ドコモ口座の不正引落事件

2020年9月9日 18:41

特に、銀行の対応を中心にまとめてみた
大きく、連携中止。連携中であれば(4桁程度の)暗証番号以外の(生年月日以外の)情報が必要かどうかというあたりが中心。
2020/09/09現在、私が調べた限りでは、
連携中止か、または他の情報が必要
ということで、ひとまず安全な状態になった。
私の認識は21:40ごろ、一応連携機能が全停止したので、とりあえず一安心ということになった。

連携停止した銀行

七十七銀行
中国銀行
大垣共立銀行
イオン銀行
池田泉州銀行
大分銀行
紀陽銀行
滋賀銀行
仙台銀行
第三銀行
但馬銀行
鳥取銀行
北洋銀行
みちのく銀行
伊予銀行
東邦銀行
琉球銀行
ゆうちょ銀行
千葉興業銀行
りそな銀行(2019年)
埼玉りそな銀行(2019年)
関西みらい銀行(2019年)

被害のでた銀行リスト

七十七銀行
中国銀行
東邦銀行
鳥取銀行
滋賀銀行
大垣共立銀行
紀陽銀行
みちのく銀行
イオン銀行
ゆうちょ銀行
第三銀行
りそな銀行(2019年)(こちらは事件ではなく事故)

4桁の暗証番号以外の(生年月日以外の)情報が必要な銀行

みずほ銀行(オンラインバンキングへのログインが必要)(複数暗証番号、メール通知)
三井住友銀行(OTP)
ゆうちょ銀行(OTP)
愛媛銀行(OTP)
京都銀行(メール通知)
十六銀行(OTP)
静岡銀行(最後に記帳した残高)
広島銀行(OTP)(メール通知)
福岡銀行(メール通知)
イオン銀行(OTP)
ソニー銀行(複数暗証番号、メール通知)
千葉興業銀行(残高下4桁)
西日本シティ銀行(OTPメール)
八十二銀行(電話番号)(OTP)
肥後銀行(複数暗証、メール通知)(電話でOTP)
百十四銀行(複数暗証、メール通知)
南都銀行(ネットバンキングの認証が必要!?)

連携中で4桁の暗証番号のみの銀行

千葉銀行(ただし、出金(引落/口振)できないようになっている)
→
ドコモ口座問題千葉銀行に電話で問い合わせましたが、
9/9時点ところ被害報告なし数字4桁の暗証番号と口座番号では出金操作できない仕組みとの事 #千葉銀行

新規受付を全停止へ

2020/09/09 21:00(私の認知時間)、一旦、銀行との連携(新規受付のみ)を全停止だそうです。

参考 : ドコモ口座、35の全銀行で新規登録停止へ

口座番号と口座名義のリスト化

暗証番号の逆ブルートフォースでそれだけ多くの収穫を上げられるってことは、「口座番号＋口座名義」の組み合わせがかなりの数にわたって流出してるってことだよね。最近、個人の口座番号と口座名義の巨大なリストが動く機会って何かあったかな・・・あったね。とびっきりでっかい奴が。
という話と
口座番号から口座名義は引き出せるし、口座番号は総当りできるし、流出は必須条件ではないよ。
と
いや、ですから、氏名は銀行サービス（振込機能）で任意の口座番号で検索できるんですってば。有効な口座番号も同じ方法で特定できる。暗証番号はリバースブルートフォース。

他の〇〇Pay

楽天Edyはオサイフケータイのみ
LINE PayはSMS認証が必要
J-Coin Payは???
PayPay は不正利用が過去にアリ
auPayは連携できる銀行が2つ(auじぶん銀行とローソン銀行)だけ。(連携も乱数表や窓口とか簡単に悪用されない仕組み)
メルペイは「確認していない」
ドコモ口座はメールアドレスのみ、他の〇〇Payには大抵SMS認証がある(本人確認のないSIMカードもあるけど、概ねSMS認証で個人認証が可能)。

他の〇〇Payにまで波及

・PayPay
・メルペイ
・ウェルネット(支払秘書)
・Kyash
・LINE Pay

・2020/09/10 PayPayやメルペイは関係ないでいいんだっけ？ドコモ口座の不正送金問題を踏まえた考察
・2020/09/16 不正利用が発生した電子決済サービスについてまとめてみた
・2020/09/15 金融庁資金移動業者の決済サービスを通じた銀行口座からの不正出金に関する対応について
・2020/09/15 確認不十分ならサービス停止　金融庁、全銀行に要請
・2020/09/16 6社中5社が判明　PayPay、メルペイでもゆうちょ銀行から不正引き出し
・2020/09/16 不正利用発生を発表した決済サービス事業者
NTTドコモ（ドコモ口座）
Kyash
PayPay
LINE Pay
メルペイ
不正利用が報じられた決済サービス事業者
ウェルネット（支払秘書）
・2020/09/16 メルペイメルペイの利用における本人確認、不正利用対策強化について
・2020/09/16 ウェルネット「支払秘書」に関する不正使用およびセキュリティ対応について
・2020/09/16 LINE Pay ゆうちょ銀行に関する新規銀行口座登録・チャージの一時停止と本人以外による利用事案のご報告について

通帳に記載される振替名義について

いくつか問い合わせたりしたり、テレビに映っていたり、、、
・ドコモ口座
「ドコモコウザ」
・PayPay
一般的には「ＰａｙＰａｙ」または「PAYPAY」。場合によっては別のパターンもあるらしい
・Kyash
「ＫＹＡＳＨ」または「カ）キヤツシユ」
・ウェルネット(支払秘書)
「ウェルネット　チャージ」 from URL
・メルペイ
・LINE Pay
「ラインペイ」または「LINE Pay」
・mijicaカード
「ミヂカチャージ」

SMS認証

音声通話付きSIMカードには本人確認があるため、このような犯罪には使いにくいが、音声通話機能のない格安SIMカードには本人確認のないタイプもあるので、完璧に安全ではないようだ。

tor

ドコモ口座はtor経由でアクセスできるのが終わってる
せっかくゆうちょがtor弾いてるのにドコモ経由すると開くのガバガバすぎて草最低限のセキュリティすら出来ないならやるなよこんなクソサービス

口座残高の話

ドコモ口座の件残高ゼロだからセーフって言ってる人いるけどマイナスになるのかやばすぎだろ

過去の教訓は生かされず

あー、そういうことか・・・2019/07/17のニュースリリースってなんだろう?、「りそな銀行」とかって連携一覧にないよなぁ～、と思っていたのだけど、過去に同じ不正事件をやらかし、出禁になったってことなんだな。
→
「ドコモ口座」不正引き出し、昨年5月にも　りそな銀で同じ手口　教訓生かされず？
→
記者会見より、同じ手口の事件ではなく、事故/バグの類なので、教訓もなにもない

知ってて門前払いをしたドコモ

「ドコモ口座」不正引き出し、昨年5月にも　りそな銀で同じ手口　教訓生かされず？
という記事と
これ私もやられました…現在銀行と警察に相談中ドコモはほぼほぼ対応してくれませんでした！
の呟きを絡めると、ドコモはこういう不正行為がありうることを知っていながら、顧客の問い合わせには門前払いをしたということになる。
ドコモの企業姿勢は、まるでヤクザではないのか。
→
記者会見より、事件ではなく、事故なので、上記の批判は当たらない。
すいませんでした。

補填

最終的(2020/09/09 深夜)には被害者には、補填されるようになったらしい。

通帳記帳したけどいつまで遡って確認すればいいの?

=====追記===始まり
記者会見より、メールアドレスだけでドコモ口座が作れるようになったが2019年10月ということでしたので(聞き間違いかも)、最悪でも2019年10月までの通帳の記録を確認すればいいと思う。
不安なら、ドコモ口座が銀行口座と連携したのが2017年ということでしたのまで(記者会見より)、2017年まで戻って確認すれば、より安心するのではないでしょうか。
=====追記===終わり

今回の事件となったような派手なタイプの犯罪集団とは別に、大量のなりすまし口座から少額だけ盗み出すようなタイプ(例えば、一つの口座から5000円/月ずつ引落とすとか)の犯罪集団がいるかもしれない。
そういうリスクを考えると、例えば直近の1週間だけ通帳を確認すればいいという話にはならないわけで、・・・銀行はドコモ口座と "いつから" 連携したのかニュースリリースしてほしいわけです。
但馬銀行(2020/09/01～)
みちのく銀行(2020/08/28～)
大分銀行(2020/08/24～)
池田泉州銀行(2020/08/18～)
鳥取銀行(2020/08/18～)
第三銀行(2020/08/17～)
ソニー銀行(2020/06/03～)
滋賀銀行(2020/04/28～)
中国銀行(2020/03/02～)
スルガ銀行(2020/06/30～)
大垣共立銀行(2019/12/25～)
愛媛銀行(2020/05/25～)
十六銀行(2020/06/22～)
千葉興業銀行(2020/06/29～)
仙台銀行(2020/08/05～)
琉球銀行(2020/07/06～)
西日本シティ銀行(2019/08/22～)
八十二銀行(2019/08/22～)
紀陽銀行(2019/07/30～)
静岡銀行(2019/07/30～)
イオン銀行(2019/12/17～)
南都銀行(2019/12/18～)
伊予銀行(2019/10/29～)
北洋銀行(2019/10/29～)
肥後銀行(2020/03/23～)
百十四銀行(2020/03/23～)
京都銀行(2019/10/01～)
千葉銀行(2019/10/01～)
東邦銀行(2019/10/01～)
広島銀行(2019/10/01～)
=====
りそなグループ・りそな銀行(2018/03/26～2019/07/17ぐらいまで!?)
りそなグループ・埼玉りそな銀行(2018/03/26～2019/07/17ぐらいまで!?))
りそなグループ・近畿大阪銀行(2018/03/26～2019/07/xxぐらいまで!?))
「りそな銀行グループの銀行口座からチャージできない現象について(2018/03/26)」に記述があるけど、2019/07の事件でグループ全体で出禁にしたのではないかと推測!?
だけど2019/07のプレスリリースに「近畿大阪銀行」の記述がないのはなぜ!?
=====
関西みらい銀行(?????～2019/07/xxぐらいまで!?)
「ドコモ口座への銀行口座からのチャージ（入金）について(2019/07/17)」に記述されているので、2019/07/17時点では連携していた可能性がある
=====
(ゆうちょ銀行、みずほ銀行、三井住友銀行は2018/03/26時点で既にs-in)
(福岡銀行、七十七銀行は2019/07/17時点で既にs-in)
======
ドコモ口座の銀行との連携は2017年から(記者会見より)
======
メールアドレスだけでドコモ口座が作成可能になったのは2019年10月から(記者会見より)
→
よって、最悪2019年10月までの通帳の記録を確認すればいいと思う。
======以下が不明
みずほ銀行(ドコモ口座のs-in時点から!?)
三井住友銀行(ドコモ口座のs-in時点から!?)
ゆうちょ銀行(ドコモ口座のs-in時点から!?)
七十七銀行(ドコモ口座のs-in時点から!?)
福岡銀行(ドコモ口座のs-in時点から!?)
======

連携一覧にないから安全!?

「ドコモ口座対応金融機関と登録手順」の一覧(現時点での一覧)になくても、2019/07/17のニュースリリースで「りそな銀行」とかって連携一覧にない銀行の話があるので、過去に連携していて、現在は連携を解除している銀行もあるかもしれない。
→発覚しないように少額だけ窃盗している場合は、過去分も見直さなければならないので大変。
例えば、というか、一覧にない銀行が2019/07/17のニュースリリースに「関西みらい銀行」と出ていて、この手のパターンではないかと思った次第なんだけど、実際のところどうなんだろう!?
=====
参考ニュースのソースは
→
「ドコモ口座」不正引き出し、昨年5月にも　りそな銀で同じ手口　教訓生かされず？
と
ドコモ口座への銀行口座からのチャージ（入金）について

便乗したフィッシング詐欺

便乗詐欺が早くも登場のようです。
・2020/09/11 ドコモ口座の不正預金引き出しに便乗した迷惑メール、キャリアメール宛てに約30件

リンク

教訓(2021/01/15追記)

先日、主犯格が逮捕されたということで、ひとまずの終息かな。と思い、この事件での教訓となるようなことを書いてみる。
個人のお金は、デジタルマネーだろうが、クレジットカードだろうが、最終的には銀行口座に帰着するわけで、銀行口座の紙での記帳というのはこういう非常時の事件ではとても大切だということ。
DXだなんだと、紙の通帳などをコストとして廃止する方向にあるようだけど、例えばクレジットカードの使用履歴の明細はWebで、だけど12か月前までしかWebでは見れません。とか。
だけども紙の利用履歴は最後のバックアップとして、そして必要なコストとして残しておくことが大切なことではないだろうか。
なぜなら、不正行為は一見すると正常処理のように見せかけることで成立するわけで、つまり、何年も前の履歴が見れなくなるのは、何年も前から静かに進攻してくる不正行為に対して調べる伝手がなくなるということなのだから。
せめて、銀行口座の通帳と、クレジットカードやデジタルマネーの使用履歴ぐらいは、必要なコストとして(不要で削除すべきコストではなく)紙のままにしておくことが、教訓として今後も引き継がれていければなぁ、と思う。

以上

この記事が気に入ったらサポートをしてみませんか？