「ドコモ口座」経由で金融機関口座から不正引出 - 約1000万円の被害

同社は、不正に金融機関の口座が登録されたことに関して、同社以外で取得された金融機関の口座番号と暗証番号が悪用されたとの見方を示した。「ドコモ口座」のシステムではハッシュ値も含め、暗証番号は保有しておらず、同社経由の情報流出については否定している。

一方、金融機関のウェブサイトで「ドコモ口座」との連携登録を行う際の本人確認は金融機関に依存しており、NTTドコモでは把握していない。

本誌が取材した複数金融機関では、口座番号や暗証番号にくわえて、口座名義、生年月日といった項目なども入力が必要だった。さらに暗証番号に関しては、一定回数を超えて誤入力すると登録が行えなくなる機能も備えており、ブルートフォース攻撃など行えないよう対策を講じていた。

今回の問題を受け、今後NTTドコモではオンラインの本人確認システム「eKYC」を導入する方針。金融機関による認証後、「ドコモ口座」で身分証明書と本人を撮影した画像のアップロードを求め、証明書の本人写真とアップロードされた写真が同一人物であるか確認する。またSMS認証などもあわせて導入するなど、セキュリティの強化を図るとしている。

（Security NEXT - 2020/09/10 ） ツイート

PR

関連記事

子会社元従業員、ネットバンク経由で3.5億円を横領 - ホッカンHD
「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
淀川河川公園施設予約サイトのテストサーバで不正通信 - 個人情報流出か
サポート詐欺でPC遠隔操作、個人情報流出の可能性 - 堺市体育館
国際作戦で「LockBit」の一部関係者を逮捕 - 復号鍵など押収
2022年末にサイバー攻撃、従業員情報流出の可能性 - パナソニックグループ会社
中津市民病院でランサム被害 - 患者情報の流出や診療への影響は否定
ネット取引サービスに不正ログイン、株式不正売却も - SMBC日興証券
加子会社でもサイバー攻撃被害、犯人による脅迫も - ヤマハ
上下水道関連システムがマルウェア感染、インフラへの影響なし - 大槌町