※このホームページは、バリアフリーを目指し、音声読み上げソフトに対応しています。

 


新・電子ノートブック Snap Note 3
  フリーソフト Snap Note 3 mini 公開!  

ソフトウェア・デザイン館 Sage Plaisir 21 へようこそ!
隔週月曜更新 : 毎週1つのニュースまたはプログラミング技術を取り上げ、解説します。

東日本大震災 まとめページ

[PR] 最強のスクリプト・ライブラリ vbslib5 が Windows 10 に対応!
[PR] シェル・スクリプトを格段に使いやすくする bashlib1 公開中


2020年より、IT ニュース&コラムは 3週に1度の配信となります。

週刊 IT ニュース&コラム 2020/10/19

ドコモ口座から不正な引き出し、スマホ決済会社はセキュリティを軽視

2020年 9月 10日、NTTドコモは、ドコモ口座から不正な引き出しがされているという
SNSの投稿が相次いだことを受け、セキュリティの不備を認め、補償を行った。

ドコモ口座は、2011年から始まっている「ドコモ ケータイ送金」の口座が始まりであるが、
2019年 9月ドコモ口座の残高で買い物の決済をできるようにd払いに、
ウォレット(財布)機能を追加した。

その際、ウォレット機能の利用を開始するときのハードルを下げるために
電話番号の登録をしなくても、メールアドレスだけで利用を開始できるようにした。
ドコモ回線を契約しているユーザーは、「回線認証」と「ネットワーク暗証番号」による
強固な本人認証を行っているが、ドコモ回線を契約していない人がメールアドレスで
開始したときは強固でないためか機能が制限された「口座(プリペイド)」を開設できる。
フル機能の「口座」ではない。

ドコモ回線を契約していないユーザーが「口座(プリペイド)」ではなく、
銀行から入金、銀行へ送金・返金できる「口座」を開設するには、
銀行との契約が必要になる。
その際、銀行の口座番号に対する「本人確認手続」が銀行側に求められるのだが、
いくつかの銀行では氏名と4桁の暗証番号だけで本人確認が行われた。

攻撃者が行った方法はおそらく、Google または独自に作成した新しい攻撃用の
「メールアドレス」でドコモ口座の「口座(プリペイド)」を開設し、
リバースブルートフォース攻撃で「4桁の暗証番号」が分かった「銀行の口座番号」を見つけ、
「口座」を開設し、d払いで金券か何かを購入したことが推測される。

以上からドコモ口座の有無に関係なく、ドコモ口座と連携できる銀行に口座を
持っている人はだれでも被害に遭う可能性があった。
被害に会ったかどうかを確認する方法は、銀行の通帳に心当たりのない
「ドコモコウザ」への出金があるかどうか調べることだ。

問題点をざっくりいうとドコモ口座のアカウントを作る(サインアップする)際の
本人確認を厳密にし、銀行と連携する際の銀行側の本人確認を厳密にすることだろう。
eKYC と言われることもある。

2段階認証と2要素認証の違いにも注意したい。
認証情報は3つのカテゴリに分類されるのだが、そのうち2つのカテゴリを
認証に使うことを2要素認証と呼ぶ。1つのカテゴリの中の2つの認証情報を使うことは
2段階認証であって2要素認証ではない。

・知識情報:ID, パスワード
・所持情報:ICカード, USBトークン, ワンタイムパスワード, SMS認証
・生体情報:指紋認証, 顔認証, 虹彩認証

「Electronic Authentication Guideline(電子的認証に関するガイドライン)」第3版(NIST SP 800-63-3)
https://openid-foundation-japan.github.io/800-63-3-final/sp800-63-3.ja.html
では、

・Identity Assurance Level(IAL) … サインアップのレベル
・Authenticator Assurance Level(AAL) … サインインのレベル
・Federation Assurance Level(FAL) … トークンのレベル

を定義しており、少なくとも IAL と AAL はレベル2(2要素認証)以上を求めている。

もちろんそれ以外にも注意するべき点はあり、2020年9月18日付で金融庁は
「コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン」
https://www.meti.go.jp/press/2020/09/20200918002/20200918002.html
を策定した。

2要素認証は昨年の 7pay の事故でも言われたことなので、スマホ決済サービス会社は
セキュリティに対して軽視して、早くサービスを提供することを重視しているようだ。
各社からサービスが出そろい、淘汰される段階になるまでセキュリティの不安は無くならないだろう。

ドコモはお問い合わせ窓口を設置し、大半の補償を終えた。
1日あたり20万円の取引上限があったため被害額はあまり多くなかったようだ。

ソース
  >>>  https://ja.wikipedia.org/wiki/ドコモ口座
  >>>  https://note.com/tonfi/n/n1de91fb6d135
  >>>  https://www.businesslawyers.jp/articles/832
  >>>  https://www.itmedia.co.jp/news/articles/2009/16/news047.html
  >>>  https://www.itmedia.co.jp/business/articles/2010/12/news073.html
  >>>  http://blog.livedoor.jp/sage_p/archives/52094859.html



Sage Plaisir 21 のブログやツイッターを読もう!

Sage Plaisir 21 では、ここのホームページのほかにブログとツイッター も行っています。
ブログは、こちら。
ツイッターは、こちら。

Sage Plaisir 21 メールマガジンを読もう!

週刊 IT ニュース&コラム』には、 このページに掲載している コラムの他に、注目ニュースを集めたリンク集も、掲載しています。 日々多く集まる IT 情報から、注目すべき話題をコラム形式で取り上げますので、 ぜひチェックしておきましょう。 (サンプル、および登録)


Sage Plaisir 21 Contents
[ English | 日本語 ]

自動化ツールのダウンロード (2017-01-04) update!

急速な IT 革命により開発スピードの向上が課題になっています。 その鍵になるのがツールの活用または開発です。 一般的なものから専門的なものまで使えるツールを公開しています。

技術資料&オープンソース (2012-03-19)

扱う技術が多くなってくるにつれ、 技術はマスターするものではなく調べるものになり、 どれだけ実践に即した資料を集められるかどうかが、 勝負になります。標準的な技術の資料だけでなく、 プログラムソースやライセンスフリーのライブラリも公開しています。

オブジェクト指向プログラミング設計 (2000-04-01)

Visual Basic 7 にもついに本格的なオブジェクト指向の 機能が追加され、ソフトウェア技術者には必須の知識に なりつつあります。長年の研究の成果から、最新の応用方法まで 様々なメモを公開しています。

ソフトウェア・デザイン館より(技術エッセイ)   (2000-11-01)

プロの経験を通じて習得したソフトウェア全般に関する 技術を解説しています。 ソフトウェアとは何かといった根本的なことを通じて、 デザインに関するポイントをわかりやすく説明しています。


          
 ソフトウェア
デザイン館
Sage Plaisir 21

Simple and Visual

SagePlaisir21サーチ
パワード・バイ・グーグル

週刊 IT ニュース&コラム

10/19 ドコモ口座から不正な引き出し、スマホ決済会社はセキュリティを軽視

9/28 したくない作業でもするようになる 5分スイッチ テクニック (4)

9/7 30%の手数料を支払っていないとしてアップルが Epic Games の Fortnite を削除

8/17 したくない作業でもするようになる 5分スイッチ テクニック (3)

7/27 Linux と Apple が人種差別的な用語を包括的な用語に置き換えると発表

7/6 したくない作業でもするようになる 5分スイッチ テクニック (2)

6/15 GitHub と MySQL を組み合わせたサーバー DoltHub

5/25 したくない作業でもするようになる 5分スイッチ テクニック (1)

5/4 Apple と Google が新型コロナウイルス感染者を追跡するシステムを発表

4/13 手続き型プログラミング言語で宣言型プログラミングをする(2)

3/23 新型コロナウィルスの影響でリモートワークの仮導入が進む

3/2 手続き型プログラミング言語で宣言型プログラミングをする

2/10 飲食店や病院などの予約システムをクラウドで簡単に作れる SELECTTYPE

1/20 コメントを書かずに概要を説明する方法 - リーダブル コード(61)

12/30 書くスペースを半自動的に作ってメモをしやすくする SpaceInk

12/16 手続き型プログラミングと宣言型プログラミングを使い分ける

12/2 ヤフーとLINEが経営統合して、あらゆる決済ができるスーパーアプリを提供へ

11/18 Linuxによくある謎の記号による処理を説明変数で読みやすくする方法

11/4 アップルが HKmap.live を香港デモを支援するアプリと判断し配信停止

10/21 エラーが発生したときに例外を投げずに返り値としてエラーを返したときの問題

10/7 暗号化PDFを開こうとパスワードを入力すると流出する脆弱性

9/23 Go 言語でよく defer される Close 関数のエラーを捕まえる

9/9 多くの Web サービスのインフラを提供している aws に障害発生

8/26 POSIX の ls コマンドで表示される一覧の区切りの空白は2文字

8/12 Google が Chrome のシークレットモードで有料記事を無料で読める機能を強化

7/29 プログラムとしての定数と仕様としての定数を明確に分けること

7/15 電子決済サービス開始で再び不正利用。7pay の対応の問題とは

7/1 インストール手順にバグがある原因は、スクリプトを作っていないから

6/17 音楽権利情報処理にAWSのブロックチェーン技術が採用される

6/3 インストーラーでインストールする対象のバージョンは、最新版より特定版

5/20 PC上での共同作業をインテリジェンスにする Fluid Framework

5/6 Windows で Python スクリプトを Python の仮想環境の中で起動する方法

4/22 Windows で USB デバイスの安全な取り外しの操作が不要に

4/7 ブール型の説明変数の名前は文にする - リーダブル コード(60)

3/25 グーグルがゲーム ストリーミング サービスに参入、STADIA を発表

3/11 ソースコードが早く読めるようになる、シンプルコメント2 - リーダブル コード(59)

2/25 無料で使えるように改変した iOS アプリを何者かが配布

2/11 ソースコードが早く読めるようになる、シンプルコメント2 - リーダブル コード(58)

1/28 5月1日から変更される新元号の名前の発表が 4月1日に決定

もっと前の記事

自動化ツールのダウンロード

Snap Note 3 mini - サクサク使える自由ノート  new!

Plastic Window 1.20 - ウィンドウを半透明に  new!

Shortcut Director 1.00 - ショートカットのリンク切れ修正

Archives Folderizer SV 1.10 - 圧縮解凍

デジタルスクラップブックSVG Cats 2

その他のツール

オブジェクト指向プログラミング設計

技術資料

All Text composed by T's-Neko ts-neko@sage-p.com,