ドコモ口座の波紋､銀行の大失態が浮き彫りに

「ドコモ口座」を発端とする銀行口座からの不正出金問題。その波紋が広がっている。 ゆうちょ銀行は9月16日、ドコモ口座を含む6つの決済サービスで被害が確認されたと発表した。被害件数は109件、金額は1811万円にのぼる。 被害の構図はNTTドコモの「ドコモ口座」と同じだ。不正利用者は、何らかの形で入手した第三者の名前や口座情報をもとに銀行口座と決済サービスを接続。その後、口座から決済サービスに入金し、お金を使った。 ゆうちょ銀行の場合、口座と決済サービスを接続する際の本人確認に甘さがあった。本人確認のセキュリティーを高めるには異なる要素を持っているかを確認する「二要素認証」を行う必要がある。具体的には、口座の番号を知っている「知識」、電話や通帳などを持っている「所有」、指紋や顔などの「生体」のうち2つの要素を確認する。 二要素認証の導入は2つだけ ゆうちょ銀行の口座と接続可能な決済サービスは

[anhelo]

ゆうちょ銀行の口座と接続可能な決済サービスは12あった。うちゆうちょ銀行側で二要素認証導入してたのはFamiPayとpringだけ。他10は氏名、口座番号、4桁の暗証番号、生年月日といった知識の要素のみで口座接続可能だった

[a2c-ceres]

『残る1つの「ゆめか」～とも協議を進めている』合意できないならゆうちょ側から切るしかなかろう。被害を受けるのは利用者じゃなくて口座を持つものだから。ここにいたって理解できてない収納者など信用できんしな

[Barton]

日本の銀行に企業努力なんてあるわけないだろｗ「晴れの日に傘を貸し、雨の日に傘を分捕る」のが仕事ですからｗバブル崩壊後も税金で救済してもらっておいて、高給を食み、それを当然だと思っている連中なんだから。

[yoshida-nariaki]

どちらも本人確認の杜撰さがあらわになったが、やっぱり銀行側のセキュリティに対する認識の甘さが大きいような。

[kuzumimizuku]

ドコモ口座がクソだったことは間違いなく「銀行側が現行の認証を容易に変更できないなら決済系側である程度強くするしかない」と思っていただけに「強くお願いしていた」発言は完全に墓穴で、ガッカリしてしまった。

[t_shimaya]

システムに手が回らんなら決済事業者は昔ながらの口座振替用紙を郵送して記入押印して返送すれば少なくとも住所と銀行印の確認にはなるっしょ。最初の1回くらいそれくらい手間かけてもよくね？

[ya--mada]

銀行が揃ってクソってのは異常なわけで、その原因が何か、それを探りに我々は品川・田町と霞ヶ関に調査チームを派遣した…

[ockeghem]

『Bank Payはドコモ口座と同様にメールアドレスのみでアプリの登録ができてしまう仕様だった。そして、口座とアプリをつなぐ際に二要素認証の設定をせずに接続している銀行もあった』

[Mash]

これじゃゆうちょ銀行は反社の確認も無さそう

[maninthemiddle]

そもそも決済サービスと金融機関は別のサービスなので、認証はそれぞれが責任を持って行うべき。決済サービスに2要素認証があったとしても、認証されたアカウントに悪意が無いことの担保には全くならない。

[fmn10]

この記事も本人確認と二要素認証をごっちゃにしてないか

[BUNTEN]

#どこもろ座 不安になって通帳の記帳に行ったが今のところ被害は確認できていない。

[taskapremium]

ゆうちょ銀行の口座と接続可能な決済サービスは12サービスあった。そのうち、ゆうちょ銀行側で二要素認証を導入していたのは「FamiPay」と「pring」の2つだけ。残りの10サービスは氏名、口座番号、4桁の暗証番号、生年月>

[sumida]

なんだ、この論点のとっ散らかった酷い記事は……。ゆうちょのセキュリティがザルという事に異論はないが、決済事業者マターの穴もゆうちょの責任にするのは無理があるだろう……。

[hdkINO33]

“ただ、顧客から預金を預かっているのは銀行だ。「安全性が決済事業者まかせではいけない」（大手地銀の行員）という声も多い。特に被害の出た銀行は早期に、自社としての対応策を示す必要がある。”

[takeishi]

ドコモだけの問題じゃ無かった

[daybeforeyesterday]

うーむ

[diet55]

「ゆうちょ銀行側で二要素認証を導入していたのは『FamiPay』と『pring』の2つだけ。残りの10サービスは氏名、口座番号、4桁の暗証番号、生年月日といった『知識』の要素のみで口座を接続することが可能だった。」