【ドコモ口座】持っていなくても危険。提携銀行、ゆうちょ、すぐ確認して。

2020年9月9日

もしかすると、被害者がすごい拡大するかもしれない。

NTTドコモの電子決済サービス「ドコモ口座」。提携銀行からの取引を利用された不正引き落としが発生している。

すこし調べて見ました。※間違っていたらごめんなさい。

一番大事なのは、不正にあった人のドコモ口座の有無は関係ない。

ドコモ口座と提携している銀行に口座を持っていている人は全員確認する必要がある。
※ゆうちょ銀行、幅広いなぁ…。すでに何行かで被害が報告されています。
下の方に提携先入れておきます。詳細はドコモ確認ください。
2段階認証をしていない金融機関が危険です。

口座残高が0円だとしても、口座の契約内容によってはマイナス残高になり得ます。

ゆうちょ銀行の口座連携サービスで、

停止した新規登録やチャージ決済サービス。(2020/9/15発表)

・ドコモ口座(上限30万/月)
・Kyash
・Paypay(17件141万円被害)
・LINEpay
・Paypal
・支払秘書
・楽天Edy
・PayB
・メルペイ
・ゆめか

ずいぶん前から被害が報告されていた模様です。相変わらず隠蔽体質だね。

不正の流れ(想像)

・ドコモ口座を適当な名前とメアドで登録
・口座番号、生年月日を事前に入手(流出、又は、別の方法)
・4桁の暗証番号(流出、又は、総当たり「ブルートフォースアタック」で入手)
・ドコモ口座で、紐づけ(本人確認なし)※これが問題
・引き落とし処理

自分は前の仕事で、ゆうちょ銀行からの引き落としを担当していたので、その時の知見から。

ゆうちょ銀行の人は、口座番号が漏れても不正されることは無いと言い切ってました(当時)。
>通常銀行カードが無ければ、暗証番号を知っていても、提携業者(電気、ガス、など)しか引き落とせない為と言っていた。要は引き落とせる業者はゆうちょと契約をしている会社、自治体だけで引き落とせる口座も事前に登録する必要がある。不正に取引があれば登録を許可した業者の責任。

要は、今回の業者の位置にあるのが「ドコモ」。そのドコモが問題ないと判断して、ゆうちょ始め各銀行に、引き落とし口座として登録してしまっている。ゆえに、登録の申請を出している「ドコモ」に責任があると自分は考えます。自分が担当していた時も、アナログとは言え書類を書いてもらい2.3週間かけて登録していました。

今後の展開と対応

基本はサービスを提供しているドコモの責任。ドコモ側は銀行のセキュリティにも責任があるとして、銀行側に話を持っていくと思われますが、被害金額が少なければドコモ側が全面的に持つような気がします。(2020.9.12現在2000万ぐらい)

現在は18行が口座手続きを停止してるようですが、既存口座はそのまま取引出来てしまう。(現在新規口座は停止中)
気づいていない人も多い高い可能性がある。

ドコモは全口座、少なくとも直近数カ月分は口座を停止するべきだ。

あくまで想像の域ですが、銀行の口座は連番で付与されているので、ランダムで番号を作り、暗証番号(1万通り)を総当たりでぶつけて調べる。これをbot(自動化されたプログラム)でひたすら調べれば可能な気がします。(bot対応しているれば防げている可能性はあります)クレジットカードなどはバック側でシステムで検知されるのであまり聞きませんが、口座番号の特性を利用した犯罪では無いでしょうか?

もっちーさんが、分かりやすい絵で紹介してましたので、転載します。(※下の方にtwitterあり、追加情報沢山入れてくれてます。)

↓↓↓↓↓↓↓↓↓

↓↓↓↓↓↓↓↓↓

金融機関名

みずほ銀行
三井住友銀行
ゆうちょ銀行
イオン銀行
伊予銀行
池田泉州銀行
愛媛銀行
大分銀行
大垣共立銀行
紀陽銀行
京都銀行
滋賀銀行
静岡銀行
七十七銀行
十六銀行
スルガ銀行
仙台銀行
ソニー銀行
但馬銀行
第三銀行
千葉銀行
千葉興業銀行
中国銀行
東邦銀行
鳥取銀行
南都銀行
西日本シティ銀行
八十二銀行
肥後銀行
百十四銀行
広島銀行
福岡銀行
北洋銀行
みちのく銀行
琉球銀行

日本国内

Posted by master