【不正利用】PayPayやメルペイも「銀行口座登録によって本人確認が完了」 ドコモ口座問題

マネー,企業

 ハッキング


1: trick ★ 2020/09/13(日) 12:05:37.65 ID:CAP_USER
ドコモ口座問題、PayPayやメルペイは大丈夫? – ITmedia ビジネスオンライン https://www.itmedia.co.jp/business/articles/2009/10/news111.html

2020年09月10日 15時29分 公開 [斎藤健二,ITmedia]

 全国の地方銀行を中心に、ドコモの決済サービス「ドコモ口座」へ不正に入金される被害が相次いでいる。ドコモは銀行の新規口座登録を停止する措置を取ったが、根本的な問題として甘い本人確認というセキュリティ面も指摘されている。

 では、同様に銀行口座とひも付けて入金が可能な決済サービスでは、不正利用は起こらないのか。PayPayを運営するペイペイと、メルペイに聞いた。

ドコモ口座を経由して、銀行から預金を引き出される事件が起こった なりすましてドコモ口座を開設可能  今回の問題点の1つとして、メールアドレスだけで作成できるdアカウントがあればドコモ口座が開設できてしまう点が指摘されている。

 メルペイでは、「メルペイを利用するためのメルカリのアカウントは、SMSによる認証がないと作れない。さらに銀行口座登録時は、メルカリに登録した名前との照合も行っている」(広報)と話す。

 またペイペイは、「電話番号をアカウント作成の認証キーにしている。SMS登録が必要なので、第三者がなりすまして作ることは困難だ」(広報)とした。

銀行口座登録によって本人確認とする  ドコモ口座の2つ目の課題は、銀行口座登録をもって本人確認完了とする仕組みだ。ペイペイとメルペイは、免許証などをスマホのカメラに写して本人確認を行うeKYCの仕組みを導入しているが、ドコモ口座同様に銀行口座登録でも本人確認を可能にしている。

 「本人確認済みの銀行口座登録を利用する仕組みを取っている。ただし、比較的簡単に登録できてしまうと当社が判断した一部の銀行については、別途eKYCも必須としている」とペイペイ。一部の銀行の「Web口振受付サービス」では、口座番号と暗証番号など比較的入手しやすい情報で登録が可能になっており、そうした点に独自に対策を取っている。

PayPayでは、eKYCだけでなく銀行口座の登録でも本人認証済みとみなす仕組みだが、一部銀行については併せてeKYCも必須としているという  メルペイは、銀行側のシステムに依存するとしつつも、「より強固にできる方法はないか考えていく必要がある。銀行に対応いただく部分もある」とした。

不正利用時の補償  ドコモ口座の場合、こうした悪用による被害に対する補償に明確な規定がなく、ドコモと銀行は預金者への補償を協議中だとされている。ペイペイやメルペイではどうか。

 「不正な取引は、常に人の目やAIで異常な動きがないかチェックしている。検知されれば、もしチャージされてもその先には出ていかない。仮に出ていったとしても、全額を補償する規約にしている」(メルカリ)

 「もし不正が起きてしまった際は、全額補償することを規約に明記している。PayPayを使っていない人が、誰かに勝手にアカウントを作られて、PayPayが踏み台にされた形でも補償する」(ペイペイ)

(続きはソース) https://www.itmedia.co.jp/business/articles/2009/10/news111.html

2: 名刺は切らしておりまして 2020/09/13(日) 12:08:19.32 ID:5AjNMvNv
ダメじゃん

71: 名刺は切らしておりまして 2020/09/13(日) 17:30:15.76 ID:zqrcVXFh
>>2
初め読んだときはpaypay以外は白黒わからなかったが、

メルペイは不正に引き出す条件として銀行口座番号、口座パスワード、名前の3つが必要で、

ペイペイはドコモと同じリバースブルートフォースアタックによる不正引き出しが出来そうだな。

95: はい論破♪ 2020/09/13(日) 19:52:31.69 ID:f+ZUvfJK
>>71
どうやってSMS認証を突破するんだ?

97: 名刺は切らしておりまして 2020/09/13(日) 20:04:23.07 ID:2HVPNkcv
>>71
スマホでリバースブルートフォースアタックは大変そうw

4: 名刺は切らしておりまして 2020/09/13(日) 12:08:46.97 ID:kkxnHwX+
イオン銀行とゆうちょ銀行は例によって二段階認証なしで登録可能

73: 名刺は切らしておりまして 2020/09/13(日) 17:40:25.79 ID:nzzM9KIC
>>4
もうゆうちょ銀行はドコモへの送金止めたよね。セキュリティが甘いのは否めないけど、対応が早いのはいいと思う。

89: 名刺は切らしておりまして 2020/09/13(日) 19:21:52.07 ID:4l6pv8XB
>>73
ゆうちょはチャージ停止するのは遅かった

スポンサーリンク

44: 名刺は切らしておりまして 2020/09/13(日) 14:36:06.23 ID:bk2qCEk4
smsデータsimでマトモな銀行取引できると思うならどうぞ、としかね言いようがないわw
あと名義を揃えるハードルとは何も関係がないというねw

Paypayもau payもサービスID名義人と口座名義人が同一でないとアウト

51: 名刺は切らしておりまして 2020/09/13(日) 14:55:00.64 ID:sA/hJPEu
>>44
少なくともpaypayは、回線契約の名義はチェックしてないぞ。サービスID名義って自己申告なんだから、ドコモと違う!キリッって言える話じゃないだろ。ドコモがダメなのは当然として、paypayも対して変わらんレベル。

52: 名刺は切らしておりまして 2020/09/13(日) 14:55:07.16 ID:sA/hJPEu
>>44
少なくともpaypayは、回線契約の名義はチェックしてないぞ。サービスID名義って自己申告なんだから、ドコモと違う!キリッって言える話じゃないだろ。ドコモがダメなのは当然として、paypayも対して変わらんレベル。

49: 名刺は切らしておりまして 2020/09/13(日) 14:48:52.03 ID:9nCtr+OG
SNSとSMSが混同している人が話を掻き回しているww

59: 名刺は切らしておりまして 2020/09/13(日) 16:06:49.06 ID:Fw2ATcpN
銀行がドコモに丸投げしてセキュリティ任せたからこんなことになってる。
最終的に本人確認を銀行側でやってないことが一番な問題なんだから、ドコモ叩いたところで問題の解決にならないんだよな。銀行が一番悪い。

66: 名刺は切らしておりまして 2020/09/13(日) 16:47:36.58 ID:IV+somfx
ネット上で誰でも引き出せるATMを提供したドコモ神過ぎるだろ

67: 名刺は切らしておりまして 2020/09/13(日) 17:01:26.56 ID:POURiSQM
え、今どきデータSIMでも本人確認不要とかありえる?
旅行客向けのヤツだと買いきりがあるとか?

68: 名刺は切らしておりまして 2020/09/13(日) 17:03:21.85 ID:BpxJrdBQ
メリカリやLINE Payは、新規登録時にe-KYC認証だから。
e-KYC認証で運転免許書とか写真付き公的証明アップなんて到底できない。
ペイペイはcoke onキャンペーンで毎週100円相当返って来るので新規登録した。
すき家もモバイル注文に登録した。これをすると10%還元。
案外使っている。

69: 名刺は切らしておりまして 2020/09/13(日) 17:11:41.61 ID:gjfRR7Bs
ネット銀行ではない銀行はモバイルアプリは残高を照会できるが、アクセスごとにメールしか来ない。
面倒なので振込の登録はしていない。
ネットのうえ、ID、PWだけなので全世界開放していると思っている。
ただ、誰もアクセスを試みようとしないだろうが。

70: 名刺は切らしておりまして 2020/09/13(日) 17:29:39.23 ID:AOxDa1vg
SMS認証なんて全く信用してない。
やる奴は犯罪集団なんだからなんでもやる。
電話でもしもし、はいはい、出金。一般人相手では通用するだろうが。

72: 名刺は切らしておりまして 2020/09/13(日) 17:35:43.82 ID:3kXUdq0G
口座名義人は口座番号がわかればわかる。
ATMでも振込手順を踏めば口座番号で口座名義人を表示するだろう。

74: 名刺は切らしておりまして 2020/09/13(日) 17:41:12.86 ID:gcmcdBIR
e-KYC認証で運転免許書とか写真付き公的証明をアップしても本人認証にならない。
落ちていた運転免許書をアップすればいいだけだから。
本人認証には窓口で写真と照合が必要。他の情報と照合するのも一応可。

76: 名刺は切らしておりまして 2020/09/13(日) 17:52:55.19 ID:fj8Of5H5
銀行はサーバーチェックできないの?
今メディアで言われてる
暗証番号固定で口座番号を総当たりしていくハック方式なら
サーバーチェックでわかると覆うんだけど

91: 名刺は切らしておりまして 2020/09/13(日) 19:27:31.80 ID:phzZ5zfI
>>76
それをできる頭があれば、こんな悪手を打ってないのかもしれない
よって、今も口座と暗証番号は全部リストアップされてるかもしれない

78: 名刺は切らしておりまして 2020/09/13(日) 17:57:23.21 ID:jQTOt38I
数日前ぐらい前の報道では銀行は、リバースブルートフォース のログは見当たらないらしい。
よって、フィッシングに傾いている。

82: 名刺は切らしておりまして 2020/09/13(日) 18:27:19.71 ID:tUfZdxfg
セブンやローソンのアプリはQR決済できない。
ローソンのアプリはいろいろ頑張っているが使うのが恥ずかしい。
QR決済機能が付いていて他のポイントも溜まるファミペイが完勝。
セブン幹部はアホだろ。

83: 名刺は切らしておりまして 2020/09/13(日) 18:29:38.04 ID:7uh/03yV
セキュリティを全ての銀行全体で見直さないと
キャッシュレス化がさらに遅れて
ますます日本のガラパゴス化が進んでしまう
もうずっとアメリカの真似っこして大きくなった国なんだから
それも真似っこすればいいんだよ

84: 名刺は切らしておりまして 2020/09/13(日) 18:39:07.60 ID:JpQRR5LZ
それより、強力な暗号を使った国ベースの認証基盤を作った方がいい。

85: 名刺は切らしておりまして 2020/09/13(日) 18:47:17.26 ID:z1aNnpqv
自治体と国のネットワークはインターネットと繋げていないことになっている。
それほど、ネットの攻撃に対処するのは難しい。
ただ、クラウド、DX時代にインターネットをつながないってことは商売で死を意味する。

インターネット分離に関するガイドライン
https://www.ashisuto.co.jp/pr/ericom/InternetSeparation_Guide.html

90: 名刺は切らしておりまして 2020/09/13(日) 19:22:26.59 ID:Ew7QrjTb
>>85
データ守りたければ線全部ひっこぬいてコンクリートで固めて海底の奥深くに沈めるしかないって話もあるね
オレの会社は経営陣がクラウドサービス使用に消極的だけど情シス的にはそろそろ限界です

92: 名刺は切らしておりまして 2020/09/13(日) 19:27:55.87 ID:XJAF14/k
今はただの事務屋だが、ステートレスプロトコルで攻撃を防ぐのはかなり面倒くさそう。
セッションを保つのにクッキー使ってんだろう?
まあ、今回はそれ以前の政治的仕様の問題だが。

98: 名刺は切らしておりまして 2020/09/13(日) 20:04:31.74 ID:phzZ5zfI
「どんな技術だろうと、動かすのは人間」 

100: 名刺は切らしておりまして 2020/09/13(日) 20:10:11.83 ID:2lR5Lptx
どんなシステムでも完璧はないよ
でも、フリーメールでOKはないよね

引用元: https://www.logsoku.com/r/2ch.sc/bizplus/1599966337/