元はと言えば口座の情報パクられてるバカが1番悪いじゃん
5以下、5ちゃんねるからVIPがお送りします2020/09/11(金) 04:12:49.484
いや犯人が一番倫理観なくて悪いだろ
銀行に口座作るなってだったら銀行という業務が合理じゃなくなるし
口座の情報はどっかから流れてるかもしれんし本人は悪く無いだろ
ガバガバシステム作ったやつと、それを良し!通れ!しちゃった銀行がいけないんだよ
犯人はさ…バレるの分かってやるって
バカなのかな?
口座番号なんて振り込みのときに相手に開示するもんなんだから
基本的に漏れる前提でシステム組むべきなんだよ
口座守る義務あるのにあんなガバマンシステム許可してる銀行終わってる
許可まではまだいいけど、現実に犯罪に利用されてるのにチャージ停止しませーんwとか何やってんだろうマジで
ドコモ「提携銀行に口座持ってる数千万人の皆さーん! 自分で連携されてるか確認してきてくださいねぇー!」
立ててすぐに自分のアホなミスに気付いて顔面発火で逃亡
提携されてるかって窓口行って確認しなきゃダメなの?
平日に行けねえよww
自分の貯金が犯罪者に盗まれてるかもしれないし、その対象が莫大な人数なのに、被害の確認すらろくに出来ねえってこれおかしいよ
>>13
公式で言ってんじゃん
使ってるやつは1日で1万3千人
被害者はこれまででたったの60人
たかが60人のためだけに止めるとかないわwって遠回しどころかかなり直接的に言ってるように聞こえたわ 地銀が連携時OTP必須にすれば済む話
まぁやんないんだろうけど
口座情報はブルートフォースで収集可能
暗証番号は逆ブルートフォース
だから口座持ってるやつはその口座をどこにも誰にも教えてなくても被害者になり得る
まあ地銀にも非はある
だが、ドコモが依拠するフィッシング説については金融庁の見解示されるまでは疑いの目で見ておく
俺はまだリバースブルートフォース排除してない
犯人、自分の講座でもやらかしてもdocomoから補償受けちゃったりして
ブルートフォースできるシステムにしたドコモ
それを見抜けなかったゆうちょ
どっちも氏ね
>>22
というか、本件が本当はフィッシングかとかも実はどうでも良くて、これが可能な体制だったこと自体システムの信頼性の問題で金融庁から処分受けて然るべきと思う 日常的に個人情報の売り買いしてるからそういう事になるんだよなあ携帯各社よ
総当たりかどうかなんてアクセスログ見れば一発でわかることだが
それに言及しないのは隠蔽かログさえ取ってないかの二択
この件こういう風だったり別の角度からだったり色んなタイプの誤解してる奴めちゃくちゃ多いよな
結論からいってこれ利用して悪さしようとした場合情報なんて一切いらん
ダイアルロック式の3桁アナログ施錠を1から999まで1ずつずらしてって当たったらアウトみたいな事が地でできる爆弾セキュリティだよ
被害額1800万円くらいらしいけど巨大企業のドコモにとっちゃ鼻くそみたいなもんだよな
>>32
総当りアタックなら早々にそう言ってんだよなあ >>34
金融システムの信頼性という観点から見れば、それが可能だっただけでもアウトなんだが
実際どうだったかはあまり問題ではない(被害者救済と捜査の文脈でしか意味を持たない) 総当たりが順番通りにしてもらえれば、ログ万能主義のみなさんも満足いけそう。口座番号を乱数で散らしてアクセス間隔も散らせば全然わかんないと思う。
まあ、被害が全国のさまざまな銀行に散ってて、さらにドコモ口座の中でも要求レベルが低いものからしか出てないという状況証拠からしてもリバースブルートフォース濃厚だと思うけどな
フィッシングでこれならすごい偶然だわ
>>38
一昨日の時点で「明日サービスとめまーす」って言って明日じゃねーだろカスとまた炎上してたよ 昨日コンビニで確認したら金引き出された形跡なかったわ
口座勝手に作られて勝手にひも付けられるとか怖すぎる
>>41
バックドア作られてるようなもんか
引き出されてなければひとまず安心だけど提携されてるか確認するにはまた別で窓口いかにゃならんのかな
くっそ面倒だな クッソ面倒だけど安心のためには仕方ないから今日やってくるか…
>>38
新規のドコモコウザ名義は銀行が一旦止めて確認してるんじゃないかな
さすがに対策してないってことはないと思う >>42
バックドアなんてないぞ
名刺持ってけばツケで飯食えるみたいなもんだぞ RBFみたいな誰でも分かる理屈をドヤ顔で「ダイヤル錠が〜w」とか解説してる奴らって恥ずかしくないのかな
>>46
その、誰でも分かる理論を>1が理解してないからわざわざ書いてんだろ?
お前のその流れ読めなさが一番恥ずかしいと思ったがwww >>26
リバースちゃうの
>>39
ドコモの対策がsms認証導入というのも気になる ドコモ口座と同じレベルの他のサービスとかあったらマズイよな。
「ひらめいた!」って奴絶対いるだろ、これ。
海外含めたら相当多数。
>>46
誰でも分かるRBFってやつを解説してみて >>49
sms認証することで、ドコモ口座が攻撃に使われることはなくなるだろ。
空き巣で二重ロックするようなもん。
根本的な解決ではないが、狙われにくくなる。
他のsms認証してないところを使うから、ドコモとしてはこれでOKという判断。
問題は、セキュリティが4桁しかなく、回数無制限な地銀だと思うが。 こうやって一人が噛み付くと一斉に周りも噛み付いてくる所が気持ち悪いんだよな
>>53
それも認識が甘い。
一人一人はあんたのレスにレスしてるだけ。
他のレスを読んでないだけ。
その可能性が認識できてない。
元のレストいい、あんたとても認識範囲が狭いなww >>52
詳しくないから全然違うのかもしれんが
二重ロックってよか、1アカウントあたり1台携帯用意すればいいから手間とリスクがかかるだけであって、
仮に今回の攻撃方法がフィッシングだとすれば、入手した口座情報分の携帯を用意すればいいわけだから、有効な対策って程にはならないんじゃ?
と思った。書いてて思ったけどでもこれリバース云々のでも同じ事なのかな…
根本的な解決にはならない狙われにくくなるっていうのはコストかかるからとかそういう事なのかな そもそも銀行側にターゲット絞ってのフィッシングなら犯人としては普通はみずほや住友が要求してる情報とかも入力させるだろうから(フィッシングだった場合、ワンタイム行以外はどれも大差ないセキュリティレベルになる)そこから被害出てないのはおかしいんだよな
わざわざドコモ口座ハブにする必要も薄いし
ということで総当たりに傾いてる
>>55
まあ単純にメアドよりSMSの方が取得コスト高いから攻撃側が踏み台にするのを抑制できるって話じゃない?
別に原理的に穴塞げてるわけじゃ全くないけどね ドコモが十分な本人確認するには回線認証やれば良いんだよな
それだとドコモ契約者のみしか取り込めないからやらないんだろうけど
まあ、地銀側に穴があったのも事実だし、金融庁もこれを機に既存のものもセキュリティ厳しくした銀行APIにどんどん誘導するんじゃないかとは思うが
ドコモも結局利益優先で動いてこれじゃん
不備認めるのもめちゃくちゃ遅かったし
ドコモ以外の口座振替でも同じこと出来たら意味ないのでわ
>>56
>>57
なるほどありがとう
そしたら対策をsms認証導入のみってことで手を打たれたらちょっと不安だな… >>60
まあ金融庁としてはまずは応急処置的にドコモの穴を塞ぎつつ地銀ネットの方の穴を塞ぐ算段じゃなかろうか >>52
回数無限を許容したのもドコモ側のシステムなんだけどね
銀号側からの仕様とはいえ、第三者機関の調査入れておきながら暗証番号n回間違えた場合のセキュリティロックって仕様に入ってなかった場合指摘するよ普通は なぁ今こそVIPが立ち上がるべき時ではないか?
田代でドコモ口座を撃沈したら英雄になれると思うんだが
責任逃れ感と被害の軽微感を全面に出して来た昨日の会見はマジで胸糞だったわ
冒頭以外で一切謝罪無いし
人を舐めてる
dポイントカード捨てたったわ
>>68
田代砲ごときでできないどころか、IDSとDDoSの対策入れてるから意味無いぞ
ガチでやったら犯罪だし >>69
セキュリティの認識された時に謝罪なしで半笑いで何回も言ってるが〜の後に、利用者のセキュリティ意識も高めないといけないとかギャグかと思ったわ >>70
セキュリティばっちりやんけドコモ
安心だなぁ >>72
利用者には厳しく犯罪者には優しいセキュリティなんやで 今回は利用者と犯罪者に優しくて関係ないやつに厳しいんだぞ
>>71
あれ酷かったよな
まるでeKYCが独自で思いついた画期的なシステム化のように言ってるけど
実際セキュリティに対してさほど力を入れていないであろうLine Payやメルペイですら導入されている程度の最低限のセキュリティ要件だし
それすら行っていなかったお前らが何言ってんだ感
あれは内部が腐った大企業だわ >>71
利用してない人が主に被害に遭ってるんだがな >>66
ちょっと何言ってるのかわからない
「ドコモ口座の引き落としはこの口座への引き落とし設定してくれ」てのを各銀行に送る
銀行はそのリクエストに対して銀行のインターネットバンキングで「じゃあお前の口座番号と暗証番号あってたらそれ設定するわ」てやってる。
事前に暗証番号固定で口座番号変えてログイン試すがほぼ無制限でできるから、事前確認できていればドコモ口座側には不正かどうか判断つかないぞ アカウント作成で本人確認して一人一個しか作れないようにしろよ
>>77
初期ペイペイとセブンペイとドコモ口座のシステム作った人は誰なんだろうねえ 一度に10万円分しか引き出せないのって犯罪防止とは無関係だったんだな
どう考えてもドコモが悪いだろ
未だにドコモと契約している人見下すわ
>>78
ちゃうちゃう
ドコモ口座側で暗証番号ロックはできるやろって話
ドコモの話では銀行側の仕様に基づいて作ったと言ってるわけ
ただそれは言い訳としては酷すぎるやろって話だよ ドコモ口座 「まさか、銀行側が簡単に口座振替登録しないやろ」
銀行
「まさかドコモ口座が本人確認なしで振替先口座ほいほい作らんやろ」
ユーザー
「コロナやしインターネットバンキング申し込んどこ、まさか暗証番号バレへんやろし」
お前ら 「とりあえずドコモ悪いから叩いとこ」
ぼく 「ワンタイムパスワード必須のシステムだけど念の為、自分のネットバンキングの操作と出金とワンタイムパスワード機の現物チェックしとこ」
>>83
どうやって暗証番号ロックするんや?
この口座へ振替設定してくれってリクエスト送るだけだぞ? >>84
自らネット系の口座や振込を行っていたら利用者も非難される云われはあると思うけど
今回それも無関係で、ATMで引き落としくらいしかしてなかった人らも被害を受ける可能性があったからユーザーの落ち度としては限りなく0に近い >>85
入力された口座に対してn回認証失敗したくらい保持できるよ
ドコモ側が知らぬ存ぜぬって言ってるなら銀行側での認証と分かるけど、会見でドコモが銀行の仕様のまま実装したと言ってたからドコモ側で認証を作ってるだろ
銀行側とのIF周りは内部仕様でさらにリクエスト制限もかけてるかもしれんけど おまえら情弱装ったアフィに踊らされてるね
>>1見ろ単発投げっぱなしだろ >>86
ATM利用だけなら今回の被害はおそらく起こらんぞ
インターネットバンキングの申込みくらいはしてるはずだぞ
そして7payの2段階認証ガーから1年「この銀行のネットバンキングのセキュリティは大丈夫?」という疑問を持たなかったことは落ち度と言えるかどうかてことろ >>87
事前に銀行のシステムにログインして確認とってればリクエストは1回で済むんだぞ
失敗0回でどうやって防ぐの? >>89
本当にそう思ってるの?
ドコモ口座をハッカーツールとして利用したリバースブルートフォース攻撃だと言われてるのに
口座番号なんて自動生成できるんだぞ? 今現在どれだけの銀行が口座振替を警戒しているんだろうか
0社だったらまじもうむり
もともとDアカウント(本人認証必須のアカウント)しか使えなかったドコモ口座をフリーメールのメルアドで新しく作れるようにしたこと
去年同じ手口でりそな銀行に被害でてるけど放置したこと
を隠し続けるよな
>>93
一応前者は記者会見で言ってたよ
濁しつつだったけど、当初は本人確認必須だったから〜って言ってて
質問で今回のセキュリティ対策って強化したと言ってるがセキュリティレベルが戻っただけでは?と記者に突っ込まれてた LINEpayとかも可能だよな
まぁ電話番号必須だから、PCかつメールだけで登録できるドコモ口座の方が圧倒的に悪用が容易だけど
>>91
つまり、やられた銀行は口座番号と暗証番号あればネットバンキングの申込みしてなくてもオンライン受付するところだったと? >>96
そうだよ、だから問題になってる
銀行側も悪いのはもちろんだけど、docomo側の登録システムで問題があったのも悪い
そもそも当初はdアカウントが本人確認した前提のIDでサービスしていたとドコモは認めていて、それを銀行側に通知してサービス開始していたらドコモが100%悪い >>96
追記
そもそも今回はネットバンキングじゃないよ
水道利金支払いとかと同じく口座振替だよ
ネットバンキング云々は関係ない >>1
安倍友の天下り先の為に作った負の遺産マイナンバーでさえ、下請けやら派遣にさせてるのが日本
個人情報なんてガバガバやぞこの国 
ブックマークへ