パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

povo2.0のauかんたん決済、1日から17種類が利用停止に。通常とは異なる利用が判明」記事へのコメント

  • ・新規契約の脆弱性
    povoの契約には、運転免許証・マイナンバーカード・在留カードのいずれかとアプリが必須です。
    そのためICチップをチェックしているのかと思いきや、どれもNFC対応のカードなのにICチップを確認しないカメラによるeKYCのみで契約可。
    社外秘の偽造対策技術があるとされていますけど、実は厚みをチェックしている等だけなので対面の人間の目を騙せないような粗悪な偽造でも普通に通ってしまいます。
    フィリピンのマニラとかタイのカオサンとかで数千円以下で売ってる(オンデマンドで作ってくれる)偽造カードで通るレベルですね。
    画像でのeKYCなんて禁止してIC

    • ICチップを確認したところで、基本4情報が証明書に含まれていないと意味がありません。
      なぜなら、表面だけ張り替えして偽造できるからです。
      したがって、ICチップを確認するなら、使えるのは基本4情報を含んでいるマイナンバーカード内の署名用公的個人認証しかありません。

      署名用公的個人認証の確認は証券会社や銀行のローン審査などで採用されている方式であって、かなりハードルが上がりますので、頻繁に新規契約やMNPが発生する携帯会社としてはやりたくないでしょうね。

      親コメント
      • by Anonymous Coward on 2023年03月04日 16時52分 (#4421409)

        署名用公的個人認証の確認は証券会社や銀行のローン審査などで採用されている方式であって、かなりハードルが上がりますので、頻繁に新規契約やMNPが発生する携帯会社としてはやりたくないでしょうね。

        メルカリアプリ、ヘルプより
        > アプリでかんたん本人確認とは?
        > マイナンバーカード読み取り方式
        > スマートフォンでマイナンバーカードを読み取る方法です。
        > 読み取ることで、以下の処理を行います。
        > ・マイナンバーカードに記録されている署名用電子証明書をもとに電子署名を行ないます。
        > ・基本情報(氏名、生年月日、性別、住所)を取得します。

        フリマアプリのメルカリで普通にやっているようなので、ハードルが高いというほどではないのでは?
        マイナポイント貰うのに必要なので、署名用電子証明書のパスワードも皆さん設定済みだろうし。

        親コメント
        • by Anonymous Coward on 2023年03月04日 17時28分 (#4421423)

          PayPayの本人確認をマイナンバーカードでやってみたけど、署名用電子証明書のパスワード入れるだけですぐ済んだ。
          写真とか撮らないのね。
          https://paypay.ne.jp/help/c0118/ [paypay.ne.jp]

          マイナンバーカードからは氏名・生年月日・性別・住所が引き出されるみたいだけど、業者アプリ(今回の場合はPayPayアプリ)に証明書のパスワード入れるのはちょっと抵抗があった。
          そこは業者を信用するしかないかな、って感じもあるのだけど、マイナンバーのアプリと連携して動作するような仕組みの方が安心できたね…。
          (パスワード抜かれてもカード無ければなんもできないので過剰な心配だとは思うのだが。)

          それと、「ハードルが上がる」って感じは特にないよね。毎回入れるわけでもないし。

          PovoのeKYCのページ見てみたけど、マイナンバーカードや運転免許証を使っていながら、電子署名見てないのね。
          カード撮影するだけってどういうこと…。
          自分は長年au/uq使ってきたし、ソフトバンクは信用してなかったんだけど、今回の件見てる限りだとソフトバンクの方が遙かに分かってんだなーという理解を得た。毛嫌いしててごめんよー。(でも回線をソフトバンクにする気は無い…。田舎なのでまだ回線を信用してない。)

          親コメント
          • by Anonymous Coward on 2023年03月04日 22時51分 (#4421512)

            このページとかに説明されているけど、eKYCには法定の方法がいくつかあって、
            https://www.dnp.co.jp/biz/column/detail/10162891_2781.html [dnp.co.jp]
            話を聞く限りではPayPayは「ワ」方式、povoは「ホ」方式だね。元コメのACはICチップを使わない「ホ」方式を廃止すべきだと主張しているということ

            親コメント
          • by Anonymous Coward

            PayPayはガッツリ金融サービスだし何かあったら提供元が困るからそうしてるだけで、携帯電話サービスの方はSoftBankだろうがpovoだろうが大して変わらんよ

        • by Anonymous Coward

          メルカリやPayPayがやり始めたのは後払い始めてからでしょ。だって、あれってローンだもの。

      • by Anonymous Coward

        署名用公的個人認証の確認は証券会社や銀行のローン審査などで採用されている方式であって、かなりハードルが上がりますので、頻繁に新規契約やMNPが発生する携帯会社としてはやりたくないでしょうね。

        でも別ストーリーでやってたマイナンバーカードの券面からの住所記載削除が実現したら署名用公的個人認証しか選択の余地がないぞ。政府ですらマイナポータルでやってるんだからそれくらいやれとも言いたいが。本人限定受取郵便(特定事項伝達型)はすべての配達員にカードリーダー持たせるのだろうか?

        • by Anonymous Coward

          マイナンバーカードを使った厳格な本人確認って実質全面禁止じゃないの? 高木浩光がずっと吠えてたじゃん
          それで経緯はどうでも結果本人を確実に識別できるDBができるのは法の趣旨に反して最初っから違法だつって
          裏番号構築のベンチャーだかが潰れなかったっけ

          • by Anonymous Coward

            違う、確認するまではいいの
            それを保存してユニークキーを使ってサービスしようとしたからだめなの

          • by Anonymous Coward

            個人番号を使う=違法
            公的個人認証を使う=合法

            やらかしたXIDは、公的個人認証は15歳以上だし、パスワード、カードリーダーが必要なので、個人番号を使って裏番号を作ればいいじゃんって思い付いて、法に触れたんだよね。

            ちなみにXIDは、叩かれた後に公的個人認証に切り替えたので、今でも普通にサービスを続けている。

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

処理中...