Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ドコモ口座」経由で金融機関口座から不正引出 - 約1000万円の被害

同社は、不正に金融機関の口座が登録されたことに関して、同社以外で取得された金融機関の口座番号と暗証番号が悪用されたとの見方を示した。「ドコモ口座」のシステムではハッシュ値も含め、暗証番号は保有しておらず、同社経由の情報流出については否定している。

一方、金融機関のウェブサイトで「ドコモ口座」との連携登録を行う際の本人確認は金融機関に依存しており、NTTドコモでは把握していない。

本誌が取材した複数金融機関では、口座番号や暗証番号にくわえて、口座名義、生年月日といった項目なども入力が必要だった。さらに暗証番号に関しては、一定回数を超えて誤入力すると登録が行えなくなる機能も備えており、ブルートフォース攻撃など行えないよう対策を講じていた。

今回の問題を受け、今後NTTドコモではオンラインの本人確認システム「eKYC」を導入する方針。金融機関による認証後、「ドコモ口座」で身分証明書と本人を撮影した画像のアップロードを求め、証明書の本人写真とアップロードされた写真が同一人物であるか確認する。またSMS認証などもあわせて導入するなど、セキュリティの強化を図るとしている。

(Security NEXT - 2020/09/10 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

バイト情報サイトから登録者情報が流出 - 転得したとの人物から連絡も
MS 365アカウントに不正アクセス、個人情報流出の可能性 - セガ子会社
サーバがランサム感染、個人情報流出の可能性 - 豊島
サーバがランサム被害、請求書発行などが停止 - 宮崎電子機器
子会社元従業員、ネットバンク経由で3.5億円を横領 - ホッカンHD
「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
淀川河川公園施設予約サイトのテストサーバで不正通信 - 個人情報流出か
サポート詐欺でPC遠隔操作、個人情報流出の可能性 - 堺市体育館
国際作戦で「LockBit」の一部関係者を逮捕 - 復号鍵など押収
2022年末にサイバー攻撃、従業員情報流出の可能性 - パナソニックグループ会社