docomo口座と自分の銀行口座が紐付けられていたら被害は無い⁉️○○PAYに感じた胡散臭に通じるdocomo口座不正送金
✅ d払いユーザー
+ = ◎
自分の銀行口座紐付け済み
😡😡😡😡😡😡😡😡😡😡😡😡😡😡😡
✅ d払いユーザー
(自身の口座未紐付け)
+ = ❌
d払い口座を未使用o r無認識
急に情報が出て、世間をざわつかせているdocomo口座。雪崩れを打つがく金融市場を震撼とさせつつあるdocomo口座の不正使用問題が実にやばい‼️
なんと現在、docomo口座開設済みの上、自分の銀行口座からチャージ出来るよう紐付けをしていたら、不正チャージで勝手に自分の銀行口座から預金が抜かれることはない⁈
それは一docomo口座=一銀行口座しか紐付けられないからだ。
NTT docomoとは縁もゆかりも無く、普通に暮らしを営んでいた方が、勝手に数十万円の大金をわざわざ預けていた銀行口座から抜かれて、その後の騒動の矢面に立たされてしまう。
一方のdocomo口座ユーザーは、使用停止になることなく、サービスの利便性を享受したまま。その間も提携先銀行のうち、サービス停止を行なっていない銀行ユーザーは、預金保護の対象からは実質外されたまま、不安な毎日を送るなんとも理解しがたい逆転現象の状態。
このdocomo口座なるもの、docomoのユーザーでない方にはピンと来ないと思う。
口座という名前ではあっても、誰もがメールアドレスがあれば作れるもので、身分確認が厳格な銀行口座とは異なる新タイプ決済サービス。
世の中に溢れている○○PAYと同じようなものと思ったほうが近い。個人的には○○PAYは使ったことがないのであるけど。
中国からの観光客が大挙して日本に来るようになった時、爆買いブームに便乗しようと、こぞって導入していた決済サービスに銀嶺カードと共に、ウィチャットPAYのようなスマホ決済。
その時にこのサービスはクレジットカードの普及があまり広がっていない、中国ならではの事情からと理解していた。
その後、中国は世界一のキャッシュレス大国になる訳だが、日本もひきづられるように同様のサービス企業されたところ、満を辞してセブンPAYがリリース時の不正使用問題が起き、QRコード決済のイメージは最悪になった。
これだけ類似のサービスが乱立。競争に破れたサービスは同業に吸収されていく。かたや大盤振る舞いによる還元キャンペーン。
今回露呈された綻びはdocomoサイドの問題ばかりではなかった。一部の地方銀行とゆうちょ銀行とdocomo口座の紐付時に本人確認の緩いところの隙をつかれてしまう。
一番の問題はドコモ口座を本人確認を自社でしないで他社(銀行側)に丸投げしていたこと。
身分確認が厳格な銀行口座を紐付けすることで、そのドコモ口座は安全であるというお墨付きを与えるという、"銀行のセキュリティに勝手に相乗りビジネスモデル''の欠陥?
を突いた事件である。その結果として他の口座が紐付けされたことを、本人に通知をするセキュリティを採用していなかった地方銀行と一部の大手銀行、ネット銀行が標的となった。
現在までにわかっていることをまとめてみた。
Q.今回の騒ぎはいったい何があったのですか?
A.金融サービス提携している特定の銀行口座から、ドコモ口座を通じて知らない他者が預金を引き出せる事が判明しました。
Q.自分はドコモサービス使ってないし、ドコモ口座も持ってないから安心だよね?
A.いえ、銀行口座が該当する銀行に開設済の誰でも被害者になり得ます。
Q.口座番号と名義、まして暗証番号ってそんなもの誰にも教えてないよ?
A.無作為に番号を入力して振り込み直前までいけば誰でも口座番号と名義は入手できます。
にんいの暗証番号を逆に遡って、口座番号と繋がれば、たとえ他人でもその口座の金を自分のdocomo口座にチャージ出来てしまうのが問題なのです。
Q.ATMの暗証番号なんて普通には分かんないじゃ?もし複数回間違えたらすぐロック掛かるだろうし…
A.それが、任意の暗証番号を用いてリバースブルートフォースアタック、という方法を利用していることが判明。簡単に言えば暗証番号を試すのではなく特定の暗証番号に合う口座番号の方を探す手法です。
Q.他口座に振り込むにはトークンとか乱数表のカードとかいるでしょ?
A.ドコモ口座と紐付ければ必要なくなります。このあたりは○○PAYと一緒ですね。
Q.よくわからないのはドコモ口座って簡単に作れちゃうの?
A.はい、他人がフリーメールで好きなだけ好きな名義で作れますから、今回の恐ろしい状況が生まれてしまったのです。海外送金もできる便利でお得なな口座です。
Q.銀行口座と誰が作ったかわからないドコモ口座って紐付けるのが大変なんじゃないの?
A.前述の通り口座番号、名義、暗証番号で紐付けられます。セキュリティのしっかりしている銀行なら2段認証が必要で、本人に変更確認のメールが入るので分かってしまうのです。
Q.お金引き出されても自分に落ち度は無いんだから補償されるよね?
A.現在ドコモ、被害銀行、金融庁が早急な対応策を検討中です。なお金融庁からはしっかりと対応するべきとの指示が出されていますので何らかな動きが出てくると思われます。それまでは持ち出しになりますね。
Q.対象の銀行に口座があるんだけどどうすればいいの?
A.直ちに記帳をして『ドコモコウザ』名義への出金が無いか確認してください。 身に覚えのない出金があれば銀行、警察へ相談してください。
提携銀行となっているのは以下の金融機関35行で東京三菱は入っていない。
みずほ銀行 三井住友銀行 ゆうちょ銀行 イオン銀行 伊予銀行 池田泉州銀行 愛媛銀行 大分銀行 大垣共立銀行 紀陽銀行 京都銀行 滋賀銀行 静岡銀行 七十七銀行 十六銀行 スルガ銀行 仙台銀行 ソニー銀行 但馬銀行 第三銀行 千葉銀行 千葉興業銀行 中国銀行 東邦銀行 鳥取銀行 南都銀行 西日本シティ銀行 八十二銀行 肥後銀行 百十四銀行 広島銀行 福岡銀行 北洋銀行 みちのく銀行 琉球銀行
うち被害が確認されたのは10行であり、二段階認証を取り入れている銀行は被害行は発生していない。
これまでに不正な預金の引き出しが確認された銀行は、
▽仙台市の七十七銀行▽岡山市の中国銀行▽福島市の東邦銀行▽鳥取市の鳥取銀行▽大津市の滋賀銀行▽岐阜県の大垣共立銀行▽和歌山市の紀陽銀行
▽青森市のみちのく銀行▽イオン銀行▽ゆうちょ銀行 計10行
なんといってもゆうちょ銀行が含まれているのが被害の拡大を危惧する。
この話題を報じる書き込みサイト内でのセキュリティの考え方を分かりやすくした分類があったので、最後に紹介しておきます。
口座番号(結構割りやすい共有秘密。ほぼユーザIDに等しい)
・暗証番号(一応は共有秘密だけど、この要素だけで承認するにはリスクが高い)
・口座残高(通帳への記帳手続き、またはインターネットバンキングを使った残高照会の手続きが前段に加わる)
→ 残高の入力を求めると、それだけでハードルが上がる。前段で別の本人確認の手続きがある分、暗証番号と口座番号よりは難易度があがる
・パスワードカード(暗証番号とは別に銀行と共有する共有秘密が加わるので、カードの漏洩を防ぐように利用者が運用すれば、本人確認の難易度が上がる)
・ワンタイムパスワード(パスワードカードの上位互換。ランダムだがシリアル番号を軸にした規則性で共有秘密の確認可能性を強化して、乱数入力への攻撃耐性があるので、パスワードカードより強固)
・過去に通知した取引明細を用いた確認(平成n年y月z日に行った、とある手続きで用いたシリアル番号を入力せよ)
→ これも共有秘密として活用できる。
・事前登録した電話番号へのコールバック
→ 事前登録時に本人確認の手続きが入るのでセキュリティ担保となる
・電子メールによる認証者側からの共有秘密の通知
→ 媒体は電子メールだろうとSMSだろうとかまわない。特徴的なのはワンタイムパスワードに近似する担保が得られる。
💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰💰
追記
ようやく昨夜(10日)になってNTTドコモから初めてリリースが出ているようです。
また今月に入って短期で被害が集中。昨年5月の時点で被害が報告されるものの、対策が後手に回ったことなどが報じられ始めました。これは想像以上におおごとになってきています。
やっとドコモ自身の会見が10日夕に開かれ謝罪と補償、対策の話が出ました。現在新規の口座開設は停止されていますが、既存口座はそのままなので今後も該当の銀行口座を持っているユーザーは不正なチャージに怯えたままです。今回の報道でやり方、ピンポイントの攻撃先を知った新たな不審者が、新規の不正チャージを試し始めたらドコモはいったいどうするのでしょう?
ゆうちょ銀行が本日(11日)午前中からドコモ口座への入金(チャージ)機能をストップしました。これでゆうちょユーザーは安心です。
すでに被害銀行は12行、約2000万円に達しています。どこまで広がるのでしょう?心配です。
一言で言うならdocomo口座は即刻止めるべき❗️
ドコモは顧客保護の観点が抜け落ちていると言わざるを得ません。個人的に以前、ドコモユーザーだった時に誤って手数料を引かれていたのを指摘したところ、非は認めてくれましたが返金は毎月の通信料との相殺でお願いしたいと言われて、唖然とした思い出があり、腹がたちましてすぐに解約しました。その姿勢こそがドコモであり、今も変わっていないなあという印象です。
二回目の記者会見を行い、被害額が増加しているにもかかわらず口座との紐付けは停止しないとのこと。被害額はまだまだこれから増えていくのでしょうか?怖いです。
やっぱりと言うか、ゆうちょ銀行は他の決済サービスでも同様の被害が出ていたことを公表しました。被害の広がりは予想以上です。
ついにゆうちょ銀行自身のデビットカードサービスに穴があることが判明。ゆうちょ銀行は特に地方においては、銀行の支店もない地区が多く頼りの綱。ATMまで距離があるため記帳を定期的にしている人も年金受給者以外は案外少ないのではと危惧されています。ゆうちょ銀行の早急な対応を求む。
ついにゆうちょ銀行の被害が6000万円を突破!
銀行サイドも把握に時間が掛かっているようで、次から次から出てきて被害額が雪だるま式に大きくなってきているようです、特に普及率の高いゆうちょ銀行。
今後も追加の情報はここに載せていきます。