パスワードを忘れた? アカウント作成
16517197 story
お金

povo2.0のauかんたん決済、1日から17種類が利用停止に。通常とは異なる利用が判明 36

ストーリー by nagazou
悪用されたか 部門より
KDDIの「povo2.0」で提供されているauかんたん決済(通信料金合算支払い)で利用可能なサービスが次々に減少しているという。3月1日には17種類のサービスが利用できなくなる。その中にはLINEギフトやメルカリ、Amazon.co.jpなども含まれている。ITmediaの記事によると、KDDI広報部は使えなくなっている理由について、「povo2.0において、auかんたん決済の通常とは異なる利用方法があったため、換金性の高いサービスについて停止した」と話しているとのこと。povo2.0以外のau回線やUQ回線のauかんたん決済では、従来通り利用できるとしている(KDDIITmedia)。

3月1日より利用停止となるもの
  • LINEギフト
  • STORES(ストアーズ)
  • ドミノ・ピザ
  • メルカリ
  • ラクマ
  • 出前館
  • BASE
  • LOHACO
  • Yahoo!ショッピング
  • Qoo10
  • EC All Right
  • SHOPLIST.com by CROOZ
  • Amazon.co.jp
  • Kindle
  • Amazon Prime(プライム会費)
  • Prime Videoチャンネル
  • Amazon Music Unlimited
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ・新規契約の脆弱性
    povoの契約には、運転免許証・マイナンバーカード・在留カードのいずれかとアプリが必須です。
    そのためICチップをチェックしているのかと思いきや、どれもNFC対応のカードなのにICチップを確認しないカメラによるeKYCのみで契約可。
    社外秘の偽造対策技術があるとされていますけど、実は厚みをチェックしている等だけなので対面の人間の目を騙せないような粗悪な偽造でも普通に通ってしまいます。
    フィリピンのマニラとかタイのカオサンとかで数千円以下で売ってる(オンデマンドで作ってくれる)偽造カードで通るレベルですね。
    画像でのeKYCなんて禁止してICチップの確認を義務化すればいいのに……。
    政府のマイナポータルアプリだってICチップ必ずチェックしているわけで何故それができないのか。
    受け取りも本人限定郵便ではないので、受取時の本人確認書類提示も不要です。

    ・ログインの脆弱性
    パスワードは無しで、ログインはメールアドレスと数字6桁のOTP(メールに送信される)だけの1要素認証です。
    メールアカウントが乗っ取られていたら即アカウント乗っ取れるだけでなく、たった6桁の数字なのでパスワードスプレー攻撃(リバースブルートフォース)にも弱いです。
    JALとかANAが数字パスワードでのWebログイン止めた理由も分からなかったのだろうか。
    TOTPが6桁の数字なのはそれが2要素目の認証でIDとパスワードの一致を確認した後だからなのであって、Webで数字6桁の1要素認証は弱すぎです。

    こんなんだから、偽造書類での不正契約や、アカウント乗っ取りなどやり放題で悪用されてしまうんですね。
    auかんたん決済でauが損するだけなら別にいいですけど、振り込め詐欺やSMS認証突破などで社会に迷惑がかかるのでセキュリティを上げていただきたいものです。

    2023年4月からは、auかんたん決済の限度額が13歳以上でかつ7か月以上という長期ユーザーでも2000円になるとのこと。小学生の小遣いか!
    13歳未満や7か月未満は0円です。

    povoアカウントにログインすると、ほぼ全ての契約変更ができるし、メールアドレス・連絡先電話番号・住所・氏名・カナ氏名・契約書面などが閲覧できてしまうので、情報漏洩も心配です。
    ログイン時の認証は6文字数字より強度を上げられないので、もしユーザーならばメールアドレスを hogehoge+ランダムな英数字@example.com などにするなどして強度を上げて他のサイトで同一のメールアドレスを使ったり公開したりしないようにすると、不正ログインされにくくなるかと思います。

    • ドヤ顔でセキュリティの話にしてるけど(スラドらしいが)、これって現金化の話なのよね。
      povoって維持費0円で何回線でも持てるので、1回線あたり数万円の現金化が可能なauキャリア決済が始まった時に、現金化勢の標的になっちゃったんだよ。
      無利息で何10万も借りられて、更にpovoの代金をカード払したら逆に儲かるからね。

      慌てたpovo側は6回線以上で手数料とったり、使えるサイトを制限したり、2000円しか使えなくしたりと対策をとったわけ。

      単なるセキュリティの話なら、UQとかでも問題になると思うよ。

      親コメント
    • ドコモもSB(ヤフー)とかもそうですが、キャリアに絡む会社は回線だけに依存した認証を作りたがりますよね。
      しかもあえて2要素認証を廃止して1要素認証にする。

      親コメント
      • by Anonymous Coward

        ソフトバンクとかだとモバイル回線経由だと何も入力せずにログインできますよ。
        ケータイ時代のかんたんログインをスマホ時代に引き継いだ感じ。
        生きているモバイル回線自体が認証要素になってる。
        誰が使ってるかは問わないってのがあれですが。

      • 回線認証はWi-Fi接続時に使えないとかテザリング時に悪用されるとか色々問題はあるものの、その回線からしかログインできないので、第三者のインターネット経由での不正ログインを防ぐ一定の効果はあります。

        けど、povoはその回線認証すらなく、メールアドレス+数字6桁 のみの認証なのです。

        ・povoのログイン時の認証は、回線認証や端末認証(アプリ内トークン等)がなくて、Wi-Fi(他社回線) かつ 別端末 からもログイン可
        ・povoのログイン時のOTP送信は、SMSではなくEmail
        ・povoのログインは複数端末から同時にログイン可で、かつログイン中の他端末の確認をしたり、他端末のログイントークンを失効させる機能がない

        SMSじゃなくてEmailなのは、iPadがSMSに対応していないからやむを得ないでしょうけど、OTPに加えてパスワードも入力させて2要素認証にして欲しいな、と思います。

    • by Anonymous Coward

      7-11の問題再びみたいな情けない話なの、これ?
      そんなセキュリティ上での不正使用でなく、てっきりクレジットカードの現金化みたいな話だと思った。

      • by Anonymous Coward

        私もそう思いました。単純にポイ活や換金リレー関連かなと。
        この件が不正ログイン問題だという根拠はどこにあるんでしょうね。

      • by Anonymous Coward

        おそらく、そういう「現金化」或いはポイ活絡みでしょう。
        ポイ活について言えばこういった数か月でルールが変わるのは「よくあること」です。
        朝三暮四といったレベルで変わりますから、去年末から始まった「povo2.0における、かんたん決済」が
        3か月で変わったとしても何も驚くようなことではない。
        ネットセキュリティー上の問題ではないかな。

        法令上はNFCチップ読取りでなくても口座が作れるものはあるし。
        本人確認書類の斜め撮りでアカウントが作れるのは他もそうだから仮に「穴」があるとしても
        それは法令上の「穴」であってやはりネットセキュリティーの問題ではない。

        • by Anonymous Coward

          朝令暮改

          • by Anonymous Coward

            ユーザーを猿に見立てて朝三暮四なのかもしれません。

            • by Anonymous Coward

              元首相の投稿かもしれません。

    • by Anonymous Coward

      > こんなんだから、偽造書類での不正契約や、アカウント乗っ取りなどやり放題で悪用されてしまうんですね。

      まるで悪用された実績があるみたいな言い方ですけど、povoで偽造書類での不正契約やアカウント乗っ取りされた事例ってありましたっけ?

    • by Anonymous Coward

      ICチップを確認したところで、基本4情報が証明書に含まれていないと意味がありません。
      なぜなら、表面だけ張り替えして偽造できるからです。
      したがって、ICチップを確認するなら、使えるのは基本4情報を含んでいるマイナンバーカード内の署名用公的個人認証しかありません。

      署名用公的個人認証の確認は証券会社や銀行のローン審査などで採用されている方式であって、かなりハードルが上がりますので、頻繁に新規契約やMNPが発生する携帯会社としてはやりたくないでしょうね。

      • by Anonymous Coward on 2023年03月04日 16時52分 (#4421409)

        署名用公的個人認証の確認は証券会社や銀行のローン審査などで採用されている方式であって、かなりハードルが上がりますので、頻繁に新規契約やMNPが発生する携帯会社としてはやりたくないでしょうね。

        メルカリアプリ、ヘルプより
        > アプリでかんたん本人確認とは?
        > マイナンバーカード読み取り方式
        > スマートフォンでマイナンバーカードを読み取る方法です。
        > 読み取ることで、以下の処理を行います。
        > ・マイナンバーカードに記録されている署名用電子証明書をもとに電子署名を行ないます。
        > ・基本情報(氏名、生年月日、性別、住所)を取得します。

        フリマアプリのメルカリで普通にやっているようなので、ハードルが高いというほどではないのでは?
        マイナポイント貰うのに必要なので、署名用電子証明書のパスワードも皆さん設定済みだろうし。

        親コメント
        • by Anonymous Coward on 2023年03月04日 17時28分 (#4421423)

          PayPayの本人確認をマイナンバーカードでやってみたけど、署名用電子証明書のパスワード入れるだけですぐ済んだ。
          写真とか撮らないのね。
          https://paypay.ne.jp/help/c0118/ [paypay.ne.jp]

          マイナンバーカードからは氏名・生年月日・性別・住所が引き出されるみたいだけど、業者アプリ(今回の場合はPayPayアプリ)に証明書のパスワード入れるのはちょっと抵抗があった。
          そこは業者を信用するしかないかな、って感じもあるのだけど、マイナンバーのアプリと連携して動作するような仕組みの方が安心できたね…。
          (パスワード抜かれてもカード無ければなんもできないので過剰な心配だとは思うのだが。)

          それと、「ハードルが上がる」って感じは特にないよね。毎回入れるわけでもないし。

          PovoのeKYCのページ見てみたけど、マイナンバーカードや運転免許証を使っていながら、電子署名見てないのね。
          カード撮影するだけってどういうこと…。
          自分は長年au/uq使ってきたし、ソフトバンクは信用してなかったんだけど、今回の件見てる限りだとソフトバンクの方が遙かに分かってんだなーという理解を得た。毛嫌いしててごめんよー。(でも回線をソフトバンクにする気は無い…。田舎なのでまだ回線を信用してない。)

          親コメント
          • by Anonymous Coward on 2023年03月04日 22時51分 (#4421512)

            このページとかに説明されているけど、eKYCには法定の方法がいくつかあって、
            https://www.dnp.co.jp/biz/column/detail/10162891_2781.html [dnp.co.jp]
            話を聞く限りではPayPayは「ワ」方式、povoは「ホ」方式だね。元コメのACはICチップを使わない「ホ」方式を廃止すべきだと主張しているということ

            親コメント
          • by Anonymous Coward

            PayPayはガッツリ金融サービスだし何かあったら提供元が困るからそうしてるだけで、携帯電話サービスの方はSoftBankだろうがpovoだろうが大して変わらんよ

        • by Anonymous Coward

          メルカリやPayPayがやり始めたのは後払い始めてからでしょ。だって、あれってローンだもの。

      • by Anonymous Coward

        署名用公的個人認証の確認は証券会社や銀行のローン審査などで採用されている方式であって、かなりハードルが上がりますので、頻繁に新規契約やMNPが発生する携帯会社としてはやりたくないでしょうね。

        でも別ストーリーでやってたマイナンバーカードの券面からの住所記載削除が実現したら署名用公的個人認証しか選択の余地がないぞ。政府ですらマイナポータルでやってるんだからそれくらいやれとも言いたいが。本人限定受取郵便(特定事項伝達型)はすべての配達員にカードリーダー持たせるのだろうか?

        • by Anonymous Coward

          マイナンバーカードを使った厳格な本人確認って実質全面禁止じゃないの? 高木浩光がずっと吠えてたじゃん
          それで経緯はどうでも結果本人を確実に識別できるDBができるのは法の趣旨に反して最初っから違法だつって
          裏番号構築のベンチャーだかが潰れなかったっけ

          • by Anonymous Coward

            違う、確認するまではいいの
            それを保存してユニークキーを使ってサービスしようとしたからだめなの

          • by Anonymous Coward

            個人番号を使う=違法
            公的個人認証を使う=合法

            やらかしたXIDは、公的個人認証は15歳以上だし、パスワード、カードリーダーが必要なので、個人番号を使って裏番号を作ればいいじゃんって思い付いて、法に触れたんだよね。

            ちなみにXIDは、叩かれた後に公的個人認証に切り替えたので、今でも普通にサービスを続けている。

    • by Anonymous Coward

      でもeKYCは本人確認の主流でICチップチェックするサービスってかなりの少数派じゃね?

  • by Anonymous Coward on 2023年03月04日 6時54分 (#4421208)

    復帰はないでしょうね。
    そ考えるとPayPayは頑張っている方かもね

  • by Anonymous Coward on 2023年03月04日 8時45分 (#4421247)

    元々povo2.0はかんたん決済に対応してなくて、昨年末に導入したばかりだからね。
    povo2.0の仕組みがかんたん決済向けに作られていないのに、スケジュールありきで無理矢理導入しちゃったんだろう。
    d払いとかが通った道。

    • by Anonymous Coward

      ドコモ銀行とかいう現場猫のトリプルチェックみたいな確認でセキュリティがザルになったサービスもあったな

      • by Anonymous Coward

        事件が起きたのはドコモ銀行じゃなくてドコモ口座な(その後2021年にd払いに統合)

        個人的にはドコモ口座 Visaのプリペイド [docomo.ne.jp]での加盟店制限を思い出した
        今は消えた機能なんだけども、某有名PCパーツショップ通販でHDD買おうとしたらドコモの判断で決済止められたことがある
        利用できない加盟店一覧 [archive.org]も一部公開されていて年々増えてた

    • by Anonymous Coward

      内容的に後付けとか関係なくね
      povo2.0は本人確認必須だしクレカ決済オンリーなので元々auかんたん決済向けに作られてるでしょこれ

  • by Anonymous Coward on 2023年03月04日 11時00分 (#4421294)

    一部のショッピングサイトが除外されるのは、第三者が出店できるのでそこで商取引に見せかけた換金行為が行われるってのは分かる。
    Kindleも個人で出版できるようなので同様の扱い。(亞書的な感じで)
    オークションサイトやフリマサイトは言うまでもなく。

    よくわからんのはピザ屋と出前。
    これはどういうスキームで換金できるのでしょう…?
    あとサブスクの会費も。

    • by Anonymous Coward

      ピザ屋と出前は換金というより初回限定クーポン乞食対策っぽいですね
      KDDI側からすれば知らんがなって話ですが、支払いバックレる人が多かったのか、単なる巻き込まれなのか、事業者や警察から何か言われたのか……
      povo2.0はSMS認証のあるサービスで複数アカウント作るのに都合良いんですけど、同じクレカで決済すると同一人物だとバレるので、キャリア決済を使う人が多かったのかな、とか

      出前館、複垢乞食に激おこへ。「不正利用は金額の回収に参ります。」 | 節約速報 [setusoku.com]

      • by Anonymous Coward

        あー…、そっちの複垢対策か。
        出前館は大変なことになってましたね。

      • by Anonymous Coward

        サブスクも同様にクーポンやXカ月無料キャンペーンの複数アカウント利用対策ってことですかね。

  • 此は (スコア:0, 興味深い)

    by Anonymous Coward on 2023年03月04日 12時45分 (#4421330)

    お仕事してます、アピール?

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...