Hiromitsu Takagi

22.4万 件のツイート
フォロー
Hiromitsu Takagi
@HiromitsuTakagi
自宅(テレワークを除く)研究員 blog@takagi-hiromitsu.jp
東京都takagi-hiromitsu.jp2008年12月からTwitterを利用しています
228 フォロー中
3.2万 フォロワー

Hiromitsu Takagiさんのツイート

Hiromitsu Takagi
@HiromitsuTakagi
こんな完全に噛み合ってる会話なんて滅多にないのに、目が曇ってるんでは?
引用ツイート
kokumoto
@__kokumoto
·
会話が噛み合って無い感。流石にCCで専門家の相手をするのは(他行含め)無理なので、早めに本部にエスカレするルールを作っておくべきなんですよね。 セキュリティが気になるって苦情が来るだけで危険と認識するのだと、電話認証も生体認証も危険(それはそれで正しいのだけど)となり何もできない。 twitter.com/HiromitsuTakag…
このスレッドを表示
2
4
Hiromitsu Takagiさんがリツイート
かふか
@kamachi_kk
ほんとテレフォンバンキングも止めて欲しい(かなり昔に要望を出した事がある)。あれも使いたい人だけが申請で使えるようにすれば良いのに
引用ツイート
Hiromitsu Takagi
@HiromitsuTakagi
·
これだけリバースブルートフォースがテレビのワイドショーやらで一般に認知されてきたので、いまこそ、テレフォンバンキングの危険性がスッと世間に理解されそうだ。マスコミ各位はテレフォンバンキングを実際に録音して試してみるとよろしいぞ。
13
11
Hiromitsu Takagiさんがリツイート
khak
@k_h_a_k
ログイン自体は多要素ではないですね。確かにこれは嫌な仕様だ。 そして、ログイン設定に困った説明がある…
画像
引用ツイート
Hiromitsu Takagi
@HiromitsuTakagi
·
この件、まだ確認していない。この画面の次にワンタイムパスワード入力があってその次の画面でないと(第一暗証の)認証の成否が表示されないのであれば、セーフ。 twitter.com/HiromitsuTakag
6
Hiromitsu Takagi
@HiromitsuTakagi
「知識、所持、生体」はどうでもよくて、リモート認証かローカル認証かとか、落とした時の効果とか、盗み見られた時の効果とか、弱い知識を使ってしまう場合の効果とか、そういうことだろう。 盲目的に「知識、所持、生体」とお経唱えるのはそろそろやめるべきとき。
22
39
このスレッドを表示
Hiromitsu Takagi
@HiromitsuTakagi
ところで、「知識情報…、所持情報…、生体情報…」の多要素認証のことが、異なる要素であることが何やら必須であるかのように言われているが、根拠がないと思う。知識+所持が有効なのは、落とした時に「知識」が効く+知識が弱くても「所持」が効くといったシーンにおいて。
ドコモ口座問題と本人確認手続/KYCのあり方について|徐東輝(とんふぃ)|note
NTTドコモ提供の電子決済サービス「ドコモ口座」からの不正出金問題について、既に様々な専門感が問題点や防衛策を提示されていますが、アルゴリズム社会におけるプライバシーとセキュリティに強い関心を持つ法曹の身として、後学のためにも各プレイヤーの契約関係と本人確認手続に関する論点を整理してみたいと思います。 1.ドコモ口座の概要について 「ドコモ口座」とは、公式サイト上では、「ネットやアプリ上で送...
note.com
1
19
29
このスレッドを表示
Hiromitsu Takagiさんがリツイート
Naomi Suzuki
@NaomiSuzuki_
去年と今年の違いは、攻撃する側の要件にした方が歴然でした ■去年 ・ドコモ:dアカウントに侵入 ・銀行:キャッシュカードの暗証番号等入手またはネットバンキングに侵入 ■今年 ・ドコモ:なし ・銀行:キャッシュカードの暗証番号等入手 ドコモの箍が外れれたらユルユルな銀行がいーぱい
角つき笑顔
28
42
このスレッドを表示
Hiromitsu Takagiさんがリツイート
Naomi Suzuki
@NaomiSuzuki_
去年の問題発生後、ドコモさんは連携する口座を本人名義に限定したようですが、その一方でドコモ口座を本人確認なしで取得できるdアカウントで利用できるようにしてしまいました。りそなさんは連携時の認証が両対応で(みずほさんも)、どちらが使われたのか分かりませんが、現状維持で連携を中止です
1
17
21
このスレッドを表示
Hiromitsu Takagiさんがリツイート
Naomi Suzuki
@NaomiSuzuki_
時事通信さんが去年の類似案件を見つけてきて「今回と同様の手口による被害が昨年発生していた」といっているので、これも違うところをご紹介します。
引用ツイート
時事ドットコム(時事通信ニュース)
@jijicom
·
NTTドコモの電子決済サービス「ドコモ口座」を使って預金が不正に引き出された問題で、ドコモ側が今回と同様の手口による被害が昨年発生していたことを把握しながら、提携する銀行への通知を徹底していなかったことが、分かりました。 jiji.com/jc/article?k=2
1
42
49
このスレッドを表示
Hiromitsu Takagiさんがリツイート
kokumoto
@__kokumoto
犯収法上の取引時確認の要件を満たすための確認も、口座振替契約のための認証もまとめて「本人確認」と表現してしまうのでわかりにくいが、氏名(、生年月日)の一致だけで同一人としているのが実務的なところ。認証は別として、確認がまずそれで良いのかの話。
引用ツイート
Hiromitsu Takagi
@HiromitsuTakagi
·
「利用者と預金者が同一」であることを要件とする場合、SMS2段階認証しか行っていないKyashなど他のペイ系サービスは要件を満たさないので、口座振替を中止しなければならないことになる。 中止するわけにいかないからと、原理原則を立てずこれまで通りなあなあで続けるなら、再び事故が起きるだろう。
このスレッドを表示
1
15
17
このスレッドを表示
Hiromitsu Takagiさんがリツイート
takuya@kobe(フリー素材)
@takuya_1st
そもそも婚姻離婚で変わる姓名で同一者名義とするのが無理筋っていうか。かと言って共通番号制度は強烈な紐付き過ぎて流出リスクが高すぎるっていう。口座振替はインターネットバンキングや住所への郵便物送付が落とし所だと思うんですけどねえ
引用ツイート
Hiromitsu Takagi
@HiromitsuTakagi
·
ところで、電気料金や水道料金の支払いで口座振替する際に、電気・水道の契約者名義と、口座振替の委任者が同一でない場合も通るのかは、確認しておきたいところ。
このスレッドを表示
8
10
Hiromitsu Takagiさんがリツイート
mafia
@tms313
返信先:
@HiromitsuTakagi
さん
東京電力(support.tepco.co.jp/faq/show/145?c)や北九州市水道局(city.kitakyushu.lg.jp/suidou/s003010)等の事業者HP(電気、ガス、水道)を調べてみましたが、いずれも契約者と口座の名義が異なっていても振替可能としていますね。ただ中国電力(energia.co.jp/faq/price/answ)では「確認を行う場合がある」としています。
8
7
Hiromitsu Takagi
@HiromitsuTakagi
「利用者と預金者が同一」であることを要件とする場合、SMS2段階認証しか行っていないKyashなど他のペイ系サービスは要件を満たさないので、口座振替を中止しなければならないことになる。 中止するわけにいかないからと、原理原則を立てずこれまで通りなあなあで続けるなら、再び事故が起きるだろう。
1
44
54
このスレッドを表示
Hiromitsu Takagi
@HiromitsuTakagi
…「銀行側に認証上の問題がないか、資金移動業者側での本人確認プロセスに脆弱性がないか確認いただきたい。」と言っているが、そこで言う「本人確認プロセス」とは何なのか。それぞれの銀行で独自に考えよというのであろうか。それこそが協会において考えることではないのか。
1
26
36
このスレッドを表示
Hiromitsu Takagi
@HiromitsuTakagi
「本人であることを確認する」という意味なら、ドコモ口座の利用者として登録された氏名等の本人であることの確認のはずだが、記事で出てくるSMSでの二段階認証はその意味での本人確認では全くない。どこかの電話契約者だということを確認しているだけ。犯罪捜査用の追跡性を確保するものではあるが。
1
26
40
このスレッドを表示
Hiromitsu Takagi
@HiromitsuTakagi
しかし、「利用者と預金者が同一」といってもどうやって同一性を確認するのかという難しい問題がある。氏名等の一致でなんとなくやるしかないのだろう。 ところで、「本人確認」の語が安易に使われているのが気になる。本人確認とは何なのか。
ドコモ口座問題と本人確認手続/KYCのあり方について|徐東輝(とんふぃ)|note
NTTドコモ提供の電子決済サービス「ドコモ口座」からの不正出金問題について、既に様々な専門感が問題点や防衛策を提示されていますが、アルゴリズム社会におけるプライバシーとセキュリティに強い関心を持つ法曹の身として、後学のためにも各プレイヤーの契約関係と本人確認手続に関する論点を整理してみたいと思います。 1.ドコモ口座の概要について 「ドコモ口座」とは、公式サイト上では、「ネットやアプリ上で送...
note.com
1
26
44
このスレッドを表示
Hiromitsu Takagi
@HiromitsuTakagi
…の合意+利用者と振替先の合意という連鎖による合意も認めるのがまずは基本なんだろう。かつては、振替先の組織の性質から阿吽の呼吸で同意があるはずと推定していたものと思われる。しかし、自動化するとなるとそうはいかない。利用者と預金者が同一の場合しか認めないようにするしかない。
1
23
34
このスレッドを表示
Hiromitsu Takagi
@HiromitsuTakagi
ドコモにとって、どの預金口座であろうともかまわない(家族とかあり得る)し、銀行にとっては委任なので言われた通りにするだけ。……でよいのか、なんだな。銀行において、口座振替の委任を受ける際に、振替先で当該預金者との合意がなされているかを確認するべきであり、預金者と利用者の合意…
1
25
38
このスレッドを表示
Hiromitsu Takagi
@HiromitsuTakagi
ドコモと利用者の関係は、支払いを当該預金口座からの口座振替により行う旨の「合意」であり、銀行と預金者の関係は、ドコモへの支払いを委託する「委任契約」なんですね。しかし、ドコモの「利用者」と銀行の「預金者」とが同一人であることを特に要しないのではないか。
ドコモ口座問題と本人確認手続/KYCのあり方について|徐東輝(とんふぃ)|note
NTTドコモ提供の電子決済サービス「ドコモ口座」からの不正出金問題について、既に様々な専門感が問題点や防衛策を提示されていますが、アルゴリズム社会におけるプライバシーとセキュリティに強い関心を持つ法曹の身として、後学のためにも各プレイヤーの契約関係と本人確認手続に関する論点を整理してみたいと思います。 1.ドコモ口座の概要について 「ドコモ口座」とは、公式サイト上では、「ネットやアプリ上で送...
note.com
2
112
144
このスレッドを表示
Hiromitsu Takagiさんがリツイート
とんふぃ@スマニュー/ZeLo
@tonghwi17
ドコモ口座問題と本人確認手続のあり方について、契約関係と本人確認手続に関する論点を整理してみました。健全なキャッシュレス社会の実現には、ドコモの責任なのか、銀行の責任なのかという視点を超えて、このようなサービスが持つべき手続水準を考えることでは?
ドコモ口座問題と本人確認手続/KYCのあり方について|徐東輝(とんふぃ)|note
NTTドコモ提供の電子決済サービス「ドコモ口座」からの不正出金問題について、既に様々な専門感が問題点や防衛策を提示されていますが、アルゴリズム社会におけるプライバシーとセキュリティに強い関心を持つ法曹の身として、後学のためにも各プレイヤーの契約関係と本人確認手続に関する論点を整理してみたいと思います。 1.ドコモ口座の概要について 「ドコモ口座」とは、公式サイト上では、「ネットやアプリ上で送...
note.com
51
71
Hiromitsu Takagiさんがリツイート
Morita, Yu (yuu)
@securecat
ふむふむ / 他5件のコメント b.hatena.ne.jp/entry?url=httpnss-jp.com/wp-content/upl” (6 users) htn.to/2XSRq87aKQ
『https://www.nss-jp.com/wp-content/uploads/2020/02/web_koufuri_annnai.pdf』へのコメント
addwisteria, ”2014年のJAL不正ログイン問題から全く学んでない……。酷い……。” / NOV1975, ”この一覧は貴重だ。が、そもそもこの受付システム自体もどうなのw” / avalon1982, ”【インターネット口座振替受付サービス】 取扱金融機関・認証項目一覧 (2020 年 7 月 27 日時点)” / lastline, ”一目瞭然”
b.hatena.ne.jp
2
Hiromitsu Takagiさんがリツイート
Togetter公式
@togetter_jp
「ドコモ口座の不正引き出しでヤバいのは「ゆうちょ等の未記帳行数が30行を超えると合算になるという仕様」→履歴を発行しないと不正を検出できない」togetter.com/li/1591903 に大注目!話題のまとめをいますぐチェック! 作成者:
@a_menb0
ドコモ口座の不正引き出しでヤバいのは「ゆうちょ等の未記帳行数が30行を超えると合算になるという仕様」→履歴を発行しないと不正を検出できない
こまめにチェックしよう
togetter.com
54
35
Hiromitsu Takagiさんがリツイート
Nakamura
@ma_naka
@rhino_cyber
のところだった。害悪。
引用ツイート
Hiromitsu Takagi
@HiromitsuTakagi
·
おお、いかがでしたか系が進出してきたか。ロクでもない。 cybersecurity-jp.com/column/40622 「定期的にパスワードを変更することもリバースブルートフォース攻撃対策となります。」 となります
勝ち誇った顔
このスレッドを表示
画像
3
2

Twitterを使ってみよう

今すぐ登録して、タイムラインをカスタマイズしましょう。
アカウント作成
画像
画像
画像
画像
画像
画像

トレンド

いまどうしてる?

映画・テレビ · トレンド
Jeannie
2,219件のツイート
映画・テレビ · トレンド
Skai
2,624件のツイート
Los Angeles Times
5 時間前
'Jeopardy!' is protecting Alex Trebek at all costs during the pandemic
The New York Times
3 時間前
New Coronavirus Cases Have Reached Record Levels in the Midwest
映画・テレビ · トレンド
#DWTS
トレンドトピック: Tyra, #DancingWiththeStars
17,877件のツイート
さらに表示