Hiromitsu Takagi on Twitter: "この指摘が的を射ていると思った。そもそも口座振替って誰にでも振替先となる（自動引き落しさせる）のを認めるものじゃないのでは？公共料金だったりクレジットカードだったり、学会の年会費にも使えたりするが、それなりの組織を介した口座振替依… https://t.co/U2z1Q6da8v"

この指摘が的を射ていると思った。そもそも口座振替って誰にでも振替先となる（自動引き落しさせる）のを認めるものじゃないのでは？公共料金だったりクレジットカードだったり、学会の年会費にも使えたりするが、それなりの組織を介した口座振替依… https://t.co/U2z1Q6da8v

[toubanjanny]

最近のfintech系は「え、それでいけるの？」というのが増えてて便利だなーとは思うけど、根っこは相当危ういというのが結構ある気がしてる。これからもっと出てきそう。

[casm]

ひろみちゅ博士も、口座振替は収納機関への信頼ベースのシステムでありドコモが信頼を裏切ったとの見方。

[takeim]

ひろみつ先生に「的を射てる」とツイートされたい。

[uunfo]

口座振替依頼書一枚でお金引き落とされ放題なのまじ？とは思ってた。その会社がめちゃくちゃな請求してもその金額が引き落とされるんだよね。クレジットカードの定期課金も同じ。世の中は信頼で成り立っている。

[kuzumimizuku]

ドコモ口座側も、参加する地銀側も、仕様の説明段階で「これはまずいよ」という人はいなかったのかな？セキュリティ要素を単純に羅列した時に「暗証番号」しかないことに気づかないとは信じられない。

[whkr]

これ理屈上は、本人確認が緩い公共料金があれば他人の口座から勝手に引き落とさせることも可能なのではなかろうか。バレやすいから誰もやらないだけで。

[hirata_yasuyuki]

「射ていると思っ…」で切れていたので、「たら大間違いです」かな？と思ってドキドキしながらブクマ開いた。

[iinalabkojocho]

なるほど。 ドコモの与信の考え方がおかしいのか。適法だがこのシステムをそう使うとは思って作成運用されてない。

[addwisteria]

犯収法施行規則13.1.1を前提にしたスレッドでこれは最も。口振は信頼できる機関から紙面で銀行に回付され、機関の信頼をもって引き落としを許可する性質。今回の「本人確認」は適法なんだけど、時代にそぐわない。

[asakura-t]

やっぱこういう話になるよな。

[tick2tack]

信頼できる組織向けのシステムが個人に開放されてしまった形だという指摘。やるならドコモが保障をきちんとする形でないとダメってことかな

[tripleshot]

この件はまあ、ほんとに、この通りだなと思う。引き落としする側が変なことをしないちゃんとした組織である、という前提のシステムで、金額は引き落とし側で決められるんだもん。

[genosse]

この事件について色々解説を読んだ中で思い浮かんだのは、次の名言だ。「なぜフェンスが設置されたのかわかるまで、絶対にフェンスを撤去してはならない」（G.K.チェスタトン）

[chintaro3]

　まぁ履歴がキッチリ残っているはずだから、今後の捜索待ち

[xlc]

そもそも任意の金額を引き出せる口座振替という制度自体がバグなんだと思うぜ。中国では毎月請求に対して利用者が能動的に支払う。QR決済なのでたいした手間ではない。

[nmcli]

弊社は例えば税理士の顧問料を口座振替にしてるのだが、設定を済ませてあると、税理士のシステムで弊社の通帳から自由な金額を簡単に引き出せるそうな。それを聞いて、口座振替が性善説で動いてるのだなあと理解。

[namisk]

LINE Payの口座登録は…銀行側ネットバンキングにログインさせて登録か。妥当。/PayPayは…暗証番号だけだ、地銀ネットのWeb口振っぽい。もしWebUIがあれば狙われてたかも。

[tohokuaiki]

えー。あれ使わせてたのか…納得…

[Silica]

携帯電話と銀行口座という本人確認が必要なはずのもの二つを利用する振り込め詐欺が何故摘発されないのか不思議でならないんだけど

[hetoheto]

気になるのはこれはドコモ口座だけの問題なのか？と言う点。知名度で自動振込を許可しているなら他にもある可能性も？

[natu3kan]

固い組織しか使えない自動振込を自由に使えると、こういうことになると。

[isrc]

地銀ネットワークサービス(株)の「Web口振受付サービス」を個人に使わせたdocomoが悪いわぁ 地銀ネットワークサービス(株)もよく使わせたな

[udongerge]

新しい便利が産み出されれば新しいセキュリティホールを探す者が現れる。ドコモ口座に移動した資金がその後どう動くのか、逐一追跡ができればいいんだろうけど。

[kyousuke104]

それはそうなんだけど「Web口座振替サービス」はドコモ口座以外にも使われてるだろうし、その際には本人確認に暗証番号がやり取りされているの？俺の暗証番号を勝手に使わないで欲しい。

[minamishinji]

なんとかPayの口座連携大丈夫かな…

[electrolite]

え、金融アプリでセキュリティリスクの仕様レビューがされてないんだ、、、後からはなんとでもいえるけど、、、ドコモお得意の丸投げですか、、、

[kzm1760]

こうゆうのを見ると、fintecまわりはまだ利用者のリテラシーが充分に無いと利用することですらリスクを抱えるというレイヤーなんだということが分かった。（早く収束して使うだけならリスクの無い世界になってほしい）

[sho1rou]

えっ、これでオーケーなの？ってのはいくつかあった。せめてオンラインバンキングでのログインと暗号表による認証くらいは必要なのでは？

[soyokazeZZ]

このへんの仕組みを理解しててシステム組める人って少ないだろうな

[NetPenguin]

まぁ、これだよなぁ……(´・ω・`)

[takeishi]

ジャパンネット銀行が頑なにオンライン口座振替受付対応してくれなくて不便なんだが（郵送で3週間かかり、しかもトークン認証による確認まで要求する）こういう事件見ちゃうと対応しなくて正解だったんだ…。

[haruten]

関係ないけど、的を「射」ているは間違い、という指摘があるのはビックリ。そういう指摘をするなら「現在は”射る"も"得る"も誤用ではない」くらいのことはわきまえていてほしい。

[rti7743]

公共料金の自動引落しも信用の上に成り立っている危ないものだからな。クラックされたら大変だよな。ログの監視と監査システム作りこんで怪しそうな取引には警告を上げるしかないんだろう。最終的には保険かな？

[stealthinu]

ドコモのユーザ確認が甘いのに高い信頼が必要な口振の権利を与えてるのが根本的問題だという指摘

[masadasu]

ITを使って便利な社会を築こうとしたら当然こうなるのは分かってる。失敗を重ねながら前進していくしかない。それにしてもあまりに稚拙なシステムだった。

[Dragoonriders]

本人確認どうやって担保する？　に帰結。ドコモが実体的に直接本人確認しないといけないのに、ステアドdアカウントで銀行口座が登録出来たことを持って銀行が求める本人確認としたのでは、何の確認にもなってない。

[NOV1975]

もう一度、口座振替契約とはどうあるべきか、を考えないとね。新型決済の現金連携スキームはほとんどがこれなので。

[cinefuk]

公共料金引き落としは「利用者の住所」に紐付いているけれど、「携帯電話の契約」に紐付かない（メアドだけで登録できる）docomoIDに対して口座振替ができる仕組みって、銀行のセキュリティに対するhackで、docomoは共犯だ

[doksensei]

なるほど関係ないかもしれないが、Dカード？の人のdポイントが裏面のバーコードなのも気になる。定時の際セキュリティコード丸見えなんだよね。よく出すなあと思って見ている

[lastline]

ドコモ口座が「Web口座振替受付サービス」の想定から外れているのはそうなんだろうけど、根本的に「Web口座振替受付サービス」に脆弱性があるわけで、見直しは必要かと。