2020年09月09日 07時00分 公開
[井上輝一,ITmedia]
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。
地銀ばかりで被害 なぜ?
今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。
Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。
ユーザーが自身のドコモ口座へ銀行口座から入金するには、ドコモ口座のWebサイトから銀行口座を登録する必要がある。ドコモは「銀行のWebサイト側での作業ではあるが、いずれの銀行も登録には『口座番号』『名義』『4桁の暗証番号』の3点を利用していた」と明かす。
ドコモは、これらの情報が何らかの理由で第三者に漏れたことが不正利用の一因ではないかとしている。
一方、最初に不正利用の被害を発表した七十七銀行は「自社のシステムから顧客の口座番号やキャッシュカードの暗証番号などの情報が漏えいした事実はない」という。
不正利用の被害にあった人のネットへの書き込みなどから、ネット上では「リバースブルートフォース」や「パスワードスプレー」と呼ばれる攻撃があったのではないかという臆測が上がっている。
「リバースブルートフォース」とは? 原因について専門家の意見は
Webセキュリティ専門家の徳丸浩さんは「リバースブルートフォースやパスワードスプレーが使われた可能性はある」としながらも、「ドコモ口座側の防御策に問題があった可能性もある」と話す。
「リバースブルートフォースはパスワード(ここでは4桁の暗証番号)を固定してID(ここでは口座番号)を総当たりする攻撃のことで、パスワードスプレーは数千~数万のIPアドレスを使っていろいろなIPアドレスから少しずつ攻撃し、攻撃を気付かれにくくする手法。これらが使われたかどうかは臆測でしかいえないが、いずれにせよ今回は暗証番号が4桁という部分が狙われたと考えられる。しかし、4桁の暗証番号を決済アプリとの連携に使っていても被害を受けていないケースもある」(徳丸さん)
「例えばゆうちょ銀行は、『LINE Pay』や『ゆうちょPay』などとの連携に4桁の暗証番号を使っている。しかしこれらで被害が発生していないのは、いずれもアプリがスマホ専用のものだからだと考えられる。『スマホを利用する』ということ自体が一種の認証であり、防御策になっている」
一方、ドコモ口座はPCからでも利用できる。ログインに2段階認証は必要なものの、口座開設時に携帯回線をひも付けていなければ登録メールアドレスにセキュリティコードが送られてくるため、攻撃者自身がドコモ口座を開いた場合はPCのみで操作が完結する。
徳丸さんは「こうした防御策の差で、今回は地方銀行とドコモ口座が狙われたのではないか」と分析している。
銀行が取るべき対策としては「アプリとの連携に4桁の暗証番号を使うのをやめ、ネットバンキングと同等のセキュリティ対策を取れるようにするべきだ」と話した。
続きはソース
https://www.itmedia.co.jp/news/articles/2009/09/news048.html
番号と名前が合致すればやられるってことだな
暗証番号はたかだか4桁
会社の方ががヤバイよw
暗証番号4桁としても、口座番号と名前は総当りでも無理だろ、何処かで漏れてるとしか思えないな。
ATMで振込とかする用途として
振込先確認取引というのが全銀システムに存在する
金融機関番号、支店番号、科目、口座番号入れるだけで
名義人名は表示される
当然ネット銀とかならネット上でも照会できる
何回もやったらすぐに締め出されるけどな。
そりゃフロントシステムによる
ATMとかなら連続数回照会すりゃカード吐き出すが、
再度カード投入すりゃ回数制限リセットされる勘定系システムは多いからな
ATMをずっと占拠するんですか?何日かかるんだろう…。カメラもあるだろうに。
ネットからの照会は知ってる限りではロックされる。されないところが絶対にない、とまでは言わないが百万件とか問い合わせるんですよね。発覚すると思う。
銀行口座を多数用意してゆっくりやれば大丈夫かもしれないが、その架空口座を仕入れるのにまず大金が必要そう。
本人確認をしないドコモ口座
両方のシステムに不備があって初めて成立する不正利用
どっちが悪いんじゃなくてどっちも悪い
片方が対策してれば起きない事件
ドコモにも相当の落ち度があると言わざるを得ない。
そこから漏れてるんだろうね
だいたいの人が暗証番号を誕生日にしてるし
総当たりなんかしなくても殆どが誕生日でビンゴだよ
相当高いだろうね
メインバンクに入れる人が多いだろうから
各地の給付金受付終了日と犯行が重なってるのはそういうことなんだろうな
>固定してID(ここでは口座番号)を総当たりする攻撃
どれだけIPを固定した所で、総当たりにすれば
ネットバンキング全体でのログインエラーが膨大に跳ね上がる上ハズだが
それらのチェックやアラートすら実装されて無かったのかね??
攻撃を受けた側は攻撃されていることはわかるだろうけど
発信元IPをバラバラにしてアタックするとどれが攻撃でどれが正当なアクセスかの判定は困難だろう
特に認証が通ってしまったものに対して「これアウト!」と検出するのはとても難しいよ
これだと口座番号の自動生成じゃ攻撃できないじゃん
口座番号+名義のリストをどっかで手に入れないといけないのでは
流出情報で何十万件も出回ってるし、何ならあなたも振り込み画面で適当な口座番号の名義人わかるよ。
ああそうか
振込み手続きで口座番号入れた時点で相手方の名義が表示されるわな
振込みを中止すればいいだけだ
Q.何があったの?
A.特定の銀行口座からドコモ口座を通じて他者が預金を引き出せる事が判明しました。
Q.僕はドコモ使ってないしドコモ口座も持ってないから安心だね
A.誰でも被害者になりえます。
Q.口座番号と名義って誰にも教えてないよ?
A.無作為に番号を入力して振り込み直前までいけば誰でも口座番号と名義は手に入ります。
Q.ATMの暗証番号なんて分かんないじゃん?間違えたらすぐロック掛かるだろうし…
A.リバースブルートフォースアタックという方法を使います。
簡単に言えば暗証番号を試すのではなく特定の暗証番号に合う口座番号の方を探す手法です。
Q.他口座に振り込むにはトークンとか乱数表のカードとかいるでしょ?
A.ドコモ口座と紐付ければ必要なくなります。
Q.ドコモ口座って簡単に作れちゃうの?
A.はい、他人がフリーメールで何万個も好きな名義で作れます。
海外送金もできる便利な口座です。
Q.銀行口座とドコモ口座って紐付けるのが大変なんじゃないの?
A.前述の口座番号、名義、暗証番号で紐付けられます。
Q.じゃあドコモ口座と提携してる銀行に口座持ってる人は危ないんじゃないの?
A.だから大騒ぎしてます。
Q.でも僕に落ち度は無いんだから補償されるよね?
現在ドコモ側と銀行側が揉めてるので不透明です。
ドコモは補償しろ(´・ω・`)
やっぱどっかが漏らしてんのかな
つい最近、ほぼ全世帯の口座の名義人やら住所やら生年月日を、促成派遣社員が閲覧した国民的イベントがあってな。
あったね。俺も応募したよ
みずほ銀行
三井住友銀行
イオン銀行
伊予銀行
池田泉州銀行
愛媛銀行
大分銀行
大垣共立銀行
紀陽銀行
京都銀行
静岡銀行
七十七銀行
十六銀行
スルガ銀行
仙台銀行
ソニー銀行
但馬銀行
第三銀行
千葉銀行
千葉興業銀行
中国銀行
東邦銀行
鳥取銀行
南都銀行
西日本シティ銀行
八十二銀行
肥後銀行
百十四銀行
広島銀行
福岡銀行
北洋銀行
琉球銀行
https://asahi.5ch.net/test/read.cgi/newsplus/1599641869/
金融庁から、主犯はdocomoだと鉄槌が!
SMSから足がつくしそもそも大量の銀行口座を扱おうとすれば大量の電話番号が必要になる。
ブルートフォースは知ってたけど
情報更新してかないと駄目だなぁ
続報ですが、金融庁がドコモに防止措置とるように指示を出したようです。皆様お気を付けください。銀行は記帳とかで並びそうですねぇ…めんどくさいことしてくれたものです。
元スレ:https://asahi.5ch.net/test/read.cgi/newsplus/1599622771/