子持ちセミリタイアラーの日記

大学生の息子を養うアラフィフおやじがゆるく生き延びる様を記録します。

ドコモ口座経由での不正引き出し

先日d払いの登録時にドコモ口座経由で三井住友銀行から入金したばかりだが、どうもいくつかの銀行で不正引き出しが発覚したようだ。

www.sankei.com

 

被害を受けた口座は、4桁の暗証番号のみで連携が完了する銀行のみのようで、恐らくフィッシングサイトとかで抜かれた情報を利用されたんだろう。
⇒どうやらリバースブルートフォース攻撃なるもので破られたようだ。同じ口座で何回もパスミスるとロックされるけど、パスワード固定で口座番号総当たりなら口座ごとに試行1回だもんね。なるほどねー。逆に考えたな。

 

三井住友とかはワンタイムパスワードが求められたので問題ないだろうけど、4桁の暗証番号のみの認証で良しと判断した地銀の方が罪深いと思うが・・・。

まあ、ドコモと地銀、そして間に入っているベンダー(NTTデータか?)の責任の擦り付けが行われていると想像されるが、現場でテストしてた人達は、きっと「この仕様やばいんじゃない?」って気づいていたろうな・・・。
まあ、NTTデータとかなら上手いこと免責打ってて逃げ切るんだろうけど。

朝日新聞でも一面記事になってたので、ドコモ株下がるかな~?なんて思ってみてたけど、そこまで変わらず。今後の展開次第では下落する可能性もあるので、久しぶりに買ってみようかな?

 

ちなみに今朝時点でまだ完全には連携止まっていなかった。
連携可能な銀行の一覧↓

f:id:sohba1972:20200910074509p:plain

あらゆる地銀が停止されてる中、第二地銀愛媛銀行が生き残ってる!!
県内トップの伊予銀行も停止されてるのに、ちょっと胸熱!!

 

結論

「セキュリティ対策に投資する余力のない銀行、
 すなわち地銀には金を預けないこと