IT ニュース&コラム 2020/10/19 通巻818号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■ ドコモ口座から不正な引き出し、スマホ決済会社はセキュリティを軽視 ■■ 2020年 9月 10日、NTTドコモは、ドコモ口座から不正な引き出しがされているという SNSの投稿が相次いだことを受け、セキュリティの不備を認め、補償を行った。 ドコモ口座は、2011年から始まっている「ドコモ ケータイ送金」の口座が始まりであるが、 2019年 9月ドコモ口座の残高で買い物の決済をできるようにd払いに、 ウォレット(財布)機能を追加した。 その際、ウォレット機能の利用を開始するときのハードルを下げるために 電話番号の登録をしなくても、メールアドレスだけで利用を開始できるようにした。 ドコモ回線を契約しているユーザーは、「回線認証」と「ネットワーク暗証番号」による 強固な本人認証を行っているが、ドコモ回線を契約していない人がメールアドレスで 開始したときは強固でないためか機能が制限された「口座(プリペイド)」を開設できる。 フル機能の「口座」ではない。 ドコモ回線を契約していないユーザーが「口座(プリペイド)」ではなく、 銀行から入金、銀行へ送金・返金できる「口座」を開設するには、 銀行との契約が必要になる。 その際、銀行の口座番号に対する「本人確認手続」が銀行側に求められるのだが、 いくつかの銀行では氏名と4桁の暗証番号だけで本人確認が行われた。 攻撃者が行った方法はおそらく、Google または独自に作成した新しい攻撃用の 「メールアドレス」でドコモ口座の「口座(プリペイド)」を開設し、 リバースブルートフォース攻撃で「4桁の暗証番号」が分かった「銀行の口座番号」を見つけ、 「口座」を開設し、d払いで金券か何かを購入したことが推測される。 以上からドコモ口座の有無に関係なく、ドコモ口座と連携できる銀行に口座を 持っている人はだれでも被害に遭う可能性があった。 被害に会ったかどうかを確認する方法は、銀行の通帳に心当たりのない 「ドコモコウザ」への出金があるかどうか調べることだ。 問題点をざっくりいうとドコモ口座のアカウントを作る(サインアップする)際の 本人確認を厳密にし、銀行と連携する際の銀行側の本人確認を厳密にすることだろう。 eKYC と言われることもある。 2段階認証と2要素認証の違いにも注意したい。 認証情報は3つのカテゴリに分類されるのだが、そのうち2つのカテゴリを 認証に使うことを2要素認証と呼ぶ。1つのカテゴリの中の2つの認証情報を使うことは 2段階認証であって2要素認証ではない。 ・知識情報:ID, パスワード ・所持情報:ICカード, USBトークン, ワンタイムパスワード, SMS認証 ・生体情報:指紋認証, 顔認証, 虹彩認証 「Electronic Authentication Guideline(電子的認証に関するガイドライン)」第3版(NIST SP 800-63-3) https://openid-foundation-japan.github.io/800-63-3-final/sp800-63-3.ja.html では、 ・Identity Assurance Level(IAL) … サインアップのレベル ・Authenticator Assurance Level(AAL) … サインインのレベル ・Federation Assurance Level(FAL) … トークンのレベル を定義しており、少なくとも IAL と AAL はレベル2(2要素認証)以上を求めている。 もちろんそれ以外にも注意するべき点はあり、2020年9月18日付で金融庁は 「コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン」 https://www.meti.go.jp/press/2020/09/20200918002/20200918002.html を策定した。 2要素認証は昨年の 7pay の事故でも言われたことなので、スマホ決済サービス会社は セキュリティに対して軽視して、早くサービスを提供することを重視しているようだ。 各社からサービスが出そろい、淘汰される段階になるまでセキュリティの不安は無くならないだろう。 ドコモはお問い合わせ窓口を設置し、大半の補償を終えた。 1日あたり20万円の取引上限があったため被害額はあまり多くなかったようだ。 ソース https://ja.wikipedia.org/wiki/ドコモ口座 https://note.com/tonfi/n/n1de91fb6d135 https://www.businesslawyers.jp/articles/832 https://www.itmedia.co.jp/news/articles/2009/16/news047.html https://www.itmedia.co.jp/business/articles/2010/12/news073.html http://blog.livedoor.jp/sage_p/archives/52094859.html ■■ 注目ニュース 一覧 ■■ ◇ iPhone 12 などApple新製品の高解像度画像まとめ。 https://gigazine.net/news/20201014-iphone-12-homepod-mini-images/ … カメラで撮った画像をきれいに加工する技術が向上。 ◇ AppleのMac向けセキュリティチップ T2 に脱獄ツールが対応、Touch Barへの侵入などが可能に。 https://gigazine.net/news/20201002-apple-t2-jailbreak/ https://gigazine.net/news/20201014-apple-t2-usb-pwn/ … SSH でシステムにログインすることに成功。セキュアブートの突破しているのか? ◇ Googleが1000億円以上をニュースメディアに支払うと発表、なぜ危惧されているのか。 https://gigazine.net/news/20201002-google-news-showcase-pay-publishers/ … Google に盗まれないように法律をきちんと制定しないと。 ◇ Google Playで配信するアプリはGoogleの決済システムを使うことが必須に。 https://gigazine.net/news/20200929-google-play-payment-system/ … 売上げの30%をグーグルに支払うことを強制へ。 ◇ Epic GamesがUnreal Engineを使った車載ソフトウェアの開発を推奨、最初の採用車両は ハマーEV。 https://gigazine.net/news/20201008-first-epic-unreal-engine-hmi/ … 電気自動車の魅力がアップしそう。 ◇ ARM搭載のWindows 10向けにx64エミュレーションが登場、x64アプリ全般が動作可能に。 https://gigazine.net/news/20201001-windows-arm-x64-emulation/ https://japan.cnet.com/article/35160330/ … 今までは32ビットの x86 のみ対応していたが、x64にも対応。一般提供はされない。 ◇ NVIDIAのArm買収は技術独占を生み出すだろうとArmの共同設立者が語る。 https://gigazine.net/news/20201013-arm-founder-nvidia-monopoly/ … ソフトバンクのせいで中立な立場ではなくなり、アメリカ NVIDIA に市場が奪われる。 ◇ 100年以上も低温下の現象とされた超伝導を室温で発生させることに成功。 https://gigazine.net/news/20201015-room-temperature-superconductivity-first-time/ … 冷やす代わりに超高圧力。 ◇ リアルカートを部屋の中に作った自作コースで走らせるマリオカート ライブ ホームサーキット。 https://gigazine.net/news/20201016-mariokart-live-home-circuit-review/ … 当たり判定がリアルに。 ◇ ページ中のあらゆるリンクへショートカットキーで飛べるブラウザ拡張機能 Vimium。 https://gigazine.net/news/20201016-vimium/ … キーボード マニアの方には朗報。 ◇ シアトルでUberやLyftドライバーの最低賃金基準の条例可決。 https://japan.cnet.com/article/35160303/ … 個人事業主やバイトはフルタイムでは働けない。最低賃金の法律を下回る。 ◇ 技術職に就く米女性の半数が35歳までに退職。人事と女性の意識差も明らかに。 https://japan.cnet.com/article/35160234/ … IT技術者は医者と同様に人間性に問題がある傾向。 ◇ 相手の機嫌を損ねずにうまく反対意見を伝えるコツとは。 https://gigazine.net/news/20201004-tactfully-disagree-someone/ … 働きやすい職場はイベントではなく、心理学的なことを話し合えることではないか。 ■■ ソフトウェアデザイン館 Sage Plaisir 21 ■■ ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm