【ドコモ口座】セキュリティ専門家・高木浩光「地銀ネットワークサービス側はリスクを認識していたはず。地銀ごと認証強度選べる」 [雷★]

1 :雷 ★:2020/09/10(木) 20:21:58 ID:NSo1ODBn9.net
高木浩光
HiromitsuTakagi
@HiromitsuTakagi
あと、まだ出ていない(昨日の取材ではボツになった)ポイント、地銀ネットワークサービス側はリスクを認識していたはずという点。なぜなら、地銀ごとに認証強度を選べるようにしていた(おそらくメニューが提供されている)わけだから、危ないのは知ってて提供している。選ぶ側に知らされていたのか。

(deleted an unsolicited ad)

3 :不要不急の名無しさん:2020/09/10(木) 20:22:54 ID:5IjxwvWf0.net
地銀ネットワークサービスとは?

15 :不要不急の名無しさん:2020/09/10(木) 20:25:36 ID:MkRjW06D0.net
明らかに給付金で漏れたね

22 :名無しさん@13周年:2020/09/10(木) 20:37:59.76 ID:nxIZuG21o

ドコモからの指示通りに書くのに情強情弱あるかな?

52 :不要不急の名無しさん:2020/09/10(木) 20:38:42 ID:rVO67zGV0.net
ドコモは2段階認証しろとか言っているけど新規アカウントのドコモ側で2段階認証しても口座の持ち主はアクセスを把握できない

2段階認証が必要なのは銀行側

馬鹿って嫌だね

67 :不要不急の名無しさん:2020/09/10(木) 20:40:54 ID:A33dlglK0.net
この問題の理解仕方で日本は本当にIT後進国なんだなあと実感してるわ

34 :不要不急の名無しさん:2020/09/10(木) 20:31:35 ID:Gu1h57r60.net
それを選ぶのは犯人だからそんな選択肢に意味無いよね?

39 :不要不急の名無しさん:2020/09/10(木) 20:34:17 ID:o+LtytHu0.net
口座番号と暗証番号4桁だけで認証OK
と自ら選んだのは銀行だったって話だぞ

45 :不要不急の名無しさん:2020/09/10(木) 20:36:26 ID:f9jjuso80.net
選択肢を与えたのはドコモ。
ドコモには暗証番号認証だけで問題ありなら提携しないって選択肢もあった

71 :不要不急の名無しさん:2020/09/10(木) 20:41:43.16 ID:Jn9vKVAy0.net
>>45
セキュリティ要件満たさない銀行は除外できたよね

14 :不要不急の名無しさん:2020/09/10(木) 20:25:26 ID:j8vE7RJs0.net
過去から知っていたら言ってあげんたらいいのに

81 :不要不急の名無しさん:2020/09/10(木) 20:44:37.80 ID:cBGrCPvy0.net
>>14
ドコモ口座と連携出来る銀行を増やすために、セキュリティガバガバの連携方法を提供したんだろうな。

92 :不要不急の名無しさん:2020/09/10(木) 20:50:56.79 ID:3WLXLtEv0.net
給付金の振込口座から漏れたんじゃね?

83 :不要不急の名無しさん:2020/09/10(木) 20:47:51.96 ID:TDjk99sd0.net
地銀は事実上選択肢ないだろ
ドコモからのトランザクションを信用するかどうか

まさかなんの認証もなく口座開設してるとは思うまい

90 :不要不急の名無しさん:2020/09/10(木) 20:50:16.91 ID:S76EUsvu0.net
>>83
地銀は何をもって認証するか選択できるよ
生年月日、電話番号、二段階認証

実際に二段階認証を選択していた地銀は被害にあってない

101 :不要不急の名無しさん:2020/09/10(木) 20:53:49.65 ID:cBGrCPvy0.net
>>90
確かに選択肢はあるわけだけど、セキュリティが甘い選択肢を提供するのはどうなのかと思う。
お陰様でこのざまな訳で。

105 :不要不急の名無しさん:2020/09/10(木) 20:55:34.66 ID:S76EUsvu0.net
>>101
セキュリティ甘い選択肢を提供しているのは地銀ネットワークなので…

107 :不要不急の名無しさん:2020/09/10(木) 20:56:54.56 ID:n8Vv+mFU0.net
元々脆弱な認証方式使っててドコモが犯罪者の方集まれーとかやっちゃったもんだから
それが顕在化して金抜かれた
ネット送金系で暗証番号のみの認証ってあり得ないし生年月日もオマケ程度

119 :不要不急の名無しさん:2020/09/10(木) 21:00:52 ID:2hjz7KQJ0.net
かえって騒ぎになったからこそ、セキュリティの穴が露呈して問題に気づくことができたと言う皮肉。

ドコモの認証がSMSとか免許証画像送付とかやってても、そんなもん軽く飛ばしSIMと免許画像編集でクリアできるからな。

いちいち免許証の真贋なんて確認できんやろし。

121 :不要不急の名無しさん:2020/09/10(木) 21:02:26 ID:EpT6Cdlz0.net
あれ自分の今の顔も取って免許もとって認証じゃないっけ
免許だけじゃなかったような

125 :不要不急の名無しさん:2020/09/10(木) 21:03:29 ID:2hjz7KQJ0.net
どっちも写真だから偽造なんて余裕だろw

127 :不要不急の名無しさん:2020/09/10(木) 21:05:26.58 ID:tSwAclDX0.net
地銀にもお抱えのシステム屋がいるからなあ

129 :不要不急の名無しさん:2020/09/10(木) 21:05:49.04 ID:j3c6MLmL0.net
地銀のレベルなんてこんなもんだよw
受領印まで押してんのに手数料もらい忘れたから窓口まで支払に来てくださいって電話かけてきた百五銀行おまえだよw

95 :不要不急の名無しさん:2020/09/10(木) 20:52:19.35 ID:X/Fo7/G20.net
>>3
これ。

今回お漏らしした地銀は、「地銀ネットワークサービス株式会社」の「Web口振受付サービス」を利用している。
各社毎に自前でシステムを作るのは大変だから、こういう専門の会社が提供しているサービスを月額いくらで借りてる。

131 :不要不急の名無しさん:2020/09/10(木) 21:07:25.26 ID:TttrE79K0.net
>>95
それは各銀行側の振込ネットワークであって今回の真の原因ではない。
イオンやゆうちょ地銀関係ないし

139 :不要不急の名無しさん:2020/09/10(木) 21:11:05 ID:Y67O64Lb0.net
よく見て
Web口振受付サービスの中には幾つも要素がある
CNS(地銀ネットワークシステム)そのものの脆弱性ではなくて
NTTデータの「ネット口座振替受付GW」の部分だ

https://i.pilo.ovh/images/PAvpB.png

156 :不要不急の名無しさん:2020/09/10(木) 21:22:18 ID:TttrE79K0.net
それは振替の登録が済んでからの話しで、
登録時の口座確認は、CNSを通さないでopenAPIで直接各金融機関に口座情報を取得しにいく。

158 :不要不急の名無しさん:2020/09/10(木) 21:23:39.94 ID:Y67O64Lb0.net
>>156

今回の事件は口座接続時の問題だろ
本質をずらすな

189 :不要不急の名無しさん:2020/09/10(木) 22:24:31.55 ID:83loCTNo0.net
地銀ってやっぱり田舎者ばかりだから
ネット関連はトンチンカンなんだろう

191 :不要不急の名無しさん:2020/09/10(木) 22:37:17 ID:yQ8f9H/m0.net
頼まれて信金の明細を取得するスクリプト書いたけど、やっぱデザインのセンスが無いなとオモタわ。
地銀も似たようなものだし、アマゾンみたいな世界のトップレベルに比べれば比較にならんわ。

198 :不要不急の名無しさん:2020/09/10(木) 22:43:08 ID:tYGreWXI0.net
最初からドコモと提携をしなかっためぶきの強さよ

209 :不要不急の名無しさん:2020/09/10(木) 23:03:48.82 ID:JhC0Rj090.net
>>52
そうそう
今回はドコモという超大手ってのもあるんだろうが、
まともにものを考えられない馬鹿ばかりでいやになる

201 :不要不急の名無しさん:2020/09/10(木) 22:45:14 ID:VUg64RHr0.net
セキュリティ専門家レベルかと言われればyesとは言えないだろうな
今回の事例を見ている範囲内では
仮にリスクを認識してて対応しなかったんだったとしたらコスト面だろうけど

203 :不要不急の名無しさん:2020/09/10(木) 22:49:59.50 ID:yQ8f9H/m0.net
>>201
5chねらーですら速攻で駄目だしできるレベルなんだから、ちょっとしたセキュリティ会社のチェックを受ければ
ドコモでも地銀でも今回の穴は簡単に見つかる。
まあオレもその手の仕事をやってたけど、日本企業て自社のシステムの問題点を探すんじゃなくて問題ないことの確認をしてくる。
つまりは「ここセキュリティーホールですね」ていう調査を嫌がる。
おそらくドコモの担当者は「ドコモ口座は安全です」て言ってくれる調査屋に調査をしてたんだろ。

207 :不要不急の名無しさん:2020/09/10(木) 23:02:28 ID:5musQe9p0.net
そういうことじゃない
ドコモは、踏み台に悪用される脆弱性は対象外として検証しなかっただけ
自社の顧客に損害を与える脆弱性については必死こいて検証しまくって潰したが、
踏み台にされるケースは守るべき自社提供サービス顧客の資産ではないから優先順位が最低となるから大概行われない

地銀に関しては、元々契約ユーザのみのサービスだったこともあって、途中で仕様が変わってもドコモの方で必ず本人確認してるはずという思い込みがあったんだと思う

210 :不要不急の名無しさん:2020/09/10(木) 23:04:49.86 ID:PP3aWk9m0.net
>>207
>途中で仕様が変わってもドコモの方で必ず本人確認してるはずという思い込み

もしもそんな認識だったとしたら、無能過ぎる。
そもそも、本人確認は銀行側で行うスキームなんだから。(法令上。)

213 :不要不急の名無しさん:2020/09/10(木) 23:10:54.72 ID:5musQe9p0.net
>>210
今回の会見で、途中でドコモが仕様変更をした際の銀行側の認識がどうだったかをドコモに聞いても曖昧な答えが返ってきていた
ドコモ契約を用いて本人確認がきちんとされていた前提が変わったことを銀行にちゃんと認識させていたかが不明瞭だった

銀行側がドコモの本人確認済のデータを処理する際に、本人確認済であることをチェックする仕様なら
それで銀行側の本人確認は行われたということになるよ

216 :不要不急の名無しさん:2020/09/10(木) 23:12:53.62 ID:PP3aWk9m0.net
>>213
金融庁がそんな言い訳を聞いてくれる気がしませんね…。

217 :不要不急の名無しさん:2020/09/10(木) 23:14:10 ID:5musQe9p0.net
金融庁がセキュリティにどれだけ詳しいと思ってんだ?

225 :名無しさん@13周年:2020/09/10(木) 23:22:54.34 ID:WJQ5XXT6H
明らかにヤバいし