情報更新

last update 09/30 16:01

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索

Twilog

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 858フォロー
  • 1,688フォロワー
  • 92リスト
Stats Twitter歴
4,868日(2007/06/04より)
ツイート数
19,181(3.9件/日)

ツイートの並び順 :

表示するツイート :

2020年09月29日(火)2 tweetssource

2020年09月28日(月)1 tweetsource

2020年09月25日(金)3 tweetssource

9月25日

@ikepyon

Ikeda Masakazu@ikepyon

それにプール式も蔓延の初期段階だとほとんどが1回目の検査で陰性となるから、回数を大きく減らせるけど、今の段階でやっても、市中感染が広まってて1回目の検査のほとんどが要請になる可能性も大きいから、言うほど検査回数を減らせないと思うけど、下手したら増える場合だってありうる

posted at 15:02:22

9月25日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、不安におびえる人には受けいいだろうけど、金と人的リソースを無駄にするだけで、何の役にも立たないよなぁ

posted at 14:59:09

2020年09月18日(金)3 tweetssource

9月18日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、渡してる情報が住所、氏名、電話番号ぐらいだから仕方ないと言えば仕方のないので、そろそろ真面目に認証方法変えないと被害ガドンドン大きくなると思う
このままだと犯罪者有利過ぎるし

posted at 08:21:36

2020年09月17日(木)1 tweetsource

9月17日

@ikepyon

Ikeda Masakazu@ikepyon

@ma_naka どう考えても銀行側の口座確認手法のダメダメっぷりが原因なので金融庁が強化しろと言わないといけない案件になってるような

posted at 11:12:07

2020年09月16日(水)1 tweetsource

2020年09月15日(火)3 tweetssource

9月15日

@ikepyon

Ikeda Masakazu@ikepyon

しかし、実際にはネットバンクを使ってない利用者はネットでの口座振替なんて使わないので、単に安全性を叩き落としただけになるというorz

posted at 18:58:55

9月15日

@ikepyon

Ikeda Masakazu@ikepyon

セキュリティの為にネットバンクの認証を使おうとすると、ネットバンク使ってない利用者はどうするんだ?とえらい人から詰められて、四桁の暗証番号使うとかありそうで困る

posted at 18:55:15

2020年09月11日(金)15 tweetssource

9月11日

@ikepyon

Ikeda Masakazu@ikepyon

@bugbird 対策が別の方なのかも。反社対策とか、詐欺対策に目が行ってて不正アクセスによる不正検知ができてないのか・・・まあ、銀行にしてみれば、金額が微々たるもんだからなぁ

posted at 12:42:52

9月11日

@ikepyon

Ikeda Masakazu@ikepyon

でも、それを見抜けなかったドコモほんとクソだなorz
同一IPアドレスからの短時間の大量アカウント申請ぐらいはじくようにすればいいのに

posted at 12:31:51

9月11日

@ikepyon

Ikeda Masakazu@ikepyon

@bugbird 不正検知のノウハウはカード会社にはあるけど、銀行にはないんでしょうねぇ。だって、そういうの業務の想定外だもん。銀行の業務は要求に応じてお金をやり取りすることで、要求を出す者の正当性が確認できれば、要求自体は処理を淡々とするだけですからねぇ

posted at 12:26:42

9月11日

@ikepyon

Ikeda Masakazu@ikepyon

@bugbird カードでドンでは検知するでしょうけど、数十万程度1回じゃこないんじゃないです?やってたら、数十万の耽美に連絡が来るしw

posted at 11:36:27

9月11日

@ikepyon

Ikeda Masakazu@ikepyon

@bugbird どういう使い方するかわからんからノーマルとアブノーマルって判断つかないと思います。普段はちょっとずつしか動かしてないけど、時にどんと動かすなんてことよくありますし。個人では少なくても、全口座でそれやると多分業務が回らない

posted at 11:32:08

9月11日

@ikepyon

Ikeda Masakazu@ikepyon

銀行口座の送金なんて日常茶飯事だし、金額が大きい場合も、小さい場合もあるから、アブノーマル検知って無理があるよねぇ。もしやったら、それこそ連絡だけで一日終わる

posted at 11:30:11

9月11日

@ikepyon

Ikeda Masakazu@ikepyon

なんか、事件起きてるのに利用者がたくさんいるから止めないって、「うちら、お金儲けが重要なんで、お前らの損害なんて知ったこっちゃない。お前らでなんとかせい」と言ってるのとあんま変わんない気がするなぁ。もうドコモは使えないw

posted at 11:28:34

9月11日

@ikepyon

Ikeda Masakazu@ikepyon

クレジットカードの不正使用検知ってアブノーマル検知だから、普段使いの傾向と異ならない限り検知できない。で、ドコモ口座の件は銀行口座の口座振替とか普通に行われるから銀行、ドコモ共に不正なものかの判断がつかないから不正検知ってできないのよね

posted at 11:26:30

9月11日

@ikepyon

Ikeda Masakazu@ikepyon

さて、次はどこのこの手の電子マネーが狙われるかなあ?自動振替の仕組み変えないと同じこと起こるけど

posted at 09:45:09

2020年09月10日(木)20 tweetssource

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

@sen_u しかし、地方走っていると、ダメだ怖くてついてけねぇってぐらいのスピードで山道を走る地元の軽もいたりするのが、怖い所w

posted at 17:52:14

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

ぶっちゃけ「そんな認証(口座番号と暗証番号4桁)で大丈夫か?」銀行「大丈夫だ、問題ない」といって認証してぼろくそにやられたエルシャダイみたいな状態w

posted at 17:31:29

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

ドコモからしたら、「こいつこんなこと(口座番号、暗証番号など)言ってるけど、ほんとにこいつこの口座の持ち主なん?」銀行「あ、そやで」と返されたら、そうなんやということで処理するしかないしなぁ

posted at 17:30:07

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

ドコモがパンドラの箱開けちゃった感が半端ないw
しかも希望もその箱には残ってないという・・・
まじ、どう収拾つけるんだろう?

posted at 13:56:53

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

3dプリンタがここまで普及したら、印影から印鑑って簡単に作れそう。印鑑使った認証もダメじゃないかなぁ

posted at 11:57:29

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

リスクを考えるとき、特定のだれかに対するリスクは考えるけど、そのサービスを使っている誰かに対するリスクって軽視されがちのような気がしないでもない。で、攻撃者は特定のだれかではなく、誰でもいいので簡単に不正なことできるものを探すんだよねぇ

posted at 11:39:32

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

今回の件、月の最大金額30万も移動したから発覚したけどこれがドコモユーザーのドコモの引き落とし口座に限って1000円ぐらいずつだったら発覚が遅れたのでは?

posted at 09:40:36

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

対策としてはネットでの振り込み依頼はオプトインにして申請したユーザーにしっかりした推測不可能なパスワードを送ったりして、認証を行うのが、当面の被害を抑えつつコスト低くできるんじゃないかなぁ?

posted at 09:27:42

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

仮にAの本人確認を厳密にしたところで、A自身が事件が発覚して、捕まる前に、国外逃亡したり、他人がAを騙って本人確認することで、捕まるリスクを低くできるので、まあ、やりにくくなるだけで、銀行側が対策しないとインシデントは発生し続けると思う

posted at 09:24:01

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

で、その仕組みをそのままネットに持って行ったのが今回の事件の問題点だと思う。ユーザーAが口座Bの所有者かどうかの確認に、口座番号と簡単な認証情報を使ってしまった。

posted at 09:21:04

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

実際、情報として口座番号と口座名、住所ぐらいしか確認方法ないし、そこから関係者かどうかの確認コスト考えるとまあ、割に合わないし。引き落とし口座Bの口座名がAの名前と異なるケースも大いにありそう。子の請求先が親になるケースとか

posted at 09:19:25

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

もし、口座BがAの持つ口座でなくても、Aの身元がはっきりしているから、Aが口座Bの関係者かわからなくてもいいよね。ってことで、口座Bの所有者がAであることの確認を不十分にしていたのでは?

posted at 09:18:26

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

で、今まで自動引き落としは、どこそこのAという人が口座Bから引き落としてくれと依頼が信頼できる会社からあった。銀行はそれを受けて、今後Aさんへの引き落としは口座Bから行っていた。

posted at 09:16:41

9月10日

@ikepyon

Ikeda Masakazu@ikepyon

ドコモ口座の件、二つ問題があったんだと思う。一つはドコモが行うドコモ口座のアカウントの本人確認、もう一つは銀行が行うその本人確認した人の所有する銀行口座化の確認。この両方の確認に不備があったため、被害が大きくなったんじゃない?

posted at 09:13:01

2020年09月09日(水)22 tweetssource

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

電気代などの引き落とし口座の指定も口座番号と口座名、住所、電話番号、あと印鑑?ぐらいでこれ本人の口座かどうかってどうやって確認するんだろう?って疑問だったもんなぁ
まあ、多少不正があっても大したことないということでリスク受容してたんだろうけど

posted at 23:19:10

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

一番の問題は引き落とし先が信用出来る出来ないに関わらすその口座が持ち主の意思で引き落としの登録をしているのかの確認をリアルのやり方のままネットに持ってきた銀行側の問題だと思うな。そうなってるからというのは言い訳にはならないと思う

posted at 23:14:38

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki 使用者=水道会社の請求先=口座を持ってる本人であるという確認が取れてこそじゃないです?それ。で、使用者がもし、他人の口座情報その他を知ってれば、それを登録することで、他人に請求させるということは不可能ではないと思いますが。

posted at 16:34:26

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki 読んだ上です。昔の手続きのままネットに実装した銀行もクソだし、ドコモも昔の手続きにのっとって、不十分な本人確認でアカウント作成を行うシステムを作ったドコモもクソだと思います。

posted at 16:26:20

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki アカウント開設の本人確認がなかったのは問題でしょうけど、銀行側も雑な本人認証であることの問題の方が大きい気がします。まあ、両方が相手を信頼しすぎたってことなのかもしれないですけど

posted at 16:19:08

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

さすがに、接続先の認証がどうなってるかまで確認しろってのはドコモの責任範囲外じゃないかなぁ?ま、ドコモのアカウント作成時の本人確認が甘いというのはあるけど、きつくても、そのうち起こっただろうし

posted at 16:05:15

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki ってことは、オンライン口座も持ってないユーザーも使えるように、カードの4桁数字をパスワードにするとした銀行側の問題かも。ドコモはとばっちり?

posted at 16:01:08

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki 今回はオンライン口座かどうかは関係ないみたいですね。口座持ってたらダメっぽい。で、オンライン口座がないユーザーは、オンライン用のパスワードが使えないので、カードの4桁のパスワードを使ってたってのが問題なのかも

posted at 15:58:38

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

Keyに口座番号が含まれてて、それをもとに銀行側のシステムが口座と紐付けだったら、認証関係ないしなぁ

posted at 15:43:48

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki ま、その辺銀行によると思うので、なんとも。旧シティバンクは口座開設と同時にオンラインも使えて、初期パスワードは生年月日でしたからねぇorz

posted at 15:42:33

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

地銀だと口座開設したら、オンライン口座も開設してるっていう認識がない人も大勢いそう。オンラインも自動開設なんだろうか?

posted at 15:24:17

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

あー、ドコモと、銀行口座との紐付けKeyが推測可能ってのもあるのか。
ただそうすると、今わかってる銀行だけでなく、ほかの銀行もヤバい

posted at 14:13:55

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

Web口振受付サービスは新しいサービスっぽいのよね。「New」ってついてるし。
このリスクを考慮せず、認証適当に契約しちゃった銀行側の問題のような気がする。
それとも、自動で契約に追加された?

posted at 12:36:44

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

銀行側のセキュリティ意識の問題大きそう。地銀共通のオンラインバンクのシステム導入したはいいけど、それがどういう風に使われるか把握してなさそうだし

posted at 10:07:19

9月9日

@ikepyon

Ikeda Masakazu@ikepyon

これ、ドコモ口座が換金にいいから狙われただけで、別のサービスでも換金が良ければ、そのサービスが狙われるだけじゃね?
digital.asahi.com/articles/ASN98
イオン以外Web口振受付サービスを利用してる銀行だからなぁ
www.chigin-cns.co.jp/services/web_s

posted at 09:47:54

このページの先頭へ