「ドコモ口座」経由で金融機関口座から不正引出 - 約1000万円の被害

同社は、不正に金融機関の口座が登録されたことに関して、同社以外で取得された金融機関の口座番号と暗証番号が悪用されたとの見方を示した。「ドコモ口座」のシステムではハッシュ値も含め、暗証番号は保有しておらず、同社経由の情報流出については否定している。

一方、金融機関のウェブサイトで「ドコモ口座」との連携登録を行う際の本人確認は金融機関に依存しており、NTTドコモでは把握していない。

本誌が取材した複数金融機関では、口座番号や暗証番号にくわえて、口座名義、生年月日といった項目なども入力が必要だった。さらに暗証番号に関しては、一定回数を超えて誤入力すると登録が行えなくなる機能も備えており、ブルートフォース攻撃など行えないよう対策を講じていた。

今回の問題を受け、今後NTTドコモではオンラインの本人確認システム「eKYC」を導入する方針。金融機関による認証後、「ドコモ口座」で身分証明書と本人を撮影した画像のアップロードを求め、証明書の本人写真とアップロードされた写真が同一人物であるか確認する。またSMS認証などもあわせて導入するなど、セキュリティの強化を図るとしている。

（Security NEXT - 2020/09/10 ） ツイート

PR

関連記事

システム管理用GitHubアカに不正アクセス、内部処理の痕跡も - CAMPFIRE
個人情報流出の可能性、生産や販売活動には影響なし - 村田製作所
クラウドサーバがランサム被害、従業員情報が流出か - ホテルオークラ福岡
開発テスト環境から顧客情報流出、外部からの指摘で発覚 - 阿波銀
委託先にサイバー攻撃、従業員などの個人情報流出の可能性 - ジョイフル
再委託先にサイバー攻撃か、帳票発行が停止 - 中部電力関連3社
引越し見積もりシステムで個人情報流出の可能性 - アットホーム
個人情報8149件が流出、サーバに不正プログラム - プラ製品メーカー
ランサム被害で情報流出を確認、生産や納期に影響なし - トンボ飲料
サポート詐欺で遠隔操作ツールをインストール - 和歌山の休日診療所