ニュース

【残念設計?】ドコモ口座を未所持でも不正出金のリスクがある理由

2020-09-10

真の問題点

先に挙げた本人確認や口座番号と暗証番号の漏洩は、問題ではあるが大きな原因ではない。

真の問題点は金融機関側の口座振替機能が脆弱であること。


金融機関側の口座振替機能が脆弱

口座振替が脆弱とは言ったが、どのような点が脆弱なのか。

各金融機関の振替の手順をドコモ口座のページから辿って確認できる。

ドコモ口座:対応金融機関と登録手順


例えばゆうちょ銀行の即時振替サービスの設定方法は以下の通り。

即時振替サービスの設定方法

  • ステップ1(利用規定の確認)
  • ステップ2(口座情報入力1(通帳/キャッシュカードの記号))
  • ステップ3(口座情報入力2(通帳/キャッシュカードの番号など))
  • ステップ4(口座情報入力内容の確認)
  • ステップ5(お客さま口座の暗証番号入力)
  • ステップ6(申込内容の最終確認)

    • 参考

  • 即時振替サービス・双方向即時振替サービスの操作方法-ゆうちょ銀行


    • 入力する内容は以下の通り。

    • 通帳(口座)の記号
    • 口座番号
    • 名義人氏名(カタカナ)
    • 名義人生年月日
    • 口座の暗証番号

    名義人情報があるものの、あとは口座番号と暗証番号。
    暗証番号以外は、人によっては振込先関連として知られているかもしれない番号

    もし暗証番号に誕生日など安易な番号を使っていたらアウトだ。

    そして大きなポイントはインターネットバンキングのログインを必要としないということ。

    ゆうちょダイレクトのご登録がなくてもご利用いただけますが、口座の残高や、即時振替の結果をリアルタイムでご確認いただけるゆうちょダイレクトのご利用もおすすめします。
    参考:即時振替サービス・双方向即時振替サービス-ゆうちょ銀行

    ゆうちょダイレクトなどのインターネットバンキングのアカウントであれば、アカウント番号(お客様番号)は基本的に本人しか知らないだろうし設定するパスワードの桁数も多い

    何より2段階認証をすることでより強固な本人確認が可能だ。

    しかし振替サービスはこれらを必要としないので、口座番号と暗証番号というセキュリティ的に弱い情報を使ってサービス登録ができてしまう。

    ここが最大のセキュリティネックとなる。

    そして今回の被害対象の金融機関も同様に振替サービスの脆弱性を突かれている。


    銀行は使いづらいオンラインバンキングを放置
    安易な認証を導入
     もともとネット口振はこれほど脆弱なサービスではなかった。登場した当初は手続きの際に口座登録の際にオンラインバンキング用のパスワードや認証カードの情報を入力するようになっていた。この手順を維持していれば、今回の犯行は起きなかったはずだ。ところがこの仕様では普及が進まなかった。オンラインバンキングを開設していない人や、開設していても暗証番号や認証カードを忘れた人が多かったことが原因である。

    参考

  • 「ドコモ口座」不正利用、新たな犯罪を許す銀行のセキュリティの大問題 | News&Analysis | ダイヤモンド・オンライン



    • 口座振替機能を使う全てのサービスに影響

    実は最大のネックが口座振替機能にあると、問題はドコモ口座に留まらない

    影響は口座振替機能を使う全てのサービスに波及する。

    ドコモ口座でなくても他人の口座からの振替が簡単にできてしまうのであれば、原理的には口座振替を使う他のサービスからも同じように脆弱性を突いて不正振替ができてしまうことになる。

    なにそれ、やばいのでは・・・
    やばいですよ
    仮にドコモ口座のサービスが終了したとしても、金融機関側で口座振替の脆弱性に対策をしない限りは同じ事が起きる可能性がある。
    口座持ってるだけで不正利用のリスクがあるとか恐ろしすぎる


    対策

    では不正利用されないように対策する方法は無いのか。

    できることとしては3つある。

    不正利用への対策

  • 銀行口座の出金履歴をチェックする
  • ドコモ口座を作成して銀行口座をと紐付ける
  • 銀行口座変える(解約する)


    • 銀行口座の出金履歴をチェックする

    不正利用そのものを防ぐわけではないが、まずは不正利用されていないかチェックするのが大事だろう。

    ドコモ口座と提携している金融機関には以下の通りなので、口座を持っている人は出金履歴を確認してみると良いだろう。

    ・みずほ銀行・三井住友銀行・ゆうちょ銀行
    ・イオン銀行・伊予銀行・池田泉州銀行
    ・愛媛銀行・大分銀行 ・大垣共立銀行
    ・紀陽銀行・京都銀行・滋賀銀行・静岡銀行
    ・七十七銀行・十六銀行・スルガ銀行・仙台銀行
    ・ソニー銀行・但馬銀行・第三銀行・千葉銀行
    ・千葉興業銀行・中国銀行・東邦銀行・鳥取銀行・南都銀行
    ・西日本シティ銀行・八十二銀行・肥後銀行・百十四銀行
    ・広島銀行・福岡銀行・北洋銀行・みちのく銀行・琉球銀行

    「ドコモコウザ」の名義で出金履歴があると被害にあっている可能性が高い。


    ドコモ口座を作成して銀行口座をと紐付ける

    実はドコモ口座を作成して、銀行口座をと紐付けしてしまうのも対策になる。

    何故なら同じ銀行口座を2つのドコモ口座と紐付けできないからだ。
    先に登録しておけば詐欺師に利用されることもない。

    ドコモによると、ある銀行口座がすでにドコモ口座に登録されていれば、その銀行口座は別のドコモ口座と連携できないため、なりすましは難しい。
    裏を返すと、ドコモ口座を使っていない場合は、銀行の暗証番号などが盗まれると、他人が勝手に開設したドコモ口座と連携させられ、銀行預金からお金を引き出される恐れがある。

    参考

  • 「ドコモ口座」使っていないのに被害 不審な取引に注意(朝日新聞デジタル) - Yahoo!ニュース


    • ん~
    でもそれって「不正利用されたくなければドコモ口座を作れ」と脅されて作ってるみたいで凄く嫌な感じなんですけど。
    わかる。
    結局嬉しいのはドコモになっちゃうし。


    銀行口座変える(解約する)

    銀行口座変える(解約する)のもひとつの対策だ。

    ドコモ口座と提携していない金融機関の口座に預金を移せば、少なくともドコモ口座経由の被害にはあわない。

    しかし重要なのは移す先の口座振替機能がどうなっているのか

    今回の被害銀行と同じような口座番号と暗証番号で振替できてしまうと、ドコモ口座と提携していなくても似たような被害にあう可能性が残ってしまうので要注意だ。




    ドコモ口座を未所持でも不正出金のリスクがある理由 まとめ

    今回のドコモ口座の不正出金について、被害にあう可能性は以下の通り。

    不正出金被害にあう可能性

  • ドコモ口座持ってない→関係なく被害にあう
  • 携帯がドコモじゃない→関係なく被害にあう
  • スマホや携帯持ってない→関係なく被害にあう
  • 対象銀行に口座はない→今回は関係ない

    • 問題点は、銀行口座の名義人成りすました他人が、セキュリティ強度の低い「口座番号と暗証番号」を使ってドコモ口座振替ができてしまうから。

    対応策としては、以下のようなものがある。

    不正利用への対策

  • 銀行口座の出金履歴をチェックする
  • ドコモ口座を作成して銀行口座をと紐付ける
  • 銀行口座変える(解約する)

    • < 1 2>

    ITipsと同じようなブログを作る方法

    ブログに興味がありますか?

    もしブログに興味がある場合は↓このページ↓を参考にすれば、ITipsと同じ構成でブログを作ることができます

    サーバー、ドメイン、ASPと【ブログに必要なものは全て】このページに書きました。

    参考

    同じ構成でブログ作るのはいいけど、記事はマネしないでネ (TДT;)

    ランキング参加中

    にほんブログ村 IT技術ブログへ

    他にもブログやSNSで紹介してくれると励みになります。

    はてブのコメントで酷評されると泣きます(´;ω;`)

    -ニュース
    -, ,

    © 2024 ITips