アカウント名:
パスワード:
・新規契約の脆弱性povoの契約には、運転免許証・マイナンバーカード・在留カードのいずれかとアプリが必須です。そのためICチップをチェックしているのかと思いきや、どれもNFC対応のカードなのにICチップを確認しないカメラによるeKYCのみで契約可。社外秘の偽造対策技術があるとされていますけど、実は厚みをチェックしている等だけなので対面の人間の目を騙せないような粗悪な偽造でも普通に通ってしまいます。フィリピンのマニラとかタイのカオサンとかで数千円以下で売ってる(オンデマンドで作ってくれる)偽造カードで通るレベルですね。画像でのeKYCなんて禁止してICチップの確認を義務化すればいいのに……。政府のマイナポータルアプリだってICチップ必ずチェックしているわけで何故それができないのか。受け取りも本人限定郵便ではないので、受取時の本人確認書類提示も不要です。
・ログインの脆弱性パスワードは無しで、ログインはメールアドレスと数字6桁のOTP(メールに送信される)だけの1要素認証です。メールアカウントが乗っ取られていたら即アカウント乗っ取れるだけでなく、たった6桁の数字なのでパスワードスプレー攻撃(リバースブルートフォース)にも弱いです。JALとかANAが数字パスワードでのWebログイン止めた理由も分からなかったのだろうか。TOTPが6桁の数字なのはそれが2要素目の認証でIDとパスワードの一致を確認した後だからなのであって、Webで数字6桁の1要素認証は弱すぎです。
こんなんだから、偽造書類での不正契約や、アカウント乗っ取りなどやり放題で悪用されてしまうんですね。auかんたん決済でauが損するだけなら別にいいですけど、振り込め詐欺やSMS認証突破などで社会に迷惑がかかるのでセキュリティを上げていただきたいものです。
2023年4月からは、auかんたん決済の限度額が13歳以上でかつ7か月以上という長期ユーザーでも2000円になるとのこと。小学生の小遣いか!13歳未満や7か月未満は0円です。
povoアカウントにログインすると、ほぼ全ての契約変更ができるし、メールアドレス・連絡先電話番号・住所・氏名・カナ氏名・契約書面などが閲覧できてしまうので、情報漏洩も心配です。ログイン時の認証は6文字数字より強度を上げられないので、もしユーザーならばメールアドレスを hogehoge+ランダムな英数字@example.com などにするなどして強度を上げて他のサイトで同一のメールアドレスを使ったり公開したりしないようにすると、不正ログインされにくくなるかと思います。
ドヤ顔でセキュリティの話にしてるけど(スラドらしいが)、これって現金化の話なのよね。povoって維持費0円で何回線でも持てるので、1回線あたり数万円の現金化が可能なauキャリア決済が始まった時に、現金化勢の標的になっちゃったんだよ。無利息で何10万も借りられて、更にpovoの代金をカード払したら逆に儲かるからね。
慌てたpovo側は6回線以上で手数料とったり、使えるサイトを制限したり、2000円しか使えなくしたりと対策をとったわけ。
単なるセキュリティの話なら、UQとかでも問題になると思うよ。
ドコモもSB(ヤフー)とかもそうですが、キャリアに絡む会社は回線だけに依存した認証を作りたがりますよね。しかもあえて2要素認証を廃止して1要素認証にする。
ソフトバンクとかだとモバイル回線経由だと何も入力せずにログインできますよ。ケータイ時代のかんたんログインをスマホ時代に引き継いだ感じ。生きているモバイル回線自体が認証要素になってる。誰が使ってるかは問わないってのがあれですが。
回線認証はWi-Fi接続時に使えないとかテザリング時に悪用されるとか色々問題はあるものの、その回線からしかログインできないので、第三者のインターネット経由での不正ログインを防ぐ一定の効果はあります。
けど、povoはその回線認証すらなく、メールアドレス+数字6桁 のみの認証なのです。
・povoのログイン時の認証は、回線認証や端末認証(アプリ内トークン等)がなくて、Wi-Fi(他社回線) かつ 別端末 からもログイン可・povoのログイン時のOTP送信は、SMSではなくEmail・povoのログインは複数端末から同時にログイン可で、かつログイン中の他端末の確認をしたり、他端末のログイントークンを失効させる機能がない
SMSじゃなくてEmailなのは、iPadがSMSに対応していないからやむを得ないでしょうけど、OTPに加えてパスワードも入力させて2要素認証にして欲しいな、と思います。
7-11の問題再びみたいな情けない話なの、これ?そんなセキュリティ上での不正使用でなく、てっきりクレジットカードの現金化みたいな話だと思った。
私もそう思いました。単純にポイ活や換金リレー関連かなと。この件が不正ログイン問題だという根拠はどこにあるんでしょうね。
キャリア決済の現金化の話でしょう。そこに至るまでの敷居が一般契約に比べて低いというだけで。
おそらく、そういう「現金化」或いはポイ活絡みでしょう。ポイ活について言えばこういった数か月でルールが変わるのは「よくあること」です。朝三暮四といったレベルで変わりますから、去年末から始まった「povo2.0における、かんたん決済」が3か月で変わったとしても何も驚くようなことではない。ネットセキュリティー上の問題ではないかな。
法令上はNFCチップ読取りでなくても口座が作れるものはあるし。本人確認書類の斜め撮りでアカウントが作れるのは他もそうだから仮に「穴」があるとしてもそれは法令上の「穴」であってやはりネットセキュリティーの問題ではない。
朝令暮改
ユーザーを猿に見立てて朝三暮四なのかもしれません。
元首相の投稿かもしれません。
> こんなんだから、偽造書類での不正契約や、アカウント乗っ取りなどやり放題で悪用されてしまうんですね。
まるで悪用された実績があるみたいな言い方ですけど、povoで偽造書類での不正契約やアカウント乗っ取りされた事例ってありましたっけ?
ICチップを確認したところで、基本4情報が証明書に含まれていないと意味がありません。なぜなら、表面だけ張り替えして偽造できるからです。したがって、ICチップを確認するなら、使えるのは基本4情報を含んでいるマイナンバーカード内の署名用公的個人認証しかありません。
署名用公的個人認証の確認は証券会社や銀行のローン審査などで採用されている方式であって、かなりハードルが上がりますので、頻繁に新規契約やMNPが発生する携帯会社としてはやりたくないでしょうね。
メルカリアプリ、ヘルプより> アプリでかんたん本人確認とは?> マイナンバーカード読み取り方式> スマートフォンでマイナンバーカードを読み取る方法です。> 読み取ることで、以下の処理を行います。> ・マイナンバーカードに記録されている署名用電子証明書をもとに電子署名を行ないます。> ・基本情報(氏名、生年月日、性別、住所)を取得します。
フリマアプリのメルカリで普通にやっているようなので、ハードルが高いというほどではないのでは?マイナポイント貰うのに必要なので、署名用電子証明書のパスワードも皆さん設定済みだろうし。
PayPayの本人確認をマイナンバーカードでやってみたけど、署名用電子証明書のパスワード入れるだけですぐ済んだ。写真とか撮らないのね。https://paypay.ne.jp/help/c0118/ [paypay.ne.jp]
マイナンバーカードからは氏名・生年月日・性別・住所が引き出されるみたいだけど、業者アプリ(今回の場合はPayPayアプリ)に証明書のパスワード入れるのはちょっと抵抗があった。そこは業者を信用するしかないかな、って感じもあるのだけど、マイナンバーのアプリと連携して動作するような仕組みの方が安心できたね…。(パスワード抜かれてもカード無ければなんもできないので過剰な心配だとは思うのだが。)
それと、「ハードルが上がる」って感じは特にないよね。毎回入れるわけでもないし。
PovoのeKYCのページ見てみたけど、マイナンバーカードや運転免許証を使っていながら、電子署名見てないのね。カード撮影するだけってどういうこと…。自分は長年au/uq使ってきたし、ソフトバンクは信用してなかったんだけど、今回の件見てる限りだとソフトバンクの方が遙かに分かってんだなーという理解を得た。毛嫌いしててごめんよー。(でも回線をソフトバンクにする気は無い…。田舎なのでまだ回線を信用してない。)
このページとかに説明されているけど、eKYCには法定の方法がいくつかあって、https://www.dnp.co.jp/biz/column/detail/10162891_2781.html [dnp.co.jp]話を聞く限りではPayPayは「ワ」方式、povoは「ホ」方式だね。元コメのACはICチップを使わない「ホ」方式を廃止すべきだと主張しているということ
PayPayはガッツリ金融サービスだし何かあったら提供元が困るからそうしてるだけで、携帯電話サービスの方はSoftBankだろうがpovoだろうが大して変わらんよ
メルカリやPayPayがやり始めたのは後払い始めてからでしょ。だって、あれってローンだもの。
でも別ストーリーでやってたマイナンバーカードの券面からの住所記載削除が実現したら署名用公的個人認証しか選択の余地がないぞ。政府ですらマイナポータルでやってるんだからそれくらいやれとも言いたいが。本人限定受取郵便(特定事項伝達型)はすべての配達員にカードリーダー持たせるのだろうか?
マイナンバーカードを使った厳格な本人確認って実質全面禁止じゃないの? 高木浩光がずっと吠えてたじゃんそれで経緯はどうでも結果本人を確実に識別できるDBができるのは法の趣旨に反して最初っから違法だつって裏番号構築のベンチャーだかが潰れなかったっけ
違う、確認するまではいいのそれを保存してユニークキーを使ってサービスしようとしたからだめなの
個人番号を使う=違法公的個人認証を使う=合法
やらかしたXIDは、公的個人認証は15歳以上だし、パスワード、カードリーダーが必要なので、個人番号を使って裏番号を作ればいいじゃんって思い付いて、法に触れたんだよね。
ちなみにXIDは、叩かれた後に公的個人認証に切り替えたので、今でも普通にサービスを続けている。
でもeKYCは本人確認の主流でICチップチェックするサービスってかなりの少数派じゃね?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
新規契約は脆弱なeKYC、ログインは脆弱な数字6桁パスワード、穴しかない (スコア:5, 参考になる)
・新規契約の脆弱性
povoの契約には、運転免許証・マイナンバーカード・在留カードのいずれかとアプリが必須です。
そのためICチップをチェックしているのかと思いきや、どれもNFC対応のカードなのにICチップを確認しないカメラによるeKYCのみで契約可。
社外秘の偽造対策技術があるとされていますけど、実は厚みをチェックしている等だけなので対面の人間の目を騙せないような粗悪な偽造でも普通に通ってしまいます。
フィリピンのマニラとかタイのカオサンとかで数千円以下で売ってる(オンデマンドで作ってくれる)偽造カードで通るレベルですね。
画像でのeKYCなんて禁止してICチップの確認を義務化すればいいのに……。
政府のマイナポータルアプリだってICチップ必ずチェックしているわけで何故それができないのか。
受け取りも本人限定郵便ではないので、受取時の本人確認書類提示も不要です。
・ログインの脆弱性
パスワードは無しで、ログインはメールアドレスと数字6桁のOTP(メールに送信される)だけの1要素認証です。
メールアカウントが乗っ取られていたら即アカウント乗っ取れるだけでなく、たった6桁の数字なのでパスワードスプレー攻撃(リバースブルートフォース)にも弱いです。
JALとかANAが数字パスワードでのWebログイン止めた理由も分からなかったのだろうか。
TOTPが6桁の数字なのはそれが2要素目の認証でIDとパスワードの一致を確認した後だからなのであって、Webで数字6桁の1要素認証は弱すぎです。
こんなんだから、偽造書類での不正契約や、アカウント乗っ取りなどやり放題で悪用されてしまうんですね。
auかんたん決済でauが損するだけなら別にいいですけど、振り込め詐欺やSMS認証突破などで社会に迷惑がかかるのでセキュリティを上げていただきたいものです。
2023年4月からは、auかんたん決済の限度額が13歳以上でかつ7か月以上という長期ユーザーでも2000円になるとのこと。小学生の小遣いか!
13歳未満や7か月未満は0円です。
povoアカウントにログインすると、ほぼ全ての契約変更ができるし、メールアドレス・連絡先電話番号・住所・氏名・カナ氏名・契約書面などが閲覧できてしまうので、情報漏洩も心配です。
ログイン時の認証は6文字数字より強度を上げられないので、もしユーザーならばメールアドレスを hogehoge+ランダムな英数字@example.com などにするなどして強度を上げて他のサイトで同一のメールアドレスを使ったり公開したりしないようにすると、不正ログインされにくくなるかと思います。
Re:新規契約は脆弱なeKYC、ログインは脆弱な数字6桁パスワード、穴しかない (スコア:2, 参考になる)
ドヤ顔でセキュリティの話にしてるけど(スラドらしいが)、これって現金化の話なのよね。
povoって維持費0円で何回線でも持てるので、1回線あたり数万円の現金化が可能なauキャリア決済が始まった時に、現金化勢の標的になっちゃったんだよ。
無利息で何10万も借りられて、更にpovoの代金をカード払したら逆に儲かるからね。
慌てたpovo側は6回線以上で手数料とったり、使えるサイトを制限したり、2000円しか使えなくしたりと対策をとったわけ。
単なるセキュリティの話なら、UQとかでも問題になると思うよ。
Re:新規契約は脆弱なeKYC、ログインは脆弱な数字6桁パスワード、穴しかない (スコア:1)
ドコモもSB(ヤフー)とかもそうですが、キャリアに絡む会社は回線だけに依存した認証を作りたがりますよね。
しかもあえて2要素認証を廃止して1要素認証にする。
Re: (スコア:0)
ソフトバンクとかだとモバイル回線経由だと何も入力せずにログインできますよ。
ケータイ時代のかんたんログインをスマホ時代に引き継いだ感じ。
生きているモバイル回線自体が認証要素になってる。
誰が使ってるかは問わないってのがあれですが。
povoはその回線認証も無い (スコア:0)
回線認証はWi-Fi接続時に使えないとかテザリング時に悪用されるとか色々問題はあるものの、その回線からしかログインできないので、第三者のインターネット経由での不正ログインを防ぐ一定の効果はあります。
けど、povoはその回線認証すらなく、メールアドレス+数字6桁 のみの認証なのです。
・povoのログイン時の認証は、回線認証や端末認証(アプリ内トークン等)がなくて、Wi-Fi(他社回線) かつ 別端末 からもログイン可
・povoのログイン時のOTP送信は、SMSではなくEmail
・povoのログインは複数端末から同時にログイン可で、かつログイン中の他端末の確認をしたり、他端末のログイントークンを失効させる機能がない
SMSじゃなくてEmailなのは、iPadがSMSに対応していないからやむを得ないでしょうけど、OTPに加えてパスワードも入力させて2要素認証にして欲しいな、と思います。
Re: (スコア:0)
7-11の問題再びみたいな情けない話なの、これ?
そんなセキュリティ上での不正使用でなく、てっきりクレジットカードの現金化みたいな話だと思った。
Re: (スコア:0)
私もそう思いました。単純にポイ活や換金リレー関連かなと。
この件が不正ログイン問題だという根拠はどこにあるんでしょうね。
Re:新規契約は脆弱なeKYC、ログインは脆弱な数字6桁パスワード、穴しかない (スコア:1)
キャリア決済の現金化の話でしょう。
そこに至るまでの敷居が一般契約に比べて低いというだけで。
Re: (スコア:0)
おそらく、そういう「現金化」或いはポイ活絡みでしょう。
ポイ活について言えばこういった数か月でルールが変わるのは「よくあること」です。
朝三暮四といったレベルで変わりますから、去年末から始まった「povo2.0における、かんたん決済」が
3か月で変わったとしても何も驚くようなことではない。
ネットセキュリティー上の問題ではないかな。
法令上はNFCチップ読取りでなくても口座が作れるものはあるし。
本人確認書類の斜め撮りでアカウントが作れるのは他もそうだから仮に「穴」があるとしても
それは法令上の「穴」であってやはりネットセキュリティーの問題ではない。
Re: (スコア:0)
朝令暮改
Re: (スコア:0)
ユーザーを猿に見立てて朝三暮四なのかもしれません。
Re: (スコア:0)
元首相の投稿かもしれません。
Re: (スコア:0)
> こんなんだから、偽造書類での不正契約や、アカウント乗っ取りなどやり放題で悪用されてしまうんですね。
まるで悪用された実績があるみたいな言い方ですけど、povoで偽造書類での不正契約やアカウント乗っ取りされた事例ってありましたっけ?
Re: (スコア:0)
ICチップを確認したところで、基本4情報が証明書に含まれていないと意味がありません。
なぜなら、表面だけ張り替えして偽造できるからです。
したがって、ICチップを確認するなら、使えるのは基本4情報を含んでいるマイナンバーカード内の署名用公的個人認証しかありません。
署名用公的個人認証の確認は証券会社や銀行のローン審査などで採用されている方式であって、かなりハードルが上がりますので、頻繁に新規契約やMNPが発生する携帯会社としてはやりたくないでしょうね。
メルカリがやってるよ (スコア:1)
署名用公的個人認証の確認は証券会社や銀行のローン審査などで採用されている方式であって、かなりハードルが上がりますので、頻繁に新規契約やMNPが発生する携帯会社としてはやりたくないでしょうね。
メルカリアプリ、ヘルプより
> アプリでかんたん本人確認とは?
> マイナンバーカード読み取り方式
> スマートフォンでマイナンバーカードを読み取る方法です。
> 読み取ることで、以下の処理を行います。
> ・マイナンバーカードに記録されている署名用電子証明書をもとに電子署名を行ないます。
> ・基本情報(氏名、生年月日、性別、住所)を取得します。
フリマアプリのメルカリで普通にやっているようなので、ハードルが高いというほどではないのでは?
マイナポイント貰うのに必要なので、署名用電子証明書のパスワードも皆さん設定済みだろうし。
PayPayもやってるね (スコア:1)
PayPayの本人確認をマイナンバーカードでやってみたけど、署名用電子証明書のパスワード入れるだけですぐ済んだ。
写真とか撮らないのね。
https://paypay.ne.jp/help/c0118/ [paypay.ne.jp]
マイナンバーカードからは氏名・生年月日・性別・住所が引き出されるみたいだけど、業者アプリ(今回の場合はPayPayアプリ)に証明書のパスワード入れるのはちょっと抵抗があった。
そこは業者を信用するしかないかな、って感じもあるのだけど、マイナンバーのアプリと連携して動作するような仕組みの方が安心できたね…。
(パスワード抜かれてもカード無ければなんもできないので過剰な心配だとは思うのだが。)
それと、「ハードルが上がる」って感じは特にないよね。毎回入れるわけでもないし。
PovoのeKYCのページ見てみたけど、マイナンバーカードや運転免許証を使っていながら、電子署名見てないのね。
カード撮影するだけってどういうこと…。
自分は長年au/uq使ってきたし、ソフトバンクは信用してなかったんだけど、今回の件見てる限りだとソフトバンクの方が遙かに分かってんだなーという理解を得た。毛嫌いしててごめんよー。(でも回線をソフトバンクにする気は無い…。田舎なのでまだ回線を信用してない。)
Re:PayPayもやってるね (スコア:1)
このページとかに説明されているけど、eKYCには法定の方法がいくつかあって、
https://www.dnp.co.jp/biz/column/detail/10162891_2781.html [dnp.co.jp]
話を聞く限りではPayPayは「ワ」方式、povoは「ホ」方式だね。元コメのACはICチップを使わない「ホ」方式を廃止すべきだと主張しているということ
Re: (スコア:0)
PayPayはガッツリ金融サービスだし何かあったら提供元が困るからそうしてるだけで、携帯電話サービスの方はSoftBankだろうがpovoだろうが大して変わらんよ
Re: (スコア:0)
メルカリやPayPayがやり始めたのは後払い始めてからでしょ。だって、あれってローンだもの。
Re: (スコア:0)
でも別ストーリーでやってたマイナンバーカードの券面からの住所記載削除が実現したら署名用公的個人認証しか選択の余地がないぞ。政府ですらマイナポータルでやってるんだからそれくらいやれとも言いたいが。本人限定受取郵便(特定事項伝達型)はすべての配達員にカードリーダー持たせるのだろうか?
Re: (スコア:0)
マイナンバーカードを使った厳格な本人確認って実質全面禁止じゃないの? 高木浩光がずっと吠えてたじゃん
それで経緯はどうでも結果本人を確実に識別できるDBができるのは法の趣旨に反して最初っから違法だつって
裏番号構築のベンチャーだかが潰れなかったっけ
Re: (スコア:0)
違う、確認するまではいいの
それを保存してユニークキーを使ってサービスしようとしたからだめなの
Re: (スコア:0)
個人番号を使う=違法
公的個人認証を使う=合法
やらかしたXIDは、公的個人認証は15歳以上だし、パスワード、カードリーダーが必要なので、個人番号を使って裏番号を作ればいいじゃんって思い付いて、法に触れたんだよね。
ちなみにXIDは、叩かれた後に公的個人認証に切り替えたので、今でも普通にサービスを続けている。
Re: (スコア:0)
でもeKYCは本人確認の主流でICチップチェックするサービスってかなりの少数派じゃね?