【不正引き出し】不正が発覚した場合、すぐにサービスを停止させるよう金融庁が要請



RSS おすすめ更新記事


アナグロあんてな


ニュース 事件・事故 話題

【不正引き出し】不正が発覚した場合、すぐにサービスを停止させるよう金融庁が要請

 

 
 

(出典 news.tv-asahi.co.jp)


 
1 雷 ★ :2020/09/16(水) 12:57:27.20

(別紙2)預金取扱金融機関向け要請文(9月15日)

金融庁監督局長
栗田 照久

資金移動業者の決済サービスを通じた不正出金への対応について(要請)

1.事案の概要
○ 悪意のある第三者が不正に入手した預金者の口座情報等をもとに当該預金者の名義で資金移動業者のアカウントを開設し、銀行口座と連携した上で、銀行口座から資金移動業者のアカウントへ資金をチャージすることで不正な出金を行う事象が複数発生している。○ 現時点では、資金移動業者において犯罪収益移転防止法施行規則第 13 条第1項第1号に基づく確認を実施し、それに基づく銀行での取引時確認済みの確認及び口座振替契約(チャージ契約)の締結に際してキャッシュカードの暗証番号のみで認証するケースにおいて、被害の発生が確認されている。2.確認・検討いただきたい事項

〇 「主要行等向けの総合的な監督指針」、「中小・地域金融機関向けの総合的な監督指針」にも記載されているように、サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティの重要性を認識し必要な体制を整備することが重要である。こうしたことに留意し、下記について確認・検討いただきたいので、貴協会会員宛に周知徹底方よろしくお願いしたい。

① 資金移動業者等との間で口座振替契約(チャージ契約)を締結している預金取扱金融機関においては、資金移動業者等における取引時確認の内容を踏まえ、資金移動業者等のアカウントと銀行口座を連携して口座振替を行うプロセスに脆弱性がないか確認すること。

(注)例えば、上記口座振替契約(チャージ契約)に際して、預金取扱金融機関においてワンタイムパスワード等による多要素認証を実施していない場合など、不正に預金者の口座情報を入手した悪意のある第三者が、預金者の関与無しに資金移動業者等のアカウントへ資金をチャージ可能なケースは脆弱性があると考えられる。

② 上記確認により問題や脆弱性が見出だされた場合には、資金移動業者等のアカウントとの連携時における認証手続の強化(多要素認証の導入など)を含むセキュリティの強化、資金移動業者等における取引時確認の状況を確認するなどの堅牢な手続きの導入を検討すること。また、その導入までの間、足許において被害を生じさせない態勢を整備する観点から、新規連携や資金移動業者等のアカウントへの資金のチャージを一時停止すること。

③ 本事案に関して、被害を心配される利用者から相談を受けた場合には、被害の有無に関わらず、利用者の不安を解消するべく、真摯な姿勢で迅速かつ丁寧に対応すること。
なお、上記①の確認により問題や脆弱性が確認された場合にはその旨、及び上記②の対応の内容を速やかに当局に連絡いただきたい。また、過去に被害が生じていなかったかを確認いただき、被害が発覚した場合や、新たに被害が発生した場合にも、その旨を直ちに当局に連絡いただきたい。以上
https://www.fsa.go.jp/news/r2/sonota/20200915/20200915_02.pdf

(別紙3)資金移動業者向け要請文(9月15日)

② 上記確認により問題や脆弱性が見出だされた場合には、資金移動業者での
取引時確認を強化する、銀行での上記確認・認証を強化するなどの堅牢な手続
きの導入を検討すること。
また、その導入までの間、足許において被害を生じさせないために、新規
連携や銀行口座からの資金のチャージを一時停止すること。
https://www.fsa.go.jp/news/r2/sonota/20200915/20200915_03.pdf

https://www.fsa.go.jp/news/r2/sonota/20200915/20200915.html





13 不要不急の名無しさん :2020/09/16(水) 13:01:46.87

>>1
暗証番号4桁の銀行全部だめやん 笑

17 不要不急の名無しさん :2020/09/16(水) 13:04:20.85

>>1
>(注)例えば、上記口座振替契約(チャージ契約)に際して、預金取扱金融機関においてワンタイムパスワード等による多要素認証を実施していない場合など、不正に預金者の口座情報を入手した悪意のある第三者が、預金者の関与無しに資金移動業者等のアカウントへ資金をチャージ可能なケースは脆弱性があると考えられる。

脆弱性については注釈ついてるな

2 不要不急の名無しさん :2020/09/16(水) 12:57:42.06

弱い…

3 不要不急の名無しさん :2020/09/16(水) 12:58:14.03

脆弱性発見されなかったらチャージ継続していいってことじゃん

4 不要不急の名無しさん :2020/09/16(水) 12:58:19.96

脆弱性じゃないよ

28 不要不急の名無しさん :2020/09/16(水) 13:14:52.25

>>4
設計の不備も脆弱性と呼びますよ

39 不要不急の名無しさん :2020/09/16(水) 13:24:03.02

>>28
「脆弱性」という言葉は、「ソフトウェア脆弱性」と狭義に解釈される場合が多い。
「脆弱性」という曖昧な言葉を、定義や条件を明確にしないまま、
役所の要請や通達に使うと、過剰反応をひき起こす恐れがある。
例えば、ソフトウェア脆弱性が発覚する度に手直しするなど。

5 不要不急の名無しさん :2020/09/16(水) 12:58:21.42

黒崎口調で言われないと説得力が足りないわよ。

6 不要不急の名無しさん :2020/09/16(水) 12:58:30.43

脆弱性しかねえから引き出されてるんだが

7 不要不急の名無しさん :2020/09/16(水) 12:58:39.35

ドコモはサービス継続していいってことね
金融庁はそうなんだ

8 不要不急の名無しさん :2020/09/16(水) 12:59:08.76

金融庁にも責任があるからか弱気だな

11 不要不急の名無しさん :2020/09/16(水) 13:00:26.00

罰がないと下郎は動かんだろ
銀行側に調査補填義務と対応が2カ月遅れる毎に被害額の倍額を支払う罰則設けりゃもっと気を入れてやるんじゃないか

12 不要不急の名無しさん :2020/09/16(水) 13:01:00.74

銀行側のプロセスを確認しろってあるな
金融庁は銀行側に改善させたいようだ

15 不要不急の名無しさん :2020/09/16(水) 13:02:29.11

>銀行の新規登録やチャージを一時停止

スマホも知らない老人の郵貯や地銀口座、
引出し放題www

16 不要不急の名無しさん :2020/09/16(水) 13:03:06.71

「脆弱性」とか覚えたての言葉を嬉しがって使うから、話がおかしくなる恐れがある。
脆弱性なんてソフトウェアには付きものだ。一々サービス止めていたら何もできなくなるよw
良く知らない言葉を使わないで、条件をもっと明確に述べなさい。

21 不要不急の名無しさん :2020/09/16(水) 13:07:12.83

銀行が本人確認しない限りはこの手のサービスは提供しない
現時点での紐づけは全解除
これを実施しろと
現状ではキャッシュカードを止めないといけないとか口座所有者の利便性よりサービス業者の利便性を優先してどうするのかと

22 不要不急の名無しさん :2020/09/16(水) 13:08:14.10

ドコモの良い訳一覧
・脆弱性は見出されていない
・入金処理はしているがチャージは行っていない
・新規登録はしておらず新規で紐づけを行っている
・すべての電子処理で一時停止した後に処理を行っている

23 不要不急の名無しさん :2020/09/16(水) 13:08:33.40

セキュリティホールじゃなくて仕様の問題じゃねーか

25 不要不急の名無しさん :2020/09/16(水) 13:10:38.16

当然どころか遅すぎる

全額補償しますで済むわけないじゃん
銀行の信用が床に落ちたんだから、そっちの回復しなきゃなんないんだよ

27 不要不急の名無しさん :2020/09/16(水) 13:13:15.81

営業開始前にデジタル庁?に監査させろ

34 不要不急の名無しさん :2020/09/16(水) 13:18:06.88

>>27
デジタル庁がハッカーの総攻撃にやられて盗まれるとおもうw

38 不要不急の名無しさん :2020/09/16(水) 13:21:59.77

>>34
クラッカー「今日から俺がデジタル庁だ、我を崇めよ」

31 不要不急の名無しさん :2020/09/16(水) 13:15:43.57

暗証番号が4桁であるという脆弱性があるので銀行のATM取引を一律で停止しなきゃいけないな
大変だなこれは

33 不要不急の名無しさん :2020/09/16(水) 13:17:14.40

生体認証や入金なら問題はないかもしれない
引き出しと振り込みは、カードと暗証番号使うものは全部アウト

36 不要不急の名無しさん :2020/09/16(水) 13:19:34.55

>>33
手の静脈や瞳孔やらの生体認証とキャッシュカードを組み合わせるって
やってたのどうなったんだろうな。
けっきょく使い物にならなかったのかな。

37 不要不急の名無しさん :2020/09/16(水) 13:20:54.46

何物にも耐性がない設計なのだから
構造上の欠陥であって
脆弱性ではないわな

にゃるこのコメント  

 いまさら感もありますが、こうして監督省庁が指導することは悪くはありませんね。
でも脆弱性というか、登録手続きや銀行側の仕様の問題が大きいのは脆弱性に当てはまるのでしょうか?
問題の根本がそのあたりにあるのにそこを停止させずにサービスを続けるとまた被害が出る可能性があるだけでなく、キャッシュレス決済そのものが成り立たなくなるかもしれません。
キャッシュレス決済推進した国の甘い基準にも大きな責任がある以上被害防止の為に根本的なシステム改革が必要じゃないのかな。

 

 



RSS おすすめ更新記事1

RSS ねらーアンテナ

RSS だめぽアンテナ

RSS おすすめ更新記事2

RSS こちらもどうぞ

RSS オワタあんてな

おすすめ更新記事3


おすすめ更新記事4


-ニュース, 事件・事故, 話題

© 2020 にゃるこ通信 Powered by AFFINGER5