はてなキーワード: 連携とは
何者かが連携する銀行の預金者になりすましてドコモ口座を開設したとみられていますが、先月下旬不正なドコモ口座が作られた際新潟県内とみられる同じIPアドレスから何度も不審なアクセスがあったことが関係者への取材で分かりました。
数分の間隔でドコモ口座と銀行とをひもづける手続きが行われ、多い時には1日に数十件から100件にのぼっていたということです。
■対抗手段
今回の件で言うと、地銀のシステムはATMか窓口だけの物理的導線だけを前提としてたわけで、地方銀行に全国規模のリクエストが想定されるシステムと連携するような作りではなかったわけなんだよね。なので、地銀としては寝耳に水なわけ。
そこをうまく調整する責任は技術的な場所的に地銀ネットにあったと思うけど、そもそもの話、地銀ネットの株主は各地銀共同なわけだから、逆向きの監査能力は無いに等しいわけよ。
で、地銀ネットはPayPayとかもユーザなわけだけど、あっちはアプリ前提で本人確認前提で、不正リクエストの母数を絞ってたので攻撃者として旨味がなかったんじゃ無いかな。
ある意味対策してなかったけど、仕組み上運がよかったと言えると思う。
それを無視すれば十分にPayPayでも起こりうる事案だったかなと思う。
で、今回の立場、能力的にどこがこの問題を解決できる/未然に防ぎうる/すべきだったかと言うとやっぱりNTTドコモだったわけよ。
きちんと接続先銀行がセキュアであることの確認だとか、インシデント時の被害拡大の有限性は確認すべきだったかなと思う。
まあちんこってことさ
銀行には預貯金以外に融資の役割があるんだけど、地方の融資に対し各企業や個人のニーズに合わせて草の根的に対応している。
基本的にメガバンクの融資基準は関東圏の金持ち基準で、今までの金回りが突然たちいかなくなる地方企業は出てくると思う。
よくある話が、メガバンクだと住宅ローン通らなかったけど、同じ条件で近郊の地方銀行なら通ったとか。
そもそも、メガバンクだけにこの融資機能が集中すると業務パンクすんじゃないかな。
まあ今回の件で言うと、地銀のシステムはATMか窓口だけの物理的導線だけを前提としてたわけで、地方銀行に全国規模のリクエストが想定されるシステムと連携するような作りではなかったわけなんだよね。なので、地銀としては寝耳に水なわけ。
そこをうまく調整する責任は技術的な場所的に地銀ネットにあったと思うけど、そもそもの話、地銀ネットの株主は各地銀共同なわけだから、逆向きの監査能力は無いに等しいわけよ。
で、地銀ネットはPayPayとかもユーザなわけだけど、あっちはアプリ前提で本人確認前提で、不正リクエストの母数を絞ってたので攻撃者として旨味がなかったんじゃ無いかな。
ある意味対策してなかったけど、仕組み上運がよかったと言えると思う。
それを無視すれば十分にPayPayでも起こりうる事案だったかなと思う。
で、今回の立場、能力的にどこがこの問題を解決できる/未然に防ぎうる/すべきだったかと言うとやっぱりNTTドコモだったわけよ。
元記事でも
であって、本人は責められてないんだが
(んでそれに対して県は「女性はWHO職員となった後も県の非常勤顧問となって連携してるから問題なし」としてるわけで)
本人責めてるのはアホな増田だけ
「推測情報」と「確定した情報」を区別できない人多すぎて凄い。
を把握していた。この情報を使ってdアカウントを新規作成、そのままドコモ口座に銀行紐付けしてチャージした。
この2つは「ありえない」わけでは無いが、「確定」したわけではない。
ドコモ口座の口座振替サービス画面からアタックされた、とはどこも報道していない。
ちなみに、リバースブルートフォースアタックするにはドコモは微妙であったりする。dアカウントの名前は簡単に変えられないからだ。
もしやるのであれば、他の口座振替サービスを使うもの経由で行うだろう。PayPay、メルペイあたりがそうだ。
そもそも、口座振替サービスへ遷移するときに名義を変えてしまえば通るとか、そういうやり方もある。「口座振替サービス」で対策してたかどうかでしかない。
ついでに、所有口座すべての口座振替登録しているサービスの一覧を銀行に出してもらったほうが良い。(普段行う業務ではないので、銀行側が簡単に出してくれないのだが)
もし自分が犯人なら、他のサービスも連携している。特にメルカリ(メルペイ)は連携行うだろう。
「メルペイスマート払い」を使えば、通帳に記載させることなく数万円程度の金を借りられてしまう。
メルペイにまともな住所を登録してないだろうから、メルペイ側が口座振替で強制回収するか、債権回収系ルートで初めて知ることになる。
(前々スレに書いた者です、要点再々掲)
●少し時間はかかるけど、ドコモ口座に勝手に紐付けされてないか確認可能
最終的に、店舗行って通帳、カード、口座の印鑑、本人確認書類持ってったら、自分の口座がドコモに紐付けされてるかどうか調べられると言われた
店舗では局員さんもよく分かってなくて上部に問い合わせして、調べてくれた
その口座に登録されてる引き落とし先とか、ネット口座連携とかは必ず事業主体ごとの識別番号と事業者名が載ってる一覧表
登録先との入出金実績がなくても、紐付けした時点で載ってくる
ただしその資料は渡せない、ドコモ口座の識別番号も教えられないとのことで、その場でじっくりみて確認した
この案件で来る人はまだほとんどいないみたいだから、局員さんも調べ方を知らない、いそがしかったり雑な局によってはわからない、出来ないで済まされる可能性もあり
●時間があるならちゃんと対応してくれそうな局で、確認可能(このレス見せたら調べ方を伝えられて話早いかも)
●時間がないならとりあえず全額引き出す(または必要最小限だけにする)
●行くならゆうちょが混み出す前に行け
今ゆうちょダイレクトに問い合わせたらゆうちょダイレクトorゆうちょダイレクトプラスの奴も貯金口座持ってるだけで生年月日、口座番号、暗証番号の3つでドコモ口座と連携できる
今日からゆうちょ銀行は連携停止したが昨日までにドコモ口座連携されてたらこれからずっと安心できない
さらに聞いたがドコモ口座連携あるかの確認やドコモ口座連携解除は窓口にキャッシュカード、届け出の印鑑、免許証持っていけばやってくれるそうだ
(引用おわり)
ドコモ口座はさっさと出金機能停止して銀行からドコモ口座全連携者に口座の登録通知ハガキを出してくれ
自分で平日昼に銀行窓口に出向いて問い合わせしなければ勝手に連携されてるか分からないのがゴミカス
そんなことに休み使わせるんじゃねえ
はてぶに上がってるほうでは、
地銀側は、連携先(ドコモ)で本人確認する前提でサービスを提供してるのに、それをドコモがやってない(のでドコモが悪い)
に賛同してるよね?
この指摘が的を射ていると思った。そもそも口座振替って誰にでも振替先となる(自動引き落しさせる)のを認めるものじゃないのでは?公共料金だったりクレジットカードだったり、学会の年会費にも使えたりするが、それなりの組織を介した口座振替依頼書しか受け付けないはず。https://t.co/O9DM6ME6Fh— Hiromitsu Takagi (@HiromitsuTakagi) September 9, 2020
それらは、刺激に対して特定の反応をする機構の組み合わせだけで成り立っており、
現代人の感覚では、それは有機物で構成された機械と言ってよいだろう。
その機械と変わらない生物が進化の過程で最初に獲得したのは、記憶力だ。
刺激とそれに対する反応だけの組合せの生き物に、記憶力が付くと
生存が危ぶまれる危険な場所を避け、記憶済みの餌場を効率よく巡回する。
記憶力が発達すると、複数の記憶を組み合わせて最適な行動ができるようになる。
ちなみに微生物であっても、いわゆる脳とは別のメカニズムで記憶する機構をもつものもいるし、
昆虫などは、体内に小さな記憶脳を体の部位毎に持っていて、それらの記憶脳が連携して動作している生き物である。
記憶を組み合わせるだけの生き物がさらに進化して、記憶処理装置それ自身が新しい記憶を創り出せるようになったとき、
この原始的な自我には、哲学者が考えるような高度な機能は何もない。
一般的に銀行と口振受付契約をする収納機関は「本人確認がなされている人が連携されてくる」ことが信頼ベースで担保されていることが前提になっているはずなので、まさかこのWeb口振受付そのものが本人確認の手段になっているって思って作ってないと思いますよ。
https://novtan.hatenablog.com/entry/2020/09/09/102301
ここ読んでて、ちょっと前に話題になったKyashって銀行口座登録で本人確認ヨシ!じゃなかったっけと思って検索したらやっぱそうだったわ。
銀行口座を登録したにも関わらず本人確認アカウントとならない場合は、登録を行った銀行口座の本人確認が完了していない可能性がございます。
https://support.kyash.co/hc/ja/articles/900002136303
やったぜ!これでKyashのリアルカード発行できる! 顔写真付きの身分証明書がなくても、銀行口座登録で本人確認できるようになったの神すぎっすよ。Kyashさん
https://twitter.com/takara2314/status/1302955604609122304
Kyashの場合、アカウント作るのSMS認証だけでいい(代行業者使えばいくらでも通せる)し、今回のドコモロとほぼ同じ状況じゃん
実際に問題おこらなかったとしても、今回の件でなんとかPayに口座紐付けやめとこ・・・ってなる人増えるだろうし、アップデート直後にこれは「持ってない」といわざるをえない