ドコモ口座のハッキング手口を説明するスレ『本人確認ガバガバのドコモ口座を勝手に開設』『総当たり方式で暗証番号を解析』

ドコモ口座の不正引き出し、17行で連携中断 被害総額不明

NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが、全国の地方銀行で相次いでいることが明らかになった。ドコモは9日未明までに、地銀など17の銀行の口座とドコモ口座の連携を中断したと発表。被害はさらに広がる可能性がある。ドコモは本人確認が不十分だったと認め、セキュリティーを強化するとしている。

ドコモ口座はスマホ決済や送金のためのサービス。利用者がドコモ口座を開設し、自身の銀行口座と連携すれば、お金を銀行からドコモ口座に入金(チャージ)し、スマホ決済の「d払い」や電子送金が使えるようになる。

 ドコモが口座連携を止めたのは、七十七銀行(仙台市)、中国銀行(岡山市)、大垣共立銀行(岐阜県大垣市)、イオン銀行(東京都)、池田泉州銀行(大阪市)、大分銀行(大分市)、紀陽銀行(和歌山市)、滋賀銀行(大津市)、仙台銀行(仙台市)、第三銀行(三重県松阪市)、但馬銀行(兵庫県豊岡市)、鳥取銀行(鳥取市)、北洋銀行(札幌市)、みちのく銀行(青森市)、伊予銀行(松山市)、東邦銀行(福島市)、琉球銀行(那覇市)。被害の件数や金額は不明。

 各行では、銀行の預金が見知らぬドコモ口座へと不正に引き出されたり、その疑いがあったりする事案が相次ぎ発覚している。

引用・出典:
https://news.yahoo.co.jp/articles/099ef0b18eedc765980fd214712580af7775cdfb

(動画引用・出典:Youtubeチャンネル「テレ東NEWS」より – https://www.youtube.com/embed/SI0_3-TfhTo )
(動画引用・出典:Youtubeチャンネル「FNNプライムオンライン」より – https://www.youtube.com/embed/S3WZK6ugxh8 )
(動画引用・出典:Youtubeチャンネル「ANNnewsCH」より – https://www.youtube.com/embed/_EzOKilSqJE )

ドコモ口座

ドコモ口座(ドコモこうざ)とは、NTTドコモの提供する送金・決済サービスの名称。ドコモが資金移動業者として運営している。

ドコモ口座は現金を扱えるプリペイド型のバーチャル口座である。だれでも無料で開設することができ、銀行口座やコンビニ等からドコモ口座へ入金すれば、ユーザー間の送金やネットショッピング(Visa対応サイト)等様々な用途に利用できる。

既存プリペイドサービスと異なる最大の特徴は「出金」機能である。送金で受け取ったお金やショッピングで利用した際の残金等は自分の銀行口座へ出金が出来、ドコモの電話料金へ充当することも可能である。

前身は2009年7月21日に提供開始された「ドコモ ケータイ送金」。携帯電話番号を指定して送金できるサービスで、2013年3月までは「ドコモ ケータイ送金」というサービス名称で提供されていた。じぶん銀行のケータイ番号振込が、送り手と受け手双方がじぶん銀行口座の開設が必要条件であるのに対して、当サービスは、送り手と受け手共に、特定の金融機関口座の開設を要しないことが特徴である。なお、送り手と受け手の双方がドコモ回線契約であることが必須である。

引用・出典:
Wikipedia – ドコモ口座

1: 電脳デカダンス2chまとめ 2020/09/09(水) 13:20:40.610 ID:56hIEJFH0
銀行口座の情報知ってるなら直接金奪えばいい気がするんだがドコモ口座が必要な理由ってなに?
情弱だからなにもわからん

5: 電脳デカダンス2chまとめ 2020/09/09(水) 13:28:45.642 ID:dbP0YCN600909
>>1
ドコモ口座ってのは電子マネーチャージの名称
メルアドさえあれば無限にドコモ口座を作れる
ドコモ口座にマネーチャージする方法として銀行口座からの入金がある
ここまでいいか?

11: 電脳デカダンス2chまとめ 2020/09/09(水) 13:53:45.044 ID:zQ1xAtiHd0909
>>1,10
ドコモが個人情報の流出は確認できていないって話の通りで、
そもそもどこからも口座番号や暗証番号の流出はしていないって話なんでしょ?

セブンペイとおんなじで、
エラー回数によるリトライ制限が設けられてないくて、
口座番号が存在してるなら、
後は暗証番号の総当たりで認証して勝手にドコモ口座の開設をして送金されてる

って聞いた

14: 電脳デカダンス2chまとめ 2020/09/09(水) 14:00:42.003 ID:dbP0YCN600909
>>13
エラー回数の制限はある
でも>>5の通りメアドがあれば無限にドコモ口座が作れる

15: 電脳デカダンス2chまとめ 2020/09/09(水) 14:05:16.638 ID:v+jfGYuV00909
>>14
エラー回数の制限はあるけど、総当たりは出来る……の?
ドコモ口座を先に作って、
攻撃対象とした適当な紐付け口座の暗証番号を総当たりで攻めて、
エラー回数の上限に達したら
次のドコモ口座を作って当たるまで繰り返し再攻撃って感じ?

19: 電脳デカダンス2chまとめ 2020/09/09(水) 14:13:06.530 ID:dbP0YCN600909
>>15
そういうことだと認識している

23: 電脳デカダンス2chまとめ 2020/09/09(水) 14:15:53.288 ID:v+jfGYuV00909
>>19,20
うおおおおおお震えてきたーーーーーー

25: 電脳デカダンス2chまとめ 2020/09/09(水) 14:18:09.262 ID:dbP0YCN600909
>>23
パスを固定して口座番号を探るリバースブルートフォースという総当り方式

不謹慎だけど裏をかいてる感じしてワクワクするよな
ちなみにいちばん多い暗証番号って1234なんだってな

27: 電脳デカダンス2chまとめ 2020/09/09(水) 14:21:16.807 ID:v+jfGYuV00909
>>25
わろた

4桁の暗証番号で防ぐのって難しいよなぁ
誕生日ダメ
簡単なのダメって言われても4桁じゃ似たり寄ったりなるはずだし

32: 電脳デカダンス2chまとめ 2020/09/09(水) 14:29:45.452 ID:Ks9ibH8L00909
>>1いったんドコモ口座に入金されたら、何も聞かれずに海外送金出来る。
つまりノーリスクでマネーロンダリングが可能。

3: 電脳デカダンス2chまとめ 2020/09/09(水) 13:23:18.822 ID:TLxq4lKn00909
ドコモ口座ってのがよく分からん
ドコモ銀行みたいなのがあるの?

4: 電脳デカダンス2chまとめ 2020/09/09(水) 13:26:51.867 ID:E2UUT8Xka0909
銀行口座に対してパスワードを間違えるとロックされるが
銀行口座自体はいくらでも設定できるから適当なパスワード決め打ちにしてひたすらいろんな口座番号いれまくるとそのうち当たる的なやつじゃね
しらんけど

7: 電脳デカダンス2chまとめ 2020/09/09(水) 13:41:15.661 ID:56hIEJFH0
ドコモ口座に口座登録するのって口座番号と暗証番号でやるのか?

8: 電脳デカダンス2chまとめ 2020/09/09(水) 13:45:29.524 ID:56hIEJFH0
そもそも口座番号と暗証番号って予め流出してたってことかと思ってたけど違うんか

10: 電脳デカダンス2chまとめ 2020/09/09(水) 13:49:28.194 ID:Q+DAZGa400909
犯人は何かしらの方法で口座番号と暗証番号を入手←方法はわかってない
それをドコモ口座と紐付けし
他人の口座からドコモ口座にお金をチャージして使用

大手の銀行は口座番号と暗証番号以外にも
ワンタイムパスワードとか必要だったから大丈夫だけど
地方銀行はその2つだけで済んでしまうと言うザルセキュリティ
ドコモ口座側も本人確認が足りなかったらしくそっちも問題

12: 電脳デカダンス2chまとめ 2020/09/09(水) 13:56:00.342 ID:v+jfGYuV00909
事前に口座番号の情報すら必要ないから、
当該銀行の口座を持ってる人は全員注意しろって昨日のスレでは聞いた

16: 電脳デカダンス2chまとめ 2020/09/09(水) 14:06:28.616 ID:6nj3qTwp00909
防ぐ方法が知りたい

24: 電脳デカダンス2chまとめ 2020/09/09(水) 14:18:01.955 ID:6cEhpVZwd0909
>>16
先にドコモ口座と本物の自分の口座を紐付けしちゃえば偽物は紐付けできない
本物のメアドと本物の暗証番号漏れてたらしらん

26: 電脳デカダンス2chまとめ 2020/09/09(水) 14:21:06.243 ID:dbP0YCN600909
>>24
ほんとこれな
ニュースの見出しに「ドコモ口座」って大きく書いてるくせに
ドコモ口座を持って紐付けしてる奴はセーフで
ドコモ口座の存在を知らない人の方が被害にあってる

ニュースの見出しって考えものだよな
最初見た時「ドコモ口座とかもってねーよ関係ないわ」って感じてしまうものな

17: 電脳デカダンス2chまとめ 2020/09/09(水) 14:10:14.404 ID:NBkbJwoN00909
振り込みのときって銀行名・支店名・口座番号入れると相手の名前が表示されるね

18: 電脳デカダンス2chまとめ 2020/09/09(水) 14:10:38.428 ID:pA2aodwI00909
あとノートパソコンとフリーWi-Fiでお手軽に足がつきにくく少ないリスクで海外からでも試行できる

得た情報をすぐに使わず寝かせておいてほとぼり冷めてから抜くとかもできる

21: 電脳デカダンス2chまとめ 2020/09/09(水) 14:13:53.036 ID:pBh9IZfu00909
国営企業ってろくなのねーよな

22: 電脳デカダンス2chまとめ 2020/09/09(水) 14:14:35.686 ID:MAIJwz+E00909
対象の口座持ってる奴は残金確認しとけよ

28: 電脳デカダンス2chまとめ 2020/09/09(水) 14:22:27.905 ID:v+jfGYuV00909
まさに寝耳に水ってやつ

29: 電脳デカダンス2chまとめ 2020/09/09(水) 14:24:47.011 ID:E7pTcWUC00909
確かにこの方法だとドコモ口座持ってる人間の方が安全なのか
メディアでまったく知識ない人に説明するにはちょっとややこしいな

30: 電脳デカダンス2chまとめ 2020/09/09(水) 14:25:20.956 ID:hT28Jzrd0
というかもうドコモ口座新規開設ストップしてるからみんな安全だぞ

31: 電脳デカダンス2chまとめ 2020/09/09(水) 14:25:48.619 ID:NBkbJwoN00909
悪いのはドコモ?
ドコモとか持ってないやつにドコモ口座を作らせようとするドコモのせい

36: 電脳デカダンス2chまとめ 2020/09/09(水) 15:23:39.224 ID:vc7CfiUP00909
今最も開設されています!
とか言い出しそう

37: 電脳デカダンス2chまとめ 2020/09/09(水) 15:35:31.939 ID:Y3+Lc44F00909
銀行口座やクレジットカードをスマホと紐付けしなきゃ良いのですか?

38: 電脳デカダンス2chまとめ 2020/09/09(水) 15:42:36.486 ID:Ks9ibH8L00909
>>37犯人が紐づけするので・・・

39: 電脳デカダンス2chまとめ 2020/09/09(水) 15:42:38.175 ID:/NVypQPWd0909
誕生日に限定すれば366通り
それに1234とかゾロ目、その他諸々入れても1000通りもいかないんやね
案外手動で人海戦術すれば結構当たるかもなー

40: 電脳デカダンス2chまとめ 2020/09/09(水) 15:45:16.965 ID:aERdcCYg00909
>>39
スクリプトくらい組んでるだろうから1万通りのパスワードで10億口座総当りするのでも人海を用意する必要すらないよ

42: 電脳デカダンス2chまとめ 2020/09/09(水) 15:49:37.412 ID:6U1+gArLr0909
簡単に言うとドコモ口座対応の銀行の口座持ってると漏れなく不正引き出しされる可能性がある
尚、今の所ドコモは停止するどころかセキュリティに問題は無いとしてる

43: 電脳デカダンス2chまとめ 2020/09/09(水) 16:27:44.788 ID:+yYc4ZTBM0909
>>42
よくわからないから、とりあえず明日銀行行って金おろしてきます
なんとかペイとかやってないですけど不安です
郵便局も危ないですか?

45: 電脳デカダンス2chまとめ 2020/09/09(水) 17:37:43.487 ID:FmMpnFC9a0909
(*・ω・)セキュリティーに問題はあるとしても、口座と暗証番号が漏れたのが問題じゃない?

49: 電脳デカダンス2chまとめ 2020/09/09(水) 18:04:13.095 ID:zQ1xAtiHd0909
>>45
>>46
今回はドコモ口座っていうネットワークサービスをフル活用した攻撃手段であって、
当該の銀行口座を持っていたらそれだけでターゲットになり得る

被害者のdアカウントの有無は無関係
事前の口座番号と暗証番号の入手も不必要

46: 電脳デカダンス2chまとめ 2020/09/09(水) 17:40:57.843 ID:u5ijqMEc00909
dアカウントを持って無ければ心配いらないんの?

48: 電脳デカダンス2chまとめ 2020/09/09(水) 18:02:25.977 ID:ZfhFFU/cd0909
>>46
他人のdアカウントと連携されるんだよ
お前のdアカウントは何も関係無い

50: 電脳デカダンス2chまとめ 2020/09/09(水) 18:07:35.615 ID:vpONnK1cd0909
口座番号知ってて、そこから引き出すツールとしてドコモ使ってるんじゃなくて、銀行APIの脆弱性突くために、本人確認がないに等しいドコモ口座使って攻撃しているというのが正しい
だから口座番号知ってるかは関係ない
個別口座へのアタックじゃなく銀行へのアタックを行い、たまたま合った口座がやられるだけ

51: 電脳デカダンス2chまとめ 2020/09/09(水) 18:09:28.410 ID:pGG0vXC/00909
じゃあなんで今でしょ?Щ( ゚Ъ゚Щ)

前々からこの隙はあったはずだけど

52: 電脳デカダンス2chまとめ 2020/09/09(水) 18:12:09.562 ID:vpONnK1cd0909
>>51
去年からあったという噂がほんとかわからないからそこは保留だけど、今大々的に発覚してきてるのは、今年5月が18年改正銀行法によるAPIオープン化の期限で、多くの中小地銀はそのタイミングでオープン化したからだろうというのが俺の予想

54: 電脳デカダンス2chまとめ 2020/09/09(水) 18:13:10.380 ID:pGG0vXC/00909
(๑•̀ω•́)シ∩” へぇ

56: 電脳デカダンス2chまとめ 2020/09/09(水) 18:20:32.935 ID:lLfn1PVW00909
つまりなにも出来ないから当たらないよういのるしかないの?

58: 電脳デカダンス2chまとめ 2020/09/09(水) 18:31:56.275 ID:vpONnK1cd0909
>>56
それか既に止めてるところや流石に破れないだろうところ、最初から提携してないところに移すかだな
ゆうちょや三メガ、浜銀とかは移動先として安心

もしくは自らパスワードミスして口座へのオンラインアクセスにロックかけるか、本当に解決できるのか朝の時点では錯綜してたけどドコモ口座先に自分で作って紐づけてしまうか

62: 電脳デカダンス2chまとめ 2020/09/09(水) 18:43:16.815 ID:vpONnK1cd0909
>>60
ゆうちょはもう今朝9時頃に止めてたはずなので、それまでの間に既に被害受けてないかの確認をした方が良い
UFJはそもそも連携してないし、みずほと住友はリバースブルートフォースだと仮定したら相当破りづらい(まず安心な)仕組みだったと思う(ゆうちょも生年月日は追加できいてたけどね)
どっかから暗証番号とか漏れてたり過去のカード会社の流出情報使われたパターンなら別の問題になってくるけど

63: 電脳デカダンス2chまとめ 2020/09/09(水) 18:52:22.216 ID:zQ1xAtiHd0909
>>62
そうかー
じゃあもう残高確認して祈るだけか
お金動かさずに暗証番号だけ控えられてリスト化されてたら敵わんな

61: 電脳デカダンス2chまとめ 2020/09/09(水) 18:38:52.747 ID:FZyAxEcLa0909
仮想通貨でやらかしてセブンペイでやらかしてdocomo口座でやらかしてまだあったか?日本はこれがあるから数年は様子見しないと駄目なんだよなぁ

59: 電脳デカダンス2chまとめ 2020/09/09(水) 18:33:28.432 ID:l+knoeWy00909
これ致命的どころじゃないでしょ
肝心のドコモは傍観してるだけ?

関連記事

オススメの人気記事

コメントする