2020/09/10 21:27
asuka0801
口座も暗証番号も元々公開情報ではないしその状態で不正引出しが起きているのに防衛手段を「口座や暗証番号を漏らさないよう」で済ませるのは本当に酷かった。
2020/09/10 22:29
hirolog634
まだ会見内容を読んでいないけど、大企業はすべて社内に向けてのメッセージ。特に減点評価の組織は、いかに減点されないかしか考えていない。
2020/09/10 22:39
tsutsumi154
理解してないというより理解してないということにしておきたいだろうけどこんな仕様を是とする人たちなので区別はつかない
2020/09/10 22:42
yas-mal
ドコモの発言もおかしいけど、「振り込みシステムとリバースブルートフォースが使われた」というのも仮説でしかない。生年月日を組み合わせていた銀行でも被害があったので、それだけではなかったと考えるのが妥当。
2020/09/10 22:49
kuzumimizuku
「情報流出はない」のリリースを出した理由を「ネットで流出を疑う声があったから」と言うくらいなので「リバースブルートフォースの可能性は知ってるけど口振の顔を立てて言及しなかった可能性」も考えている。
2020/09/10 22:54
triggerhappysundaymorning
”・暗証番号を固定した、口座番号の逆引きブルートフォース攻撃が使われたこと。”←これ確定なの? 流出じゃない可能性もあんぞって推定だったと思ってたけど.
2020/09/10 22:56
addwisteria
逆総当たり法の可能性を言及すると地銀CNSに直撃する(逆総当たり法でログインできる認証作ってるのは彼らなので)ので、言及しなかった説に一票。フィッシング説も流れてるし。ただこの認証残しちゃうのはまずい。
2020/09/10 22:58
naga_yamas
“逆引きブルートフォース攻撃が使われたこと”そもそもこれ確定してたっけ?
2020/09/10 23:58
strawberryhunter
思惑があってのことなのか、素で馬鹿なのか区別がつかないが、どちらにせよサービスを廃止せずに済ませるのは難しい。ドコモには迷惑料を請求するべく、被害者は訴訟を起こすべき。
2020/09/11 00:11
Amigomr
あの副社長は前で謝るだけの人だから。裏に戻ったら部下を怒鳴り、部下が持ってきた報告を適当に加工して説明することしかできない。そんな人に期待するだけ無駄ってもんよ。まあ17日の金融庁報告に期待ですねw
2020/09/11 00:12
ooblog
#eKYC #ドコモ口座 「一般論~暗証番号を漏らさないようにすれば安全~経営陣が理解してない~今回の欠陥の肝~口座番号の逆引きブルートフォース攻撃~口座番号さえわかれば、口座名義が逆引き~生年月日という情報が合致」
2020/09/11 01:00
tk_musik
「口座番号さえ分かれば」の部分はどうするんだ?ブルートフォース?可能なのか?別件でお漏らしあった場合の話?
2020/09/11 01:05
misomico
口座情報を得た手口は仮説でしかないけど、やばさの周知や説明はもっとしてほしい。
2020/09/11 01:07
TokSok
ドコモ社内は伝言ゲームになってると思いますよ。技術屋は他所だし。
2020/09/11 01:10
iinalabkojocho
“酷かったのが、被害にあわないための防衛手段についての説明 「一派論になりますが、口座番号や暗証番号を漏らさないようにすれば安全と思われます」 というもの” 死んだ。
2020/09/11 01:37
ryunosinfx
これで株価が一桁減るぐらいの衝撃が投資家に走らない時点で本邦お察し感。多分惨状は今日時点の発表よりももっとひどそうなので、もっと火が誰にも分かるぐらいじゃないとダメなのかもしれない。
2020/09/11 01:47
kamezo
ブコメではさらにひどい想像が。
2020/09/11 02:02
a1682
あの副社長、CISOなのに、「悪意ある利用者を排除する視点が抜けてた」とか悪気なく会見で言ってて( ゚д゚)ポカーンだった
2020/09/11 02:47
paradisemaker
web口振の顔立てた、みたいな読みがあるけど、web口振は事業者との連携しかできないのよ
2020/09/11 02:49
cooking_kawasaki
被害確認が他からの報告のみで、ドコモ内で何も調査してないぽいのも気になった。例えば月上限の30万引き落とししてる+フリーメールのみ等の怪しめなユーザーを抽出すべきと思うが。
2020/09/11 03:42
pre21
ドコモが悪いという方向で報道することになったみたいだけど、口座番号から口座名義が逆引きできるのも、暗証番号が数字4桁しかないのも、結果逆引き総当たり攻撃ができるのもドコモのせいじゃないでしょうに。
2020/09/11 04:16
vbwmle
もう「DoCoMo」とか書かないんだよ
2020/09/11 04:59
masudatarou
日本人ってほんと馬鹿なんだな
2020/09/11 05:53
ninjaripaipan
未だにドコモが悪いとわかってない人がいるもんだな
2020/09/11 06:00
chintaro3
「口座番号さえわかれば、口座名義が逆引きできる。」「暗証番号を固定した、口座番号の逆引きブルートフォース攻撃が使われた」「それを経営陣が理解してない」
2020/09/11 06:22
enhanky
記者はつっこみいれなかったのか……?
2020/09/11 06:27
Laylack
素人が聞いてもアホかと感じました。
2020/09/11 06:34
ya--mada
危なっかしい経営してるなっていうのが分かった会見だったと思う。ドコモなんだからちゃんと殿様商売やって欲しいものである。
2020/09/11 06:50
watapoco
7payと違って思惑あってのことなんだろうが7payを彷彿とさせる感じになってきた。
2020/09/11 06:57
snare_micchan
リバースブルートフォースやるにはそれなりの件数(10万件以上)の口座番号+名義+追加情報(生年月日など)が必要なので、口座リストが何処かから漏れたとみるのが妥当では?
2020/09/11 07:00
dekaino
「口座番号や暗証番号を公言していなくても運が悪ければアウト」経営陣も馬鹿ではなく気づいてる。でもそれ言ったら事件はドコモの過失と認めたことになる。気づいてないフリをしろと顧問弁護士が助言したのだろう。
2020/09/11 07:02
gaebeg
ドコモ、ネットからのクレジットカード払いの変更手続きを停止して、1年も放置状態 b.hatena.ne.jp
2020/09/11 07:03
virgospica
「暗証番号を固定した、口座番号の逆引きブルートフォース攻撃が使われたこと」コレ確定情報なんだっけ?
2020/09/11 07:10
FEMRIK
暗証番号なんて4桁だからな。ブルートフォースできたら楽なもんだ。国内最大手のキャリアがこんな意識なんだもんな。本当に(特に経営陣の)レベルが低い
2020/09/11 07:18
shoh8
会見は言質とられないように弁護士がついてるだろう。補償と調査はちゃんとやってください
2020/09/11 07:23
shinichikudoh
ドコモと銀行どっちが悪いか分からないので被害に遭ってたらドコモと銀行の両方から全額返してもらう。つまり被害額の2倍を返してもらうということ。どっちが悪くても被害者には関係ない。同じ責任を取ってもらう。
2020/09/11 07:24
a2c-ceres
例えドコモ口座から口振システムに繋ぐ過程では観測されなかったとしても、(リバース)ブルートフォースが行われなかったと言う事にはならないんだよな。別の銀行サービスでリスト化してから攻撃すればいいんだし。
2020/09/11 07:31
cj3029412
宮部みゆきの小説なら、犯行グループがDOCOMOの対応に腹を立てて、用意してあった別口から一斉に仕掛けてくる展開
2020/09/11 07:33
hatebu_ai
ちなみにドコモはだいぶ前にアルファベット表記をDoCoMoからdocomoに改めたはず。
2020/09/11 07:52
mayumayu_nimolove
一般人的には淡々として気持ち悪かったよ
2020/09/11 07:55
jwebseo
中身と関係ないけどブログのデザインが。
2020/09/11 07:57
GOD_tomato
ドコモの経営陣がこんなものかと失望した。
2020/09/11 08:13
mobanama
"結局Dポイント会員を増やすために、あまりセキュリティについて重視していなかった"
2020/09/11 08:28
haccian
システム開発は外部に丸投げして,何かあったら自慢の資金力で解決するストロングスタイル経営
2020/09/11 08:33
hiromikov
このまで大事になったんだから保証と機能の廃止が普通だと思っていたが、斜め上の答弁を見てドコモ終わったなーといういう印象。追記→ 銀行側の視点? twitter.com
2020/09/11 08:34
mur2
“要するに、口座番号や、暗証番号を公言していなくても(中略)DoCoMo携帯を持っていなくても、乗っ取られて上限額の30万円を引き出されてしまう。という点なのだが、それを経営陣が理解してないという事だ。これは酷い
2020/09/11 08:55
readitnow
なるほど、暗証番号を固定して口座番号を逆引きするのか。恐ろしいし、とても迷惑。
2020/09/11 09:10
t-murachi
そろそろ総務省か金融庁辺りから行政指導出すなりしないと駄目だと思う(´・ω・`)
2020/09/11 09:16
bigburn
「逆引きブルートフォースの可能性に言及すると、そういう仕様にしてる地銀批判になるから分かってて知らないフリしてる」説にうなずいた
2020/09/11 09:33
gebonasu30km
経営側がこの手の知識をまったく持ってないというのが致命的だし、それを悪いとも思ってなさそうなのがな。
2020/09/11 09:38
memoryalpha
“口座番号や、暗証番号を公言していなくても、運が悪ければ、DoCoMo携帯を持っていなくても、乗っ取られて上限額の30万円を引き出されてしまう。という点なのだが、それを経営陣が理解してない”
2020/09/11 09:46
kuniharumaki
株価への影響ほぼ出てないことを見ると株主への対応としては合ってたのかな、とか思ってしまう。自分も株持ってるけどホールド中。
2020/09/11 09:51
alstamber016
リバースブルートフォースされたかは確定してないのになぜ記事中で断言してるんでしょう。
2020/09/11 09:57
summoned
感じが悪かろうが業績への影響が小さそうならそりゃ株価は動かない。相場なんて正義の実現のためにあるものじゃなくただの取引所。日本株には海外投資家も大勢参加してるんだから本邦に限った話じゃない
2020/09/11 09:58
shag
ブルートフォース or リバースブルートフォースがあったかどうかは当事者にしかわからないだろうから、匿名のタレコミを待つしかないよな。
2020/09/11 10:09
sendai
やっぱりdポイント会員増やしたいからセキュリティ無視してたんだな。誰でも登録できるなんてザルなサービスは早く止めろよ。
2020/09/11 10:12
pandic
もうちょっと上手く立ち回れたんじゃない? という印象
2020/09/11 10:13
popopopopopper
ドコモ口座への出金を一旦全ストップしないのなんでよ??今だって誰かが引き落とされてるかもしれないのに…
2020/09/11 10:14
Ayrtonism
今回の事件、あまり興味なくて追ってなかったのだけど、こんな簡潔な記事で何が起きたのか理解させてくれて感謝しかない。
2020/09/11 10:32
accent_32
この件って、被害者側からすると「勝手にドコモから口座の金盗まれた」事案なのにドコモが側被害者ですよーって態度が最高に気分悪かった。全額補償どころから慰謝料案件だろうに。
2020/09/11 10:36
timetrain
やはりこの手の上役ってまったく技術への理解が無しに就任してるのか。
2020/09/11 10:49
laranjeiras
そうそう、これ。今回のドコモ口座問題は口座番号や暗証番号が漏れてなくても引き出されるのが一番の問題点。技術者ならやり方は考えつく。
2020/09/11 10:54
miluru
リバースブルートフォースアタックの「疑い」でしかない上に、それを確認出来るのは地銀側なので、ドコモが言及しない(できない)のは当然で、犯人か地銀側しかわからない情報ですね!前者ですか?
2020/09/11 10:55
urtz
不確定批判あるが、公開情報から合理的に推察すると、ってことでしょ。非公開の経路が無いと仮定した場合の。暗証番号は回数制限あるしブルートフォースできない
2020/09/11 11:11
natu3kan
合わせ技一本だよな。ドコモからしてみれば銀行のセキュリティが固いと思ってたし、銀行からしたら公共料金と同じでドコモが固い企業だと思ってた訳で。
2020/09/11 11:15
mashori
7pay事件から何も学んでいない、全部他人事として放置してましたってのがドコモ経営陣のスタンスだったってことだよねこれ。理解できない人間が上位にいるのは社会にとってマイナスなので経営陣の入れ替えが必須では
2020/09/11 11:18
higgsino
こういう犯罪って現金を手にする出口の部分が重要だよね。ATMで簡単に出金出来る口座がこんなにザルでは駄目でしょ
2020/09/11 11:19
hizakabu
生年月日の確認が必要だった銀行もやられたみたいだけど、暗証番号が誕生日にしてたらそりゃ簡単にやられるよね。
2020/09/11 11:29
yamada_maya
記事とはぜんぜん関係ないけど、この配色むかしのホームページだ……!って懐かしくなった。
2020/09/11 11:30
at_yasu
りそなは怒ってたのか。ほー…
2020/09/11 11:36
hiby
邪推だけど201905に分かってたんだから1日1回でも試せば生年月日および簡単なパスワードはほぼ網羅できたんじゃないかなあ。雁首揃えて技術もなんもわかってない無能プロパー顔だったのか印象に強く残った。
2020/09/11 11:44
hiroyuki1983
天下のドコモですらこのざまだからな。そこらのフィンテック系ベンチャーとか実態はボロクソなんだろうな
2020/09/11 11:50
redreborn
NTT系列やんhk民放各局など既得権益を享受している民間企業に関しては懲罰的賠償を課してもいいのでは。(既得権益が悪だとは言ってない。むしろ必要)
2020/09/11 12:01
rizenback000
僕は聞いてて、一人だけ明確に理解しているけど「アホのフリしてるな」と感じた。俺もよくやっった。
2020/09/11 12:07
triceratoppo
こういうのログイン総当たりの入力ログとか残ってないの?あと引き出し金額の入力ログ。残高分かってないから、10万→10万→エラー→9万→エラー、、、みたいなログのアカウント停止出来ないのかな?
2020/09/11 12:13
takuver4
“ブルートフォース攻撃が使われたこと”って確定情報なの?いや可能性が高そうなのは分かるけど、実は他にも脆弱性が存在していて、そちらを突かれた可能性って本当にないの?
2020/09/11 12:23
sin20xx
因みに同一個人の同一口座が特定アカウントにしか紐づけできないだけで、同一個人の別口座は別アカウントに紐づけできる事から、万が一発覚が遅れれば、一人複数口座の被害で口座数×60万円となる恐ろしい話なんだよ。
2020/09/11 12:26
k3akinori
もうさ、経営者が基本的なセキュリティの資格を持っていない会社はWebサービス運営してはいけないって法律作った方がいいんじゃない?
2020/09/11 12:28
neo2184
"暗証番号を固定した、口座番号の逆引きブルートフォース攻撃"
2020/09/11 12:32
well-doing
“口座番号や、暗証番号を公言していなくても、運が悪ければ、DoCoMo携帯を持っていなくても、乗っ取られて上限額の30万円を引き出されてしまう。という点なのだが、それを経営陣が理解してない”
2020/09/11 12:51
toratorarabiluna273momomtan
「要するに、口座番号や、暗証番号を公言していなくても、運が悪ければ、DoCoMo携帯を持っていなくても、乗っ取られて上限額の30万円を引き出されてしまう。という点なのだが、それを経営陣が理解してないという事だ」
2020/09/11 12:56
ultimate-ez
いやー、本当にブコメにあるように株価が1桁減らねーかなー。大量買いするのに笑
2020/09/11 13:01
hrmk4
知り合いだけが来る裏口へ、誰でも来れるようにしたのがドコモ、簡単に開けられる鍵のまま変えなかったのが地銀って認識。
2020/09/11 13:11
fukken
まぁ「カネのためなら仕方ない、多少被害が出ても賠償して余りある利益が出る試算だったが目論見が甘かった」とは言えんわな。
2020/09/11 13:20
hetoheto
SMS認証も実は偽装できると言う記事最近無かったっけ?一番確実なのは本人確認書類と電話確認だと思うんだけど。多少マンパワーかかるけどなぜやらないんだろう。
2020/09/11 14:08
ayakohiroe
このニューステレビでもちゃんと解説して注意喚起してほしい。気づいてないひともいるのでは。ドコモ口座持ってないから関係ないと思ってる人まだ多い。
2020/09/11 15:53
stp7
リバースブルートフォース攻撃が行われたかどうかはまだ確定していない。
2020/09/11 16:21
aa_R_waiwai
id:ryunosinfx 航空機が何度も墜落して数百人が犠牲となっても、株価が下がるところか、むしろ上がり続け、運行停止になってようやく株価が僅かに下がったボーイングという会社がアメリカにあるけどね。
2020/09/11 16:48
bokukanochat
トップがレベル低いからダメなんだなーとしみじみ思うわ。社員がかわいそう
2020/09/11 17:45
John_Kawanishi
※ この記事は9月10日に書かれたものです
2020/09/11 18:35
misafusa
レトロな雰囲気のブログに「DoCoMo」ってこれまたレトロな表記がよく似合っている。ところで、日付がどうなってるのかよくわからんね。なんなんだろ。
2020/09/11 18:59
tattyu
今回の件は、間接型オレオレ詐欺。docomoが地銀の老人を騙して無理矢理穴を作って、犯罪者がそれを利用する。各家庭にバックドアを仕掛けて回るクソ馬鹿ドコモ。