「ドコモ口座」経由で金融機関口座から不正引出 - 約1000万円の被害

同社は、不正に金融機関の口座が登録されたことに関して、同社以外で取得された金融機関の口座番号と暗証番号が悪用されたとの見方を示した。「ドコモ口座」のシステムではハッシュ値も含め、暗証番号は保有しておらず、同社経由の情報流出については否定している。

一方、金融機関のウェブサイトで「ドコモ口座」との連携登録を行う際の本人確認は金融機関に依存しており、NTTドコモでは把握していない。

本誌が取材した複数金融機関では、口座番号や暗証番号にくわえて、口座名義、生年月日といった項目なども入力が必要だった。さらに暗証番号に関しては、一定回数を超えて誤入力すると登録が行えなくなる機能も備えており、ブルートフォース攻撃など行えないよう対策を講じていた。

今回の問題を受け、今後NTTドコモではオンラインの本人確認システム「eKYC」を導入する方針。金融機関による認証後、「ドコモ口座」で身分証明書と本人を撮影した画像のアップロードを求め、証明書の本人写真とアップロードされた写真が同一人物であるか確認する。またSMS認証などもあわせて導入するなど、セキュリティの強化を図るとしている。

（Security NEXT - 2020/09/10 ） ツイート

PR

関連記事

サイバー攻撃による個人情報流出が判明 - HOYA
「北海道じゃらん」に攻撃、個人情報流出か - フィッシング攻撃も
サイバー攻撃で一部サービスを停止、取引には影響なし - 日産証券
道の駅がサポート詐欺被害 - 異変気づき電源切るも遠隔操作の痕跡
「サポート詐欺」で1000万円超の被害 - ネットバンクへ誘導
ランサム被害で個人情報流出の可能性 - 日本電気協会
複数ファイルサーバに攻撃、ランサム被害を確認 - リフォーム部材商社
サーバに不正ファイル、個人情報流出の可能性 - TCC Japan
ランサム攻撃で個人情報が流出したおそれ - 井関農機グループ会社
ランサム感染でデータ暗号化、個人情報流出の可能性 - 家具メーカー