ペイペイなどの被害 ＳＭＳ認証も突破 所有者不明携帯電話悪用か（産経新聞） - Yahoo!ニュース

ＮＴＴドコモの電子マネー決済サービス「ドコモ口座」やペイペイなどスマートフォン決済事業者を利用した不正な預金引き出しが見つかった問題で、一部でＳＭＳ（ショートメッセージサービス）を使った本人確認が突破され、被害が発生していることが１７日、分かった。ドコモ口座以外でも被害が確認された背景の一つとみられ、本人確認が十分でない携帯電話が使われた可能性がある。金融庁もＳＭＳ認証だけでは被害が抑止できないと判断、同日までに決済事業者に本人確認を強化するよう注意を呼びかけた。 【表】スマホ決済事業者のセキュリティー対策 一連の問題をめぐっては、ドコモ口座を開設する際、メールだけで口座が開設できるなど本人確認が不十分で、なりすましが容易だったことが一因とされた。ただ、その後、件数は少ないもののペイペイやメルペイなどドコモ以外のスマホ決済事業者でも同種事案が相次いで確認された。多くのケースで共通するのがＳ

[MtAsuka]

SMS認証はあくまでも特定の携帯端末を持っていることによる個人識別であって本人確認たり得ないでしょ。

[monbobori]

昔本人確認不要のプリペイド式携帯電話で詐欺が横行したのと似てる。本人でなくてもSMS送れるなら、SMS認証はなんの意味もない。

[yachimon]

データ専用SMS機能付きSIMカードなら本人確認不用らしい。 https://www.iijmio.jp/hdd/miofone/verify.html /この手のは一定の抑止にはなるはずだけど、完全では無い。

[yas-mal]

ドコモ口座だけの時に言われてたのと、だいぶ話が変わってきたな(SMS認証すらしてなかったドコモ口座のヒドさは変わらないけど)。…やっぱり、銀行側がしっかり認証するのが王道なのかな…。

[miki3k]

SMS認証は、端末の確認であって本人確認をする要素は一切無いのでは

[kuzumimizuku]

携帯電話契約含めた各種本人確認の悪用、偽装、偽造による犯行可能性までセキュリティ要件に含めるのは自分は現実的ではないと思ってるけど、世間的には「可能性があるのに防がないのはクソ」という空気になりそう。

[jumbomonaka]

決済事業者も強化できることあるならしたらいいけど、利便性低下させそうだし、むしろ銀行側の方の2段階認証を徹底させた方が話は早いのでは？

[oakbow]

PayPayあたりは（多分他も）そもそもSMS認証で本人確認済みとはしていないと思うけど。未確認でも電子マネーとしては使えるからそうやってるだけなのでは。本人確認終えれば口座に出金できる。

[a2c-ceres]

不正出金の防止が目的なら、銀行が銀行に届けられた電話番号に送信しないと。この事例ははpaypayが送信したんだよね?

[paradisemaker]

ほんと金融サービスやってる事業者のセキュリティに関する認識のレベルが低すぎる

[itochan]

SSLありのフィッシングサイトみたいな話。　／　ドコモから銀行に連携する時に、入力する電話番号を銀行サイドでチェックすると同時に、その番号でドコモ側でSMS認証すればいいのかな

[pon00]

その2段階認証は意味なくない？決済サービス口座と銀行口座紐付けするときに銀行側の情報でもう一度本人確認しないとアカンじゃない。同じ名字でも登録してない印鑑じゃ金おろせないよね。

[miyakonogi87]

電話番号を紐付けてなかったらそりゃ…「何らかの方法」ってとこ笑っちゃうね。

[feilung]

現状のSMS認証は穴があるからな。

[kirifue]

携帯電話で認証しても、携帯と本人が紐付いていないなら無意味。 #セキュリティ

[frkw2004]

個人間送金サービスのシステム構築のために認証が緩くなってるのかな？

[daybeforeyesterday]

うーむ

[diabah_blue]

加害者の本人確認してどうするのよ

[raebchen]

銀行口座には登録電話番号があるんだから、それと違う電話番号が登録されようとしてる時点でアウトだろ！💢そもそも暗証番号が漏れてるから2段階目に進めるんだから、「暗証番号は本人しか知らない」前提やめろ！😡

[minboo]

そりゃ普通、足がつかないように飛ばし携帯使うでしょ。

[santec1949]

こりゃペイペイ草も生えないな。

[and_hyphen]

SMS機能付きデータSIMは本人確認不要だから...

[Fushihara]

本人認証と本人識別の区別がついてないとよくわかる

[nanamae]

じゃあどうやって簡単に本人確認すればいいんですか？

[A-NA]

SMS認証は端末の確認だから…

[n314]

文章も変だし図も変じゃない？

[confi]

うーんうーん産経かー…しかも手口はわからんけど本人確認が不十分な携帯とか…

[saiyu99sp]

突破も何もこの仕組みで守ったことになるわけないでしょ。やるべきは銀行と決済事業者間でユーザーが一致してることの確認でしょ？

[magi-cocolog]

口座と本人の結びつきが問題なんだから、回線が不正かどうかは関係無いだろ

[haruten]

SMS認証なんて「その番号が生きてるか」の確認はできるけど、それ以上の確認はできないでしょ

[yhachisu]

銀行が口座開設時に電話番号登録させて、本人確認サービスを提供すればいいんだよ。中国はやってる。

[HACHI-BAY]

SMSを2FAする弱点。本人確認になってない。Yahoo JapanのパスワードレスもSMS。

[deep_one]

要点は「金融機関の認証を突破」する点にあるからな。手口のそれぞれには新しいものはない。

[Lat]

これは確かデート商法(デート詐欺？)でスマホのSIMを抜かれて、犯人が準備したスマホに移されてとかじゃない？そんな記事を以前見たけど。特に最近の子は電話しないのだから別のSIMが刺さってても発見は遅れるよね。

[obatakanae]

こういうのも突破というの？

[myogab]

所与の問題解決せずに進めると、禍根を残して慎重に遅らせてた方がマシなんて事はザラ。突破力のスガ政権がどんな強行繰り返してどれほどの禍根を残しまくるか。

[nack1024]

コストとして処理していくしかないんちゃうの

[mouki0911]

で、で〜SMSが本人確認と思って奴〜