昨日からニュースを賑わしているドコモ口座不正引き出しですが、
話をややこしくしてるのは「ドコモ口座」という名称・言葉です。
わかりやすくするために「ドコモ口座」を「docomoPay」と置き換えます。

問題は複雑に絡みますが、銀行からお金を引き出すために必要なのは、
ATMなら「キャッシュカード」と「暗証番号」で上限まで引き出せます。
docomoPayは「口座番号」と「暗証番号」と「名義」が一致すれば、
1アカウントは月30万までチャージできるので30万いっぱいやられます。
整理しておかなくてはならないのは、docomoPayにリンク出来る口座で、
「2段階」「SMS」「トークン」認証を実装してる口座は問題ありません。


では不正が行われる口座は、
・キャッシュカードがあれば暗証番号4桁だけで出金が出来る口座
・暗証番号が[1470][2580][3690]とキーボードと同じ配列の口座
・電話で残高照会する口座
です。


次に個人名義と口座番号と暗証番号が抜かれた最大の原因を書きます。
もし私が悪意のある人で、この3つを抜きたいのであれば盗聴します。
都市銀行でも地方銀行でも口座残高は、電話で確認が可能です。

口座残高を確認する際、必ず支店番号、口座番号、暗証番号を
スマホや携帯電話で入力する、それが分かればdocomoPay詐欺が出来ます。
残高照会しているときの状態を予想してほしいんですが、
発信元電話番号、銀行名、支店名、口座名、暗証番号が一度にわかります。
分からないのは発信元電話番号名義ですが、以下URLをご参照ください。


住所でポン！
https://jpon.xyz/
例えば家の固定電話なら問題ないだろうと固定電話で残高照会します。
住所でポンで発信元電話番号を検索、出てきたら簡単にこれ出来ますね。


当然、責任のありかは、docomoPayと地銀にありますが、
データ流出などの事件は10年前にはありましたから、
システム担当者は問題点は分かっていたはずなので、
更新できなかった企業に問題があると見るべきです。
セキュリティの弱い口座番号と暗証番号4桁で登録できる地銀が狙われた。
というのはこういうことです。

これで絶対大丈夫は、もうこの世の中にはありません。
でも少なくても「2段階」「SMS」「トークン」「暗証番号複雑化」は、
大きな費用を掛けずに出来ます、対策してる口座、銀行を選ぶ時代です。


御室技術で、電話で取引銀行に残高を確認することはありません。
どれほど高リスクかわかってます。もししてたら遠慮なくクビです。
追記、ニュースではブルートフォースアタックされたーとか、
暗証番号の４桁が簡単な口座が狙われたーとかありますが。

嘘だと思います。

特にブルートフォースアタックは、20年以上前からあります。
少なくともdocomoですから、ブルートフォースが検知されれば、
システムが勝手にIPを塞ぎ、仮にIP変えたとしてもまた塞ぎます。
多分確信犯なので、電話盗聴が本命だろうなと思います。
https://ja.wikipedia.org/wiki/総当たり攻撃