「ドコモ口座」経由で金融機関口座から不正引出 - 約1000万円の被害
同社は、不正に金融機関の口座が登録されたことに関して、同社以外で取得された金融機関の口座番号と暗証番号が悪用されたとの見方を示した。「ドコモ口座」のシステムではハッシュ値も含め、暗証番号は保有しておらず、同社経由の情報流出については否定している。
一方、金融機関のウェブサイトで「ドコモ口座」との連携登録を行う際の本人確認は金融機関に依存しており、NTTドコモでは把握していない。
本誌が取材した複数金融機関では、口座番号や暗証番号にくわえて、口座名義、生年月日といった項目なども入力が必要だった。さらに暗証番号に関しては、一定回数を超えて誤入力すると登録が行えなくなる機能も備えており、ブルートフォース攻撃など行えないよう対策を講じていた。
今回の問題を受け、今後NTTドコモではオンラインの本人確認システム「eKYC」を導入する方針。金融機関による認証後、「ドコモ口座」で身分証明書と本人を撮影した画像のアップロードを求め、証明書の本人写真とアップロードされた写真が同一人物であるか確認する。またSMS認証などもあわせて導入するなど、セキュリティの強化を図るとしている。
(Security NEXT - 2020/09/10 )
ツイート
関連リンク
PR
関連記事
上下水道関連システムがマルウェア感染、インフラへの影響なし - 大槌町
データセンターのサーバより情報流出の可能性 - 東邦化学工業
標的型攻撃メールでPCがマルウェア感染 - 東大研究機関
多数システムでランサム被害、復旧や事業継続に追われる - ならコープ
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
ランサム暗号化を一部逃れるも流出可能性は否定できず - ダイナムJHD
ランサム被害で個人情報流出の可能性、データは復元 - JA大潟村
ダークウェブで個人情報流出を確認 - ダイナムJHD
ファイルサーバがランサム被害、情報流出の可能性 - みんな電力
不正アクセスで顧客の個人情報が流出の可能性 - スマホ買取店