ドコモ謝罪会見が(技術的な見地からみて)酷かった件について

ドコモ謝罪 本人確認が不十分 - Yahoo!ニュース
【ドコモ口座 不正引き出し問題】NTTドコモ記者会見 生中継 - 2020/09/10(木) 16:30開始 - ニコニコ生放送
記者会見の概要
・被害総額1800万円、11行が被害。
・口座番号・氏名・暗証番号の３つと＋銀行によっては生年月日という情報が合致すれば口座を乗っ取れるというもの。
・今後は本人確認にSMS認証と、eKYC を導入する。

という説明でした

酷かったのが、被害にあわないための防衛手段についての説明
「一派論になりますが、口座番号や暗証番号を漏らさないようにすれば安全と思われます」
というもの

今回の欠陥の肝になっているのは
・オンライン振り込みシステムやATMを使用すれば、口座番号さえわかれば、口座名義が逆引きできる。
・暗証番号を固定した、口座番号の逆引きブルートフォース攻撃が使われたこと。
（例えば、暗証番号1234を固定にして、口座番号を総当たりで確認する手法）

要するに、口座番号や、暗証番号を公言していなくても、運が悪ければ、DoCoMo携帯を持っていなくても、乗っ取られて上限額の30万円を引き出されてしまう。という点なのだが、それを経営陣が理解してないという事だ。
これは酷い。

そのほか、記者会見で分かったことは以下の通り

・昨年5月のりそな銀行の時は、DoCoMo携帯との紐づけが必須だったが、口座名義と携帯の名義が一致していなくても紐づけできたことが問題だったので全然別の問題だったこと。
・昨年末に他の銀行でも、一時ドコモ口座を利用できなくなったのが、この口座名義との紐づけの問題が対応できていなかったためだったということ。
・結局Dポイント会員を増やすために、あまりセキュリティについて重視していなかったのが問題だったのが分かったこと。

おまけ
銀行口座からチャージ：利用可能な金融機関について｜ドコモ口座
・おそらく関西みらい銀行がドコモ口座利用できなくなった経緯も、りそな銀行と同じ
・どこもサイトの関西みらい銀行と埼玉りそな銀行のロゴを間違えて掲載したので、怒らせてしまったのでは（憶測）
・DoCoMoの携帯でドコモ口座に紐づけしていても防護策にはならないらしい

※ この記事は9月10日に書かれたものです

ドコモ謝罪会見が酷かった件について その2