【不正引き出し】金融庁が要請「脆弱性が見出だされた場合、銀行の新規登録やチャージを一時停止すること」 [雷★]

1 ：雷 ★：2020/09/16(水) 12:57:27.20 ID:RFQuYOAI9.net

（別紙２）預金取扱金融機関向け要請文（９月15日）

金融庁監督局長
栗田 照久

資金移動業者の決済サービスを通じた不正出金への対応について（要請）

１．事案の概要
○ 悪意のある第三者が不正に入手した預金者の口座情報等をもとに当該預金者の名義で資金移動業者のアカウントを開設し、銀行口座と連携した上で、銀行口座から資金移動業者のアカウントへ資金をチャージすることで不正な出金を行う事象が複数発生している。○ 現時点では、資金移動業者において犯罪収益移転防止法施行規則第 13 条第１項第１号に基づく確認を実施し、それに基づく銀行での取引時確認済みの確認及び口座振替契約（チャージ契約）の締結に際してキャッシュカードの暗証番号のみで認証するケースにおいて、被害の発生が確認されている。２．確認・検討いただきたい事項

〇 「主要行等向けの総合的な監督指針」、「中小・地域金融機関向けの総合的な監督指針」にも記載されているように、サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティの重要性を認識し必要な体制を整備することが重要である。こうしたことに留意し、下記について確認・検討いただきたいので、貴協会会員宛に周知徹底方よろしくお願いしたい。

�@ 資金移動業者等との間で口座振替契約（チャージ契約）を締結している預金取扱金融機関においては、資金移動業者等における取引時確認の内容を踏まえ、資金移動業者等のアカウントと銀行口座を連携して口座振替を行うプロセスに脆弱性がないか確認すること。

（注）例えば、上記口座振替契約（チャージ契約）に際して、預金取扱金融機関においてワンタイムパスワード等による多要素認証を実施していない場合など、不正に預金者の口座情報を入手した悪意のある第三者が、預金者の関与無しに資金移動業者等のアカウントへ資金をチャージ可能なケースは脆弱性があると考えられる。

�A 上記確認により問題や脆弱性が見出だされた場合には、資金移動業者等のアカウントとの連携時における認証手続の強化（多要素認証の導入など）を含むセキュリティの強化、資金移動業者等における取引時確認の状況を確認するなどの堅牢な手続きの導入を検討すること。また、その導入までの間、足許において被害を生じさせない態勢を整備する観点から、新規連携や資金移動業者等のアカウントへの資金のチャージを一時停止すること。

�B 本事案に関して、被害を心配される利用者から相談を受けた場合には、被害の有無に関わらず、利用者の不安を解消するべく、真摯な姿勢で迅速かつ丁寧に対応すること。
なお、上記�@の確認により問題や脆弱性が確認された場合にはその旨、及び上記�Aの対応の内容を速やかに当局に連絡いただきたい。また、過去に被害が生じていなかったかを確認いただき、被害が発覚した場合や、新たに被害が発生した場合にも、その旨を直ちに当局に連絡いただきたい。以上
https://www.fsa.go.jp/news/r2/sonota/20200915/20200915_02.pdf

（別紙３）資金移動業者向け要請文（９月15日）

�A 上記確認により問題や脆弱性が見出だされた場合には、資金移動業者での
取引時確認を強化する、銀行での上記確認・認証を強化するなどの堅牢な手続
きの導入を検討すること。
また、その導入までの間、足許において被害を生じさせないために、新規
連携や銀行口座からの資金のチャージを一時停止すること。
https://www.fsa.go.jp/news/r2/sonota/20200915/20200915_03.pdf

https://www.fsa.go.jp/news/r2/sonota/20200915/20200915.html

2 ：不要不急の名無しさん：2020/09/16(水) 12:57:42.06 ID:TNV8ycKA0.net

弱い…

3 ：不要不急の名無しさん：2020/09/16(水) 12:58:14.03 ID:9pxF8RRq0.net

脆弱性発見されなかったらチャージ継続していいってことじゃん

4 ：不要不急の名無しさん：2020/09/16(水) 12:58:19.96 ID:lT5HTJx10.net

脆弱性じゃないよ

5 ：不要不急の名無しさん：2020/09/16(水) 12:58:21.42 ID:thJdTinX0.net

黒崎口調で言われないと説得力が足りないわよ。

6 ：不要不急の名無しさん：2020/09/16(水) 12:58:30.43 ID:ji9/5kjD0.net

脆弱性しかねえから引き出されてるんだが

7 ：不要不急の名無しさん：2020/09/16(水) 12:58:39.35 ID:QG7/ipWB0.net

ドコモはサービス継続していいってことね
金融庁はそうなんだ

8 ：不要不急の名無しさん：2020/09/16(水) 12:59:08.76 ID:1YhIeFqE0.net

金融庁にも責任があるからか弱気だな

9 ：不要不急の名無しさん：2020/09/16(水) 12:59:46.21 ID:IY0aaNG10.net

銀行が悪い

10 ：不要不急の名無しさん：2020/09/16(水) 13:00:11.66 ID:Uydyr+2I0.net

金融庁「わかったわネッ！！」

11 ：不要不急の名無しさん：2020/09/16(水) 13:00:26.00 ID:ZRgl+ich0.net

罰がないと下郎は動かんだろ
銀行側に調査補填義務と対応が2カ月遅れる毎に被害額の倍額を支払う罰則設けりゃもっと気を入れてやるんじゃないか

12 ：不要不急の名無しさん：2020/09/16(水) 13:01:00.74 ID:jaTPWEhN0.net

銀行側のプロセスを確認しろってあるな
金融庁は銀行側に改善させたいようだ

13 ：不要不急の名無しさん：2020/09/16(水) 13:01:46.87 ID:sV7n4Sc80.net

>>1
暗証番号4桁の銀行全部だめやん　笑

14 ：不要不急の名無しさん：2020/09/16(水) 13:01:59.11 ID:/alTwx4T0.net

ドコモ口座といっても銀行じゃないから

15 ：不要不急の名無しさん：2020/09/16(水) 13:02:29.11 ID:wSX4lKMT0.net

＞銀行の新規登録やチャージを一時停止

スマホも知らない老人の郵貯や地銀口座、
引出し放題ｗｗｗ

16 ：不要不急の名無しさん：2020/09/16(水) 13:03:06.71 ID:lT5HTJx10.net

「脆弱性」とか覚えたての言葉を嬉しがって使うから、話がおかしくなる恐れがある。
脆弱性なんてソフトウェアには付きものだ。一々サービス止めていたら何もできなくなるよw
良く知らない言葉を使わないで、条件をもっと明確に述べなさい。

17 ：不要不急の名無しさん：2020/09/16(水) 13:04:20.85 ID:2o6DWeLD0.net

>>1
＞（注）例えば、上記口座振替契約（チャージ契約）に際して、預金取扱金融機関においてワンタイムパスワード等による多要素認証を実施していない場合など、不正に預金者の口座情報を入手した悪意のある第三者が、預金者の関与無しに資金移動業者等のアカウントへ資金をチャージ可能なケースは脆弱性があると考えられる。

脆弱性については注釈ついてるな

18 ：不要不急の名無しさん：2020/09/16(水) 13:05:10.36 ID:kgO3drRa0.net

IT後進国の日本が柄にもないことやっちゃダメってことだな
7ペイのおっさんは二段階認証も聞いたことないし保健所のコロナ関連のやりとりはファックスの国だぞ

19 ：不要不急の名無しさん：2020/09/16(水) 13:05:49.81 ID:jk3FmoGl0.net

どれくらい弱いかの基準も決めといたほうがいいとおもう。

20 ：不要不急の名無しさん：2020/09/16(水) 13:06:25.41 ID:wG82OA880.net

これだけ時間かけて局長名で出すのかよ

21 ：不要不急の名無しさん：2020/09/16(水) 13:07:12.83 ID:6Jmzp6bo0.net

銀行が本人確認しない限りはこの手のサービスは提供しない
現時点での紐づけは全解除
これを実施しろと
現状ではキャッシュカードを止めないといけないとか口座所有者の利便性よりサービス業者の利便性を優先してどうするのかと

22 ：不要不急の名無しさん：2020/09/16(水) 13:08:14.10 ID:fJGCmWZ80.net

ドコモの良い訳一覧
・脆弱性は見出されていない
・入金処理はしているがチャージは行っていない
・新規登録はしておらず新規で紐づけを行っている
・すべての電子処理で一時停止した後に処理を行っている

23 ：不要不急の名無しさん：2020/09/16(水) 13:08:33.40 ID:quGEunQZ0.net

セキュリティホールじゃなくて仕様の問題じゃねーか

24 ：不要不急の名無しさん：2020/09/16(水) 13:09:41.33 ID:xbkjHJk/0.net

脆弱性って言うなら暗証番号が未だに4桁…

25 ：不要不急の名無しさん：2020/09/16(水) 13:10:38.16 ID:sHua/v6h0.net

当然どころか遅すぎる

全額補償しますで済むわけないじゃん
銀行の信用が床に落ちたんだから、そっちの回復しなきゃなんないんだよ

26 ：不要不急の名無しさん：2020/09/16(水) 13:11:00.91 ID:/sFsAB540.net

転換期なんだよ
馬鹿でも使えるセキュリティを作ってやれ

27 ：不要不急の名無しさん：2020/09/16(水) 13:13:15.81 ID:oDJr6Yql0.net

営業開始前にデジタル庁?に監査させろ

28 ：不要不急の名無しさん：2020/09/16(水) 13:14:52.25 ID:S2kI1khk0.net

>>4
設計の不備も脆弱性と呼びますよ

29 ：不要不急の名無しさん：2020/09/16(水) 13:15:31.00 ID:pHNq5dYY0.net

え！言われないとやらないの？

30 ：不要不急の名無しさん：2020/09/16(水) 13:15:36.78 ID:eJF63hAw0.net

今はおとなしい日本人ばかりだから暴れる奴いねえけど移民受け入れ続けた50年後とか無茶苦茶されそう

31 ：不要不急の名無しさん：2020/09/16(水) 13:15:43.57 ID:MU4qzRKK0.net

暗証番号が4桁であるという脆弱性があるので銀行のATM取引を一律で停止しなきゃいけないな
大変だなこれは

32 ：不要不急の名無しさん：2020/09/16(水) 13:15:46.42 ID:KzMoAwLO0.net

さぁさぁさぁさぁ
さぁ！

33 ：不要不急の名無しさん：2020/09/16(水) 13:17:14.40 ID:MU4qzRKK0.net

生体認証や入金なら問題はないかもしれない
引き出しと振り込みは、カードと暗証番号使うものは全部アウト

34 ：不要不急の名無しさん：2020/09/16(水) 13:18:06.88 ID:jk3FmoGl0.net

>>27
デジタル庁がハッカーの総攻撃にやられて盗まれるとおもうｗ

35 ：不要不急の名無しさん：2020/09/16(水) 13:18:58.68 ID:MeC+LgDZ0.net

早くデジタル兆を作って、国家賠償をすべき

36 ：不要不急の名無しさん：2020/09/16(水) 13:19:34.55 ID:jk3FmoGl0.net

>>33
手の静脈や瞳孔やらの生体認証とキャッシュカードを組み合わせるって
やってたのどうなったんだろうな。
けっきょく使い物にならなかったのかな。

37 ：不要不急の名無しさん：2020/09/16(水) 13:20:54.46 ID:gDAWyez80.net

何物にも耐性がない設計なのだから
構造上の欠陥であって
脆弱性ではないわな

38 ：不要不急の名無しさん：2020/09/16(水) 13:21:59.77 ID:MkCTXw1U0.net

>>34
クラッカー「今日から俺がデジタル庁だ、我を崇めよ」

39 ：不要不急の名無しさん：2020/09/16(水) 13:24:03.02 ID:x4ZyBtJt0.net

>>28
「脆弱性」という言葉は、「ソフトウェア脆弱性」と狭義に解釈される場合が多い。
「脆弱性」という曖昧な言葉を、定義や条件を明確にしないまま、
役所の要請や通達に使うと、過剰反応をひき起こす恐れがある。
例えば、ソフトウェア脆弱性が発覚する度に手直しするなど。

40 ：不要不急の名無しさん：2020/09/16(水) 13:26:39.62 ID:CjGkP77J0.net

>>10
wwwwwwwww

41 ：不要不急の名無しさん：2020/09/16(水) 13:30:27.01 ID:S2kI1khk0.net

>>39
機械的な対応はよくないですよね。影響を考えるフェイズが大事です
今回のドコモ事案はリスク分析が甘過ぎたのが問題でしょう

42 ：不要不急の名無しさん：2020/09/16(水) 13:32:46.93 ID:ripRjDxS0.net

>>25　床に落ちたっていいな。なんか食べ物を落とした感じで、食べていいのかいけないのか躊躇する辺が

43 ：不要不急の名無しさん：2020/09/16(水) 13:33:34.47 ID:ZYayTEyh0.net

　

ドコモ口座だけじゃない
こんなにある収納代行サービス！
.
支払いツールはSUICAやクレカで十分間にあってます！
収納代行手数料を負担するのからしてバカバカしい！！
ぼったくり。ぼったくり。ぼったくり！！！
.
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害は総額600万円以上にも！
.
もう百害あって一利なしです！
こんなの解約しよう！！
絶対につくるのはやめよう！！
.
銀行口座を持ってるだけで不正利用される！
https://asahi.5ch.net/test/read.cgi/newsplus/1600170953/
.
ドコモ口座
ゆうちょペイ
au Pay
Amazon Pay
PayPay
LINE Pay
QUICKPay
楽天ペイ
FamiPay
LAWSONペイ
イオンペイ
Bank Pay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
習近ペイ
加トちゃんペイ
　
52

44 ：不要不急の名無しさん：2020/09/16(水) 13:33:57.46 ID:7csfrhHv0.net

ドコモ停止しなきゃ

45 ：不要不急の名無しさん：2020/09/16(水) 13:37:50.04 ID:7csfrhHv0.net

現金引き出せる電子マネーは使わないほうがいいよ

46 ：不要不急の名無しさん：2020/09/16(水) 13:46:29.38 ID:ripRjDxS0.net

これで銀行との連携は遮断されたけど、
次は、違法薬物売買やマネロン目的の口座を探し出して停止しないとな　ドコモ
ユーザが解約を申し出たとして、本人確認せずに作った口座からの出金について、本人確認をどのようにするのかというｗ

47 ：不要不急の名無しさん：2020/09/16(水) 14:04:21.26 ID:ID7D7C7f0.net

要請でどうなるの？被害止まるんか？

48 ：不要不急の名無しさん：2020/09/16(水) 14:09:52.03 ID:npgr/5U80.net

電子マネー（キャッシュレス）も金融庁が管轄した方がよくね？
総務省に好き勝手やらせているから
セキュリティガバガバのシステムが蔓延ってしまうわけで

今回のケースは銀行だけシメてもどうにもならんよ

49 ：不要不急の名無しさん：2020/09/16(水) 14:11:21.03 ID:lbdiFG7e0.net

ようせい…？命じてよ

50 ：不要不急の名無しさん：2020/09/16(水) 14:17:27.59 ID:2rUb8k4z0.net

>>16
金融庁「とにかくおかしかったらなんとかして」

51 ：不要不急の名無しさん：2020/09/16(水) 14:18:54.13 ID:6G3pvcDB0.net

ドコモ「フィッシングで騙される人が脆弱」

52 ：不要不急の名無しさん：2020/09/16(水) 14:28:15.35 ID:lq0lAdNE0.net

フィンテックは門外漢が作ってるから金融業界が常識のように守ってきた決まり事を守れてないんだってね
IT技術者に金融業学ばせるんじゃなくて、金融マンにIT学ばせちゃいかんの？

53 ：不要不急の名無しさん：2020/09/16(水) 14:31:00.27 ID:5s87Gtti0.net

>>31
物理カードがセットで要るじゃろが
防犯カメラもあるし
ゆうちょは要カードにシステム改修で

54 ：不要不急の名無しさん：2020/09/16(水) 14:32:45.16 ID:5s87Gtti0.net

>>36
家族が代行できなくなるから登録する人少ないと思う
うちも引出や家賃振込嫁にお願いしてる

55 ：不要不急の名無しさん：2020/09/16(水) 14:51:01.08 ID:kh++bdTf0.net

ドコモにも言えよ

56 ：不要不急の名無しさん：2020/09/16(水) 14:53:33.21 ID:ZYayTEyh0.net

　

ドコモ口座だけじゃない
こんなにある収納代行サービス！
.
支払いツールはSUICAやクレカで十分間にあってます！
収納代行手数料を負担するのからしてバカバカしい！！
ぼったくり。ぼったくり。ぼったくり！！！
.
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害は総額600万円以上にも！
.
もう百害あって一利なしです！
こんなの解約しよう！！
絶対につくるのはやめよう！！
.
銀行口座を持ってるだけで不正利用される！
https://asahi.5ch.net/test/read.cgi/newsplus/1600170953/
.
ドコモ口座
ゆうちょペイ
au Pay
Amazon Pay
PayPay
LINE Pay
QUICKPay
楽天ペイ
FamiPay
LAWSONペイ
イオンペイ
Bank Pay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
習近ペイ
加トちゃんペイ
　
61

57 ：不要不急の名無しさん：2020/09/16(水) 15:11:23.71 ID:oCm0XBsD0.net

資金移動業者は立入り検査で銀行は通達か。

そりゃそうだな

58 ：不要不急の名無しさん：2020/09/16(水) 15:43:15.41 ID:t7HBUaJW0.net

脆弱性があったのにチャージし放題のドコモｗ

59 ：不要不急の名無しさん：2020/09/16(水) 19:16:43.86 ID:k3Wlo2mE0.net

永遠にチャージ再開できないなw

60 ：不要不急の名無しさん：2020/09/16(水) 20:21:35.21 ID:61tOJhxz0.net

月末が見ものだな

61 ：不要不急の名無しさん：2020/09/16(水) 20:52:12.65 ID:7shiy56U0.net

遅ない？

62 ：不要不急の名無しさん：2020/09/16(水) 21:03:52.05 ID:FI/Jp3x50.net

>>1
別紙2でザル認証だった金融機関に
別紙3でドコモやPayPay等の資金移動業者にそれぞれ要請を出してるわけだな

業務改善命令ほどの力は無いにせよ
これでチャージ停止しない理由は無くなったな

63 ：不要不急の名無しさん：2020/09/16(水) 22:24:51.48 ID:5ncO82fQ0.net

>>1
デジタル庁の立ち上げ創設に
顔認証デジタルロボットが活用されるね、多分。

64 ：不要不急の名無しさん：2020/09/16(水) 22:26:12.09 ID:RjbJdm8J0.net

日本はこの程度

65 ：不要不急の名無しさん：2020/09/16(水) 22:44:52.20 ID:qay9qsgC0.net

黒崎検査官、出番です。

66 ：不要不急の名無しさん：2020/09/17(木) 00:53:34.78 ID:WkUN/pUv0.net

金遊庁「他人の金玉を抜いて自分の股間に移すヒトが居るそうね。あたしは棒にしか興味ないからどうでもいいわ」

67 ：不要不急の名無しさん：2020/09/17(木) 02:02:06.75 ID:ah0OOrRM0.net

　

ドコモ口座だけじゃない
こんなにある収納代行サービス！
.
支払いツールはSUICAやクレカで十分まにあってます！
収納代行手数料を負担するのからしてバカバカしい！！
ぼったくり。ぼったくり。ぼったくり！！！
.
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害は総額600万円以上にも！
.
もう百害あって一利なしです！
こんなの解約しよう！！
絶対につくるのはやめよう！！
.
銀行口座を持ってるだけで不正利用される！
https://asahi.5ch.net/test/read.cgi/newsplus/1600170953/
.
ドコモ口座
ゆうちょペイ
au Pay
Amazon Pay
PayPay
LINE Pay
QUICKPay
楽天ペイ
FamiPay
LAWSONペイ
イオンペイ
Bank Pay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
習近ペイ
加トちゃんペイ
　
12

68 ：不要不急の名無しさん：2020/09/17(木) 09:52:10.05 ID:9kU/XK8j0.net

日本の監督官庁って今まで何を検査してたんだ？
接待や天下りで判断していたのか？

69 ：不要不急の名無しさん：2020/09/18(金) 08:03:15.30 ID:ne2xSPK30.net

どっからでも行かれるってことじゃん
なんでサービス全部停止させないの？
バカなの？

70 ：不要不急の名無しさん：2020/09/18(金) 10:10:42.24 ID:b1XQQfJA0.net

制度設計が甘い
それに尽きる
この国は全てに於いてだらしなくなっている

71 ：不要不急の名無しさん：2020/09/18(金) 10:19:22.99 ID:Y+lICr6r0.net

要請とか指導とかって意味ないよね

72 ：不要不急の名無しさん：2020/09/18(金) 10:23:06.32 ID:ET2BAbke0.net

金融庁検査官「なんか最近やりずらい・・・」

73 ：不要不急の名無しさん：2020/09/18(金) 10:29:12.67 ID:ji9OkCyM0.net

全口座デフォルトで決済サービス紐付け禁止にして
書面で申請した人だけドコモロでもペーペーでも使わせればいいじゃん

74 ：不要不急の名無しさん：2020/09/18(金) 10:42:15.40 ID:Ij3EnHpd0.net

対応遅けりゃ取り付け騒ぎになるなこれ
特にゆうちょ

75 ：不要不急の名無しさん：2020/09/18(金) 11:50:32.61 ID:tEuX0caH0.net

おっとりしてるなぁ

76 ：不要不急の名無しさん：2020/09/18(金) 13:55:42.96 ID:xrSmudKF0.net

　

ドコモ口座だけじゃない
こんなにある収納代行サービス！
.
支払いツールはSuicaとクレカだけで十分です！
収納代行手数料を負担するのからしてバカバカしい！！
ぼったくり。ぼったくり。ぼったくり！！！
.
これら全てが悪用されあなたの銀行口座にこっそり紐づけされ乗っ取られたら最期、
引き落とし被害は総額600万円以上にも！
.
もう百害あって一利なしです！
こんなの解約しよう！！
絶対につくるのはやめよう！！
.
銀行口座を持ってるだけで不正利用される！
https://asahi.5ch.net/test/read.cgi/newsplus/1600170953/
.
ドコモ口座
ゆうちょペイ
au Pay
Amazon Pay
PayPay
LINE Pay
QUICKPay
楽天ペイ
FamiPay
LAWSONペイ
イオンペイ
Bank Pay
Kyash
PayPal
メルペイ
PayB
pring
ゆめか
支払秘書
習近ペイ
加トちゃんペイ
　
19

77 ：不要不急の名無しさん：2020/09/19(土) 04:09:31.18 ID:jsDwCzzu0.net

>>69
国策でキャッシュレス進めたがってるから
ドコモも被害者よ