2020/09/09 21:52
addwisteria
犯収法施行規則13.1.1を前提にしたスレッドでこれは最も。口振は信頼できる機関から紙面で銀行に回付され、機関の信頼をもって引き落としを許可する性質。今回の「本人確認」は適法なんだけど、時代にそぐわない。
2020/09/09 22:38
iinalabkojocho
なるほど。 ドコモの与信の考え方がおかしいのか。適法だがこのシステムをそう使うとは思って作成運用されてない。
2020/09/09 22:45
hirata_yasuyuki
「射ていると思っ…」で切れていたので、「たら大間違いです」かな?と思ってドキドキしながらブクマ開いた。
2020/09/09 22:47
toubanjanny
最近のfintech系は「え、それでいけるの?」というのが増えてて便利だなーとは思うけど、根っこは相当危ういというのが結構ある気がしてる。これからもっと出てきそう。
2020/09/09 22:52
kuzumimizuku
ドコモ口座側も、参加する地銀側も、仕様の説明段階で「これはまずいよ」という人はいなかったのかな?セキュリティ要素を単純に羅列した時に「暗証番号」しかないことに気づかないとは信じられない。
2020/09/09 22:54
aureliano
的を「得」ているね。「射」は間違いだから。
2020/09/09 23:10
casm
ひろみちゅ博士も、口座振替は収納機関への信頼ベースのシステムでありドコモが信頼を裏切ったとの見方。
2020/09/09 23:11
tsutsumi154
元々はドコモ契約に1対1で紐ついていたから問題なかったものを屋上屋を架して魔改造の結果ガバガバに
2020/09/09 23:36
takeim
ひろみつ先生に「的を射てる」とツイートされたい。
2020/09/09 23:39
asakura-t
やっぱこういう話になるよな。
2020/09/10 00:22
yhachisu
やはり最低限SMS認証は必要だな…。理想は中国のように銀行口座の開設に携帯電話番号登録を必須化させて、以後は本人確認に銀行経由でのSMS認証をさせること。
2020/09/10 01:28
maangie
本人とは….…。
2020/09/10 01:35
uunfo
口座振替依頼書一枚でお金引き落とされ放題なのまじ?とは思ってた。その会社がめちゃくちゃな請求してもその金額が引き落とされるんだよね。クレジットカードの定期課金も同じ。世の中は信頼で成り立っている。
2020/09/10 01:51
augsUK
ネットバンク開設の面倒さが、pay系を一枚噛ませるだけでこんなに簡単になりましたというのは、そもそも同じ仕組みじゃないんだな
2020/09/10 01:58
AQM
あー
2020/09/10 02:33
whkr
これ理屈上は、本人確認が緩い公共料金があれば他人の口座から勝手に引き落とさせることも可能なのではなかろうか。バレやすいから誰もやらないだけで。
2020/09/10 02:45
khtno73
fintechもいろいろあるけど、個人決済周りのサービスには冷や水ぶっかける事件だ。
2020/09/10 03:15
pptppc2
今後も利便性とセキュリティのシーソーゲームは続いていく。過ちを繰り返す人生ゲーム。
2020/09/10 04:02
ya--mada
そうなのよね、何故に地銀がドコモロ座の仕様で利用を認めたのか経緯が知りたいのよね。「SIM付きのd垢だけ」とか言ってたんでないかなとか思うのだよねぇー。
2020/09/10 04:06
miluru
フィッシングサイトが続々見つかった!とか報道してるメディアいるけどあほなのかな。。。。
2020/09/10 05:07
oakbow
この認証方式を使うのはおかしいとは思うけど、銀行口座をネット利用できる本人と認証できたら本人確認済みとする仕組み自体は問題ないと思うけどなあ。本人じゃなくても認証できちゃうことが問題なのでは
2020/09/10 06:10
atahara
「そもそも口座振替って誰にでも振替先となる(自動引き落しさせる)のを認めるものじゃないのでは?」
2020/09/10 06:13
odakaho
これドコモ側の人間が、テストの時に絶対(多くの地銀は認証なしで引き落としされることを)気付くはずなのにそのままリリースされたってことだよな。組織の体制がまずいのだろう。
2020/09/10 06:32
chess-news
ドコモが信頼できないからって、携帯電話料金の口座振替が拒否されたら面白いよな。
2020/09/10 06:37
madooka
口座振替の危うさは確かにあるが、「本人とは何か」「誰が本人確認したのか」については、口座開設時の記憶を持っている人としてパスワードで本人確認していると思う。それが記憶なしで通るようになっているのが根本
2020/09/10 06:40
furseal
大手マスコミの解説は違和感しかなかったが、これは腑に落ちる。この仕組みで本人確認を銀行側に依存すんのはどう考えてもおかしい。
2020/09/10 06:46
Wafer
まあこれくらいのテンションで出張ってくれるなら高木のことはある程度は信頼しているので助かる(まるで神であるかのような不遜な上から目線)
2020/09/10 06:51
Dai44
口座振替(自動引落=プル型でリクエストできる)と送金(送金元からのプッシュ)を混ぜたら危険。
2020/09/10 07:02
neo_Neutral
本人確認の正常性を確認してませんでんしたなので
2020/09/10 07:06
Nyanchu2020
今回の件、火車とか白夜行を思い出す。生き馬の目を抜いてやったぜとほくそ笑む犯人がどこかにいるんだなと思うと、ドキドキが止まらない…。
2020/09/10 07:08
a1682
ドコモ口座のサービス開始時はドコモ契約者限定だったけど、あとから、非契約者にも開放したときに仕様を見直さなかったのが原因では?
2020/09/10 07:14
fnm
免許証のコピーや写真のみでの本人確認も危ういと思うんだけどな。そんなに大事なもの、ありとあらゆる所で出さなきゃいけない(ネットカフェ利用時に出すなど)んだぜ。免許証=銀行登録印なみに便利に使われたくない
2020/09/10 07:19
zakkie
あらゆるハードルを低くすることがWebサービスの価値だとして、その最低限レベルを見極める能力が企業競争力になっているように思う。メルカリはその能力が突出していて、どうやっているのか不思議である。
2020/09/10 07:22
daishi_n
Webで個人証明するならマイナンバーカードのデジタル個人証明書で署名が今は最善だろ。地銀はハードウェアトークンを2021年3月末までに必須にする予定だったみたい。地銀スマホアプリもソフトウェアトークン対応だって
2020/09/10 07:36
ducky19999
KYC
2020/09/10 07:37
lkughelrkguehr
「的を射るは、的を得るの間違いですよ」ってクソリプついてるけど、現在は”射る"も"得る"も誤用ではないってことになってる。そもそも誤用だとされてたのは"得る"の方だし。
2020/09/10 07:38
junmk2
そうそうこういう事だよな。ドコモ一社の問題に矮小化し過ぎだ。
2020/09/10 07:39
quabbin
信頼関係の結び方の問題ということかな。うむ。
2020/09/10 07:42
kastro-iyan
信頼ベースのシステムって、えぇ…。今の時代に即してなさすぎでは?
2020/09/10 07:51
maninthemiddle
とはいえ、今後は銀行もネット連携進めるために相手方組織の信頼を前提としない(エンドユーザーの認証のみを直接信頼する)考え方にシフトしていくんだろうな
2020/09/10 07:51
snapchat
NTTドコモ&地銀というお爺ちゃんが経営してる大企業が発端の事件であって、新興のフィンテックスタートアップを一緒くたにして泥をかけるべきではない
2020/09/10 07:52
GOD_tomato
殆どのfintech決済はSMS認証と銀行口座登録で本人確認したことになり、資金移動ができる。アナログだが、本人確認資料の住所に郵送し、記載のコードを入力する位は必要。
2020/09/10 07:55
hobo_king
実態ある組織の取引なら存在の確かさで信用の担保が出来たが、その仕組みを収納機関(本件ではドコモ)が存在の怪しい個人間取引に流用したのが問題か。本人確認をし「無い信用を担保する」事をドコモが怠った、か。
2020/09/10 08:08
kobito19
長年金融SIerやってきた者からするとdocomoみたいなコア事業が金融じゃない事業者のコンプライアンスのガバさは仕事やっててもマジビビる
2020/09/10 08:13
aaaaiyaaaa
信頼関係で成り立っている金融機関の仕組みを、「これ使えば簡単じゃん」と若手が安易に提案し、業界事情に疎い上司もあっさり通してそう
2020/09/10 08:16
sny22015
こう考えてくと、21世紀のdアカウントより店頭で免許証のコピーを取られた前世紀のレンタルビデオ屋のほうが本人確認の一点に限れば確かだったなんじゃないのと思ったり
2020/09/10 08:20
suisuin
同じく本人が手続きして家賃の振替引き落としを自動化する場合も振込先は任意の大家さんだし誰でも可って気が
2020/09/10 08:22
tyawanmushi001
Web口座振替は他の決済サービスでもつかわれてるし地銀側の口座番号と暗証番号だけで認証できる&リバースブルートフォース対策していなかったことのほうが問題だと思うけど…
2020/09/10 08:24
arrack
別に公共料金って本人名義じゃなくても引き落とし可能だよ。
2020/09/10 08:25
miky3939
前は口振用紙に銀行印の押印が必要だったから物理的に盗まれない限りほぼ大丈夫だろうけど、今はネットの申請だけで通っちゃうこともあるもんな… 印鑑お前…お前だったのか…今まで口座を守っていたのは
2020/09/10 08:26
sds-page
「うーん、日本の決済周り、法律でガチガチやなー。お、ここ緩いやんけ!使ったろ!」→大事故
2020/09/10 08:27
qouroquis
口座振替は「信頼できる組織を介しているから」というより、一般的に振替依頼書に口座保有者の印章を押印し、銀行で印鑑照合して本人確認することでなり立っているのでは。
2020/09/10 08:28
proverb
高木先生の見解で合ってると思うけど、一般では未だに「ユーザが口座番号と暗証番号を漏洩させた説」や「ユーザが詐欺に遭った説」つまりユーザがやらかしたという認識が一部残っているようだ
2020/09/10 08:29
itochan
サービスの又貸し状態
2020/09/10 08:31
REV
海外はどうやってるんだろ。妄想だが、緩めにし、なんかあるとリポ猿から巻き上げた金で補填をし、ほんで、悪いことやった奴を殴りに行く(※殴れるとは言ってない)って予想。
2020/09/10 08:34
spark7
口座振替自体を、登録アクションがあった時に本人に確認する手間をかけるようにするとかも必要かも。覚えのない収納機関から勝手に登録されるって事態も想定すべきに思う。いつまでも信頼ベースじゃやべえでしょ。
2020/09/10 08:37
houyhnhm
本人確認が緩い公共料金はないしねー。そもそも振替ベースだと本来は換金不可能な引き落としなんだよ。古くからオートチャージやっている会社はクレカ挟むし。
2020/09/10 08:49
mayumayu_nimolove
ひろみちゅ先生が一般ツイッタラーの発言を認めただと…
2020/09/10 08:52
north_god
個人相手の自動引き落とし、成る程
2020/09/10 08:55
lalupin4
的を射て当を得る。
2020/09/10 09:01
homarara
的を得てどうすんねん。用具係か。的は射るもんやろ。
2020/09/10 09:03
stp7
するにしても電話認証によるワンタイムパスワードは必要。携帯電話を口座に登録してない人が多数いるしSMS認証は無理。
2020/09/10 09:04
makou
面白いというと語弊があるが発色反応みたいに問題点が浮き上がってて面白い。
2020/09/10 09:08
monster-energy-zx14
そんなセキュリティザルか? 銀行口座と名義とパスワードが漏れてるなんて、その時点で終わりなんだけど
2020/09/10 09:10
kjin
“銀行側の受付で、届出印照合のような認証処理が行われればいいが、それに相当するものが4桁数字暗証番号だというところで破綻している。”
2020/09/10 09:12
getcha
サービスを広めるために銀行に協力を求めて歩いている営業がいて、ITで適当な営業するとこうなるというよくある事象がたまたま可視化されただけだと思っている。
2020/09/10 09:16
buhoho
ドコモ口座昔は本人確認必須だったっぽいしその頃はこの振替で機能してたけど、仕様変更によって本人確認しなくなったので破綻した感じかな
2020/09/10 09:16
timetrain
納得の説明だった。それなりに信用される企業にのみ許可していたのを、事実上確認もされない個人に公開してしまっていたらそりゃ崩壊するわ
2020/09/10 09:18
mlr
タンス預金に戻るひとが出てきそう
2020/09/10 09:18
Zuboraben
最初このニュースを聞いたとき仕組み的にあり得なくない?と不思議だったが、あり得ないことが許されていたというあり得ない案件
2020/09/10 09:18
shoh8
銀行側がバックドア作ってくれた
2020/09/10 09:22
k-holy
非デジタル要素で認証しているサービスをWebで提供する場合、利便性を損ねてもそれに代わる要素を導入するべき。今回はドコモの杜撰さが際立つけど、Web口振受付サービスも改善なければ同じ事が繰り返されるのでは?
2020/09/10 09:29
oshisage
一連のツイート学びがある
2020/09/10 09:30
ROYGB
こういうのは手続きの簡素化を変にすすめてしまった失敗例なのかも。やはり紙に銀行印を押してもらわないとダメだと逆行したりして。
2020/09/10 09:31
hiroomi
そもそもたどると末締め支払いにしておけば必然と担保とる構造になるけど、随時はね…と、明示できてないのもな。
2020/09/10 09:33
t-tanaka
4桁の暗証番号をWeb上の認証に使うこと自体が有りえない。あれは,ATMなど実機の前に来て入力すること,カードなど物理媒体と組み合わせて利用すること,数回の試行失敗で口座がロックされることが前提の仕組みだ。
2020/09/10 09:43
b4takashi
そもそも口座振替って大丈夫なのか?という気はほんのりしていた。
2020/09/10 09:45
otihateten3510
便利なのは分かるけど、一社内でやる奴だよねこれ。ドコモの勇足な感じ。
2020/09/10 09:45
strbrsh
信頼しすぎたのかなー。
2020/09/10 09:54
t-murachi
せめて利用者の郵送での所在地確認ぐらいはすべきだと思うんだよね(´・ω・`) QRコード印字したプリントを郵送してアクセスさせればいいわけで(´・ω・`)
2020/09/10 09:55
doksensei
なるほど関係ないかもしれないが、Dカード?の人のdポイントが裏面のバーコードなのも気になる。定時の際セキュリティコード丸見えなんだよね。よく出すなあと思って見ている
2020/09/10 09:55
lastline
ドコモ口座が「Web口座振替受付サービス」の想定から外れているのはそうなんだろうけど、根本的に「Web口座振替受付サービス」に脆弱性があるわけで、見直しは必要かと。
2020/09/10 10:04
cinefuk
公共料金引き落としは「利用者の住所」に紐付いているけれど、「携帯電話の契約」に紐付かない(メアドだけで登録できる)docomoIDに対して口座振替ができる仕組みって、銀行のセキュリティに対するhackで、docomoは共犯だ
2020/09/10 10:17
mitsubushi
にくいねっ! ネット銀行によくついてぬる認証番号表カードや、ゆうちょの電卓モドキの出番と活躍が待ち遠しいぜ! なぜそれらを使わないのか? / ドコモがドコモ携帯ユーザー以外にも媚びだしたのが地獄の始まり!
2020/09/10 10:32
zakusun
利用者側は増加するサービスをいちいち全て脆弱性を検証することはできない。サービスをリリースする側=利益を得る側にそれを行う義務がある。あとセブンもそうだけど大企業もぬるい仕事してんな。
2020/09/10 10:33
Dragoonriders
本人確認どうやって担保する? に帰結。ドコモが実体的に直接本人確認しないといけないのに、ステアドdアカウントで銀行口座が登録出来たことを持って銀行が求める本人確認としたのでは、何の確認にもなってない。
2020/09/10 10:33
NOV1975
もう一度、口座振替契約とはどうあるべきか、を考えないとね。新型決済の現金連携スキームはほとんどがこれなので。
2020/09/10 10:35
masadasu
ITを使って便利な社会を築こうとしたら当然こうなるのは分かってる。失敗を重ねながら前進していくしかない。それにしてもあまりに稚拙なシステムだった。
2020/09/10 10:54
sewerrat
銀行側もドコモ口座の安全性を確認する義務(善管注意義務)を怠ったという意味で責任はゼロじゃない。まぁ、天下のドコモだから油断したんだろう。ドコモもしくは銀行のどちらかが一方的に悪いという事はあり得ない。
2020/09/10 10:55
stealthinu
ドコモのユーザ確認が甘いのに高い信頼が必要な口振の権利を与えてるのが根本的問題だという指摘
2020/09/10 10:57
rti7743
公共料金の自動引落しも信用の上に成り立っている危ないものだからな。クラックされたら大変だよな。ログの監視と監査システム作りこんで怪しそうな取引には警告を上げるしかないんだろう。最終的には保険かな?
2020/09/10 11:05
haruten
関係ないけど、的を「射」ているは間違い、という指摘があるのはビックリ。そういう指摘をするなら「現在は”射る"も"得る"も誤用ではない」くらいのことはわきまえていてほしい。
2020/09/10 11:16
takeishi
ジャパンネット銀行が頑なにオンライン口座振替受付対応してくれなくて不便なんだが(郵送で3週間かかり、しかもトークン認証による確認まで要求する)こういう事件見ちゃうと対応しなくて正解だったんだ…。
2020/09/10 11:18
masudatarou
口座振替使うには銀行の口座開設に利用した届け出の印鑑が必要だろう 印鑑違いで申込みが返ってきた事あったぞ 申し込み用紙だけで利用できるなんてことはない
2020/09/10 12:03
NetPenguin
まぁ、これだよなぁ……(´・ω・`)
2020/09/10 12:11
soyokazeZZ
このへんの仕組みを理解しててシステム組める人って少ないだろうな
2020/09/10 12:21
sho1rou
えっ、これでオーケーなの?ってのはいくつかあった。せめてオンラインバンキングでのログインと暗号表による認証くらいは必要なのでは?
2020/09/10 12:27
kzm1760
こうゆうのを見ると、fintecまわりはまだ利用者のリテラシーが充分に無いと利用することですらリスクを抱えるというレイヤーなんだということが分かった。(早く収束して使うだけならリスクの無い世界になってほしい)
2020/09/10 12:43
electrolite
え、金融アプリでセキュリティリスクの仕様レビューがされてないんだ、、、後からはなんとでもいえるけど、、、ドコモお得意の丸投げですか、、、
2020/09/10 12:46
pratto
で、どこのITドカタ派遣会社のやつがやらかしたの?
2020/09/10 12:50
minamishinji
なんとかPayの口座連携大丈夫かな…
2020/09/10 13:42
kyousuke104
それはそうなんだけど「Web口座振替サービス」はドコモ口座以外にも使われてるだろうし、その際には本人確認に暗証番号がやり取りされているの?俺の暗証番号を勝手に使わないで欲しい。
2020/09/10 14:00
udongerge
新しい便利が産み出されれば新しいセキュリティホールを探す者が現れる。ドコモ口座に移動した資金がその後どう動くのか、逐一追跡ができればいいんだろうけど。
2020/09/10 14:22
wakwak_koba
自身の取引銀行に対して「Web口座振替サービス」を利用停止にしてくれ、と頼んでみた。口座振替を依頼することがあれば届出印を突いた書類を使うから、私の知らぬところで勝手に振替依頼されないようにしてくれ。
2020/09/10 14:38
isrc
地銀ネットワークサービス(株)の「Web口振受付サービス」を個人に使わせたdocomoが悪いわぁ 地銀ネットワークサービス(株)もよく使わせたな
2020/09/10 14:43
natu3kan
固い組織しか使えない自動振込を自由に使えると、こういうことになると。
2020/09/10 15:08
hetoheto
気になるのはこれはドコモ口座だけの問題なのか?と言う点。知名度で自動振込を許可しているなら他にもある可能性も?
2020/09/10 15:36
ho4416
振替用紙も印影でしか本人確認してないけどよく成り立ってるな
2020/09/10 16:10
Silica
携帯電話と銀行口座という本人確認が必要なはずのもの二つを利用する振り込め詐欺が何故摘発されないのか不思議でならないんだけど
2020/09/10 16:38
tohokuaiki
えー。あれ使わせてたのか…納得…
2020/09/10 17:12
namisk
LINE Payの口座登録は…銀行側ネットバンキングにログインさせて登録か。妥当。/PayPayは…暗証番号だけだ、地銀ネットのWeb口振っぽい。もしWebUIがあれば狙われてたかも。
2020/09/10 17:43
nmcli
弊社は例えば税理士の顧問料を口座振替にしてるのだが、設定を済ませてあると、税理士のシステムで弊社の通帳から自由な金額を簡単に引き出せるそうな。それを聞いて、口座振替が性善説で動いてるのだなあと理解。
2020/09/10 18:52
xlc
そもそも任意の金額を引き出せる口座振替という制度自体がバグなんだと思うぜ。中国では毎月請求に対して利用者が能動的に支払う。QR決済なのでたいした手間ではない。
2020/09/10 20:02
chintaro3
 まぁ履歴がキッチリ残っているはずだから、今後の捜索待ち
2020/09/10 21:56
genosse
この事件について色々解説を読んだ中で思い浮かんだのは、次の名言だ。「なぜフェンスが設置されたのかわかるまで、絶対にフェンスを撤去してはならない」(G.K.チェスタトン)
2020/09/10 22:16
tripleshot
この件はまあ、ほんとに、この通りだなと思う。引き落としする側が変なことをしないちゃんとした組織である、という前提のシステムで、金額は引き落とし側で決められるんだもん。
2020/09/12 07:24
tick2tack
信頼できる組織向けのシステムが個人に開放されてしまった形だという指摘。やるならドコモが保障をきちんとする形でないとダメってことかな