら100越えててワラタ。
これを数ヵ月に一回全部変えろとおっしゃるか。
てかドコモ現時点でサービス停止してないのって犯罪に屈してるって事でおk?
>>347 ドコモの「サービス設計ミス」にすぎないから。他のプログラムやシステムには影響がないから
>>346 そうね >>347
ドコモ口座がクラックされたわけじゃないからな 楽天みたく8桁にするとか
任意で4〜8桁に対応できるようにしろよ
>>8
一つの暗証番号を任意に設定して、口座番号1から9999999までアタックすれば突破出来る >>187
だろうな、余程1111とかじゃなきゃ確率は変わらない。
こういうとこの社長も雇われ文系なのかね?あほ過ぎるわ。 >>343
>政府もメディアも遠巻きに見てるだけ
麻生はブチ切れてたらしいじゃん。
マスゴミも2日目にはワイドショーみんなやってたし
現実見えてないのはドコモだけだろ。 >>349
被害にすらあってねーのにバカじゃん。勝手に起こせよ今すぐに これって1日の送金額0円にしたら大丈夫ですよね
送金なんか個人的に月一回くらいしかしないから
パスワードじゃないぞ
暗証番号なんて替えても何も意味がないやろ
すげーな本当に馬鹿なんだ
>1 >200-400
昭和金融恐慌
1997年、
アルバニア ギガねずみ講テラ破綻、
アルバニア全土での、ペタ取り付け騒ぎ。
ウルトラ預金封鎖、デノミ、財産税へ。
アルバニア全土でテラ暴動、アルバニア国家崩壊
1997年 アジア通貨危機時の、
日本での、三洋、山一証券や、北海道拓殖銀行や、
宮城県内の、地方銀行 徳陽シティ銀行など、
金融機関の、同時連鎖破綻での、取り付け騒ぎ。
ここらみたいな、破局事態。
【リアルタイムで、日本全土で、あらゆる銀行預金がテラ流出中】
多数の地銀と、ゆうちょ銀行、イオン銀行で、
不正な預金引き出しが多数発生。
預金者に、無断で開設された #ドコモ口座 と紐付けし、多数、出金。
【令和金融システム崩壊、グローバルギガ恐慌】
2020/9/9 朝日新聞 NHK FNN
幸田 真音 著 小説 日本国債 大暴落 ガラ
堺屋太一 著 小説 平成30年 水木 楊 著 小説 銀行連鎖倒産
故 打海文三 著 小説 応化戦争記 ハルビンカフェ
森達也 著 東京スタンピード
深町秋生 著 東京デッドクルージング
御堂地 章 著 小説 日本崩壊 村上 龍 半島を出よ
此処等で、
近未来起きうると予測されていた、ジャパンテラショック、
日本発の、全世界恐慌、ギガ取り付け騒ぎ テラ預金封鎖、
日本国債 ギガ暴落 テラ ガラ、
日本国債金利ギガ暴騰、テラ重税
ハイパーインフレ、超スタグフレーション慢性化構造不況化が、おきそうw
パスワードの桁数を増やすのが重要ならわかる。4桁じゃ変えてもあまり意味ないな。
>>1
パスワードを定期的に変えて意味があるのはパスワードクラックが定期を越えて行われる場合だけ
ドコモロ問題の場合は口座凍結かドコモロ提携してない銀行へ移す以外にない
場合によりけりらしいが自分で口座に紐付けしたドコモ口座を作ると他人だろうが本人だろうが二つ目のドコモ口座は作れないらしい トレンドマイクロのひとですらそんなことを言うというwww笑ってしまう。
4桁の暗証番号で許されるのは
店頭のATMでしか使わないという前提だったはずなのに
あろうことかネット口座で無限アタック可能な環境にそのまま使うとか
あほでしょ?
100万人分の口座情報があれば
100件くらいの乗っ取りが可能ってことらしい
今回のはそんな感じかな
いいこと考えた。
ペイペイアプリに、ワンタイムパスワード機能をつければいい。
a345とかパスワードが毎分表示される。それを各銀行が使う。
>>371
1234にしてる奴が10%くらいいるからもっとヒット率は高いはず >>363
そんなネットバンキングに対応してるような銀行なら
web口座振替みたいなざるシステムで運用しません >>374
じゃあ1日の送金額0円にしたら大丈夫ってことかな
俺は全部の送金額0円にして
必要なときだけ送金額増やして送金→すぐに送金0円戻してるけど 大手銀行全て送金0円にしたけど
なぜか新生銀行だけ最低送金額1万円で0円にできない汗
>>375
何がじゃあなんだ?
そもそも送金ではなく口座引き落とし扱いなんだろ? 送金だの引き落としだの口座振替だの色々混乱してるんだろう
一般ピーポーのセキュリティー意識なんてこんなもんだぞ
サービス提供者と銀行側でしっかり守ってあげないと簡単に割られる
これからのキャッシュレスの最重要キーワードは手軽さではなくセキュリティーだよ間違いなく。あと万が一の場合のしっかりした補償
フィッシング詐欺に引っ掛かって架空HPに暗証番号入れない
暗証番号を1234 2468 1357
みたいな単純なのは使わないということですね
こんなのジジババには不可能だ
出来る限り全銀行口座
ネットのトークンワンタイムパスワードにしてるけど意味ないな
>>1 今日、YAHOOアドレスに詐欺メールが届いた カードにはそこ使ってない
2019年11月以降、JCBカードをお持ちかどうかにかかわらず、不特定多数の人にJCBを装った不審なメールが配信されているとのお問い合わせを多くいただいております。
JCBを装い何らかの緊急性を訴えて情報を入力させようとするもので、弊社から配信したメールではございません。
検知した不審メール例を随時追加しておりますのでご確認ください。
万一このようなメールを受信された場合は、メールは削除してください。
また、弊社がクレジットカード番号や暗証番号等、お客様の個人情報をEメールでお聞きすることは一切ありません。
記載されているリンク先をクリックしたり、個人情報は入力しないようご注意ください。
【JCBを装った不審メールの一例】
1.配信元メールアドレス
メールの差出人情報は簡単に詐称ができるため、真正のJCBメールアドレス<[email protected]>で不審メールが配信されるケースもあります。
下記の不審メールタイトル・本文の一例をご確認ください。
4.署名欄
以下の例のように、実際の住所や電話番号が記載されているケースもありますのでご注意ください。
==================================
株式会社ジェーシービー
東京都港区南青山5-1-22 青山ライズスクエア 〒107-8686
※本メールは送信専用です。
お問い合わせは上のURLの、専用フォームよりお願いします。
================================== 暗証番号を変える事に意味はない
認証を増やさないと無意味
>>1
くるぞくるぞくるぞ
フィッシング(Phishing)とは、カード会社や大手インターネット企業などを装いEメールを送信し、「キャンペーン当選」「重要なお知らせ」など巧みな言葉で偽のWEBサイトに誘導し、
クレジットカード番号や暗証番号・住所・氏名などの個人情報を詐取する行為です。
誘導先の偽のホームページは、本物のホームページと同じデザインになっている場合が多く、見た目での判断は困難です。
https://www.jcb.co.jp/security/phishing.html テレビの専門家が
暗証番号を1234 2468 1357
みたいな人が設定しそうな
番号を一斉に打ち込んだと言ってるけど
これは実際は現実的ではない、ありえないのですかね
>>386
ウイルスソフト入れてない
携帯やパソコンが危ないね
ドコモ側は1800マン程度で済んで良かったかもしれんが
怖すぎ smsだって偽サイト作っておいて、セキュリティ強化云々言って、そこにアクセスしてもらって、そこでsms認証したと思わせて、コードゲットすれば良いだけだからなあ
>>18
これだよな
登録されてるパスワード入力+現在使用してる物理的デバイスからの指示された一時パスワード入力 よりによってトレンドマイクロの●●どもにセキュリティ講義うけるとか。
ネット銀行が最強か
楽天銀行とか6重くらいセキュリティかけて
ようやく安全度中から強になった
>>386
誘導先に行く前に「クリックしようとしているURL」を判別できる能力
を養う必要がある
パソコンメールならhtmlやめてテキスト表示して確認できるし
マウスオーバーで表示確認って言う直前の確認方法も、ちょっと危ないけどある
でもそんなパソコンメールでさえHTML標準になっててすぐクリックして行っちゃうやつ多そう
スマホだと難しいと思うんだけど対策ある? ゆうちょのこれ入れたけど、これだけじゃダメ?
https://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_phishwall.html
「PhishWallプレミアム」
ゆうちょ銀行では、「ゆうちょダイレクト」および「ゆうちょBizダイレクト」を安心・安全にご利用いただくため、
MITB(マン・イン・ザ・ブラウザ)攻撃対策機能を持つ不正送金対策ソフト「PhishWall(フィッシュウォール)プレミアム」に対応しています。
「PhishWallクライアント」を株式会社セキュアブレインのWebサイトからダウンロード(無料)して、お客さまのパソコンにインストールいただくことで「PhishWallプレミアム」が利用できるようになります。
インストール後は「ゆうちょダイレクト」または「ゆうちょBizダイレクト」にアクセスした際、ブラウザのツールバーやシステムトレイにシグナルを表示させることで、真正なWebサイトであることを確認できるようになります。
また、インターネットバンキング利用中に不正な偽画面を表示させることによって認証情報を盗み取る攻撃を検知した際は、警告画面を表示し、お客さまにお知らせします。
※他社サイトのサービス利用時に「PhishWallクライアント」をすでにインストールされているお客さまは、改めてインストールする必要はありません。 >>394
これ使いにくかったから
すぐアンインストールした
お気に入り作って
必ずお気に入りから銀行口座に入ればいいだけでは? >>1
ドコモに忖度してんじゃねぇよ
サービス止めずにユーザー以外も含めた全国民に迷惑かけてるドコモを叩くのがお前らの仕事だ うっかりメールや他サイトから飛んじゃう人の対策だよ
>>397
PhishWall なんか目ざわりなのがいっぱい ついてて見にくくない? 何がいいとか、よく分かんないレベルだから、どうしたもんかと
暗証番号が漏れたのかどうかが問題だな。
確かに,暗証番号決め打ちでもできるだろうが,
報道がないことにはわからん。
暗証番号の決め打ちで金を抜かれたんだからドコモは、原因公開せずに隠してるんじゃないか
フィッシング詐欺で金抜かれたんだったらドコモは原因公開するだろうよ
>>402
決め打ちに対策できてないから、
暗証番号漏れだと主張して今をしのいでいるのでは?
それなら、惨禍はこれから。口座主全員。 フリーメールでもできる、dポイントキャンペーン開始はいつからだろ?
ゆうちょって辞任続いたよね
金抜かれた暗証番号はドコモは分かってる
同じ暗証番号ばかり抜かれたのか違うのかも言わない
何か隠してるよね
本人しかわからない質問系(いくつでも設定できる)がいいなあ
VLCは使い難い感じがしたのでGOM入れようとしたらESET先生にこれはヤバいから止めとけと言われた
