電子マネー」カテゴリーアーカイブ

2段階認証の誤解

不正引き出しとは

金融機関にある取引口座とチャージ対象(キャッシュレス手段等)の持ち主(管理者)が異なり、取引口座の資金が無断で移動させられること

今回だと例えば、

キャッシュレス手段取引口座備考
D払い(他人)ゆうちょ(自分)ドコモ口座
LINEペイ(他人)ゆうちょ(自分)

#上の表の「他人」と「自分」が逆になると、攻撃者そのものか、犯罪に巻き込まれているか、になるだろう

①2段階認証はひとつでよい、という誤解

2段階認証(2要素認証ともいう)は英語では2-factor-authenticationとなるが、3-factorや4-factorの方が突破されにくい。ドアについている鍵の数が1つより2つ、2つより3つの方が開けにくいのと同じ。

ちなみに、昔NYではドアに数個鍵を掛けると言われ映画やドラマでもそのような場面が出てくるが、「8つ鍵を付けると狙われない」としていたと記憶する。(そりゃそうだろう)

2段階認証として設定できるのは、(口座番号や暗証番号は当然のこととして、)他にはだいたい

  • ワンタイムパスワード
  • 第2暗証
  • 生体認証
  • 合言葉
  • マイナンバー

位だが、どれも抜け穴がある。

#最悪、例えば家族なら全て突破できる場合がありえる。一卵性双生児なら生体認証も??

②xx銀行、xxペイ、xxサービスのどれかひとつで2段階認証を導入しているから安心、という誤解

ゆうちょとLINEペイを例にすると、

  • ゆうちょは2段階認証していない
  • LINEペイは2段階認証は(オプション)。住所や名前などは実在のものでなくともOK

なので、他人のLINEペイから2段階認証していないゆうちょ口座への紐づけが可能になっている。ゆうちょで2段階認証等の対策がとられていれば、かなり防げるものだが、それがない

③攻撃者の前提は把握可能という誤解

普通はこうするだろう、と攻撃者の動きを想像すると、痛い目を見る。被害者が気づくまで、普通では考えられないことをやっているはず。

また、不正被害が世の中に知られたので、無くなるのも時間の問題だろう、とはいかない。被害が気づかないところでは口座の資金が枯渇(または借り入れ額が上限に達する)迄続く。

どこに気を付ければいいか?

預金口座をもつ金融系(銀行、ゆうちょ)が紐付けサービスを始めたら、リスクがある。口座の取引に異常がないか確認する。メールが来るものならこまめにチェックする。

金融機関からキャッシュレスサービスとの連携を開始する通知があるか。封書でもハガキでもメールでもいいので。契約者全員にアナウンスがあるか。

また、取引口座の取引を逐一メールやハガキで通知するシステムになっているか。これが徹底されていれば、口座を確認するためATMや金融機関にわざわざ出向く手間が省ける。

LINEペイの銀行口座登録の例(2020年9月時点)

登録方法例(LINEペイ)

  • 1口座番号・PWなどの情報を
  • 2銀行選択して必要な情報を入力
  • 3銀行のWebサイトで必要な情報を入力

(例)2020年9月時点のLINEペイの銀行口座登録

金融機関口座登録のため準備するもの(口座情報は省略)備考
ゆうちょなし
三菱UFJ(MUFG)ワンタイムパスワード(OTP)OTPはアプリも可能
三井住友(SMBC)ワンタイムパスワード(OTP)OTPはアプリも可能
みずほ銀行メアド(普通預金口座)合言葉、第2暗証番号(みずほダイレクト)偽サイトで入力、もしくは口座情報を売られていないか
楽天銀行ワンタイムキー
ジャパンネット銀行トークン(OTP)
住信SBIネット銀行アプリ(スマート認証)(SMS認証)生体認証、登録電話番号が変更できなければOK
その他省略
LINEペイの銀行口座登録

それぞれの対応を比較すれば、その脆弱性は一目で分かる。一方にあって他にない認証情報の存在理由を検討していれば済むこと。

例えば、引き出し金額上限が最初1円などになっていて、窓口でしかその上限額が引き上げられないなど、コストのかかるものがないと、上記のような認証情報の差は説明できないはず。

ゆうちょの登録

ゆうちょには2段階認証がない。報道ではキャッシュレス業者に2段階認証の導入をお願いしているらしいが、ゆうちょ側にも必須だ。取引に関するものなら、キャッシュレスへのチャージを含めゆうちょ側でも2段階認証が必要。

どこにも2段階認証は出てこない

(口座契約者と同一かの意味で)本当に本人のキャッシュレスアカウントから取引口座への登録要請がきているのか、どうやって確認するのだろう。金融機関の知らないところで認証されたものを、自分で確認しないでどうやって認証するのだろう。

ドコモ口座とdアカウント

ドコモ口座もdアカウント経由で銀行口座と紐づけるが、dアカウント自体には2段階認証が導入されている(必須でないようだが)。ただし、そのことと銀行口座登録時に銀行側に2段階認証がなくていいとは決してならない。紐づけようとしているdアカウント(ドコモ口座)が銀行口座の本人のアカウントとはかぎらないから、dアカウントの方が2段階認証で守られていても全く意味がない。守るべきは銀行口座の方である。

キャッシュレス業者の個人認証は金融機関の個人認証に比べ極端に脆弱だ。プリペイド式で認証が不要だったり、セキュリティの厳しいクレジットカードと紐づけることでチャージ機能を付与してきた。銀行のように免許証を送付したり窓口で手続きということもない。逆に銀行口座へアクセスできることで個人認証の論拠となっている場合もある(Auペイなど)。

まとめ

取引をメールで知らせない金融機関はあぶない。金融機関が損する訳ではないが、口座の契約者が被害が認識できない可能性がある。連携先がメールするからOKで、はない(連携先の登録メールアドレスと金融機関の登録メールアドレスが違っている場合、確認できない)

金融機関が、キャッシュレスなど他の決済サービスと連携している時点であぶない。簡単に連携できるほどあぶない。連携が面倒なほど危険度は減る。

取り扱い額(引き出し金額)の上限を設定できないところはあぶない。特に契約時に「上限なし」など論外(通常は100万円や49万円などが設定されている)。

主たる金融機関が、不正引き出しがないか確認してくれと、口座契約者に依頼しているが、不正かどうかに関係なく、自宅宛てもしくは登録メールアドレス宛てに、取引があったことを通知すべきだ。

認証の厳しい金融機関とあまあまのサービス業者の連携では、常に認証の厳しい金融機関が取引口座を守る対策を取るべきだ。

早速GETしました。au PAY(auペイ)が20%還元の「誰でも毎週10億円もらえるキャンペーン」

早速GETしました。au PAY(auペイ)が20%還元の「誰でも毎週10億円もらえるキャンペーン」のauポイントのことです。

とにかく、早く動かないといけないのではないかと10時開店を狙いました。

絶対欲しいものをとりあえず確保。

あとは、成り行きを見て行動しようと思っています。

報告まで。

 

誰でも毎週10億円もらえるキャンペーン
https://www.au.com/pr/paycpn2020/?aa_oid=we-we-ow-0255

タイのLINEペイ(rabbit LINE Pay)を試してきました。(その2)

#5月2日にrabbit LINE Payより通知があり、「rabbit LINE Payを使用する前に本人確認してください」とありました。やり方の概要をチェックするとタイの市民ID(Citizen-ID)の入った身分証の写真を送付するような感じでしたが、実際にやってみるとパスポートでよいようです。タイの住所の記載は定宿のにしておきました。まだ「確認中」のようですが、この時点でrabbit LINE Payで自分のモバイルにはチャージ完了できました。
#5月6日にrabbit LINE Payより通知があり、「お待たせしました。本人確認が完了しました」とありました。でもモバイルチャージができない。「クレジットカードを登録しろ」と出ます。現金チャージしておいた残高のみではNGになったようです。試しにVプリカ(VISAカード)を登録しましたがすんなりOK。今度はモバイルチャージ画面に飛びました。今やると有効期限延長に効果がないので、後日チャージが決済されるか確認する予定です。
楽天バーチャルプリペイドカード(MASTERブランド)を登録してモバイルチャージできることを確認しました。(2019年5月)

日本のLINEも頑張っています。
このところLINEのサービスから目が離せません。今度は『LINE Pay300億円祭り』だそうな

タイのLINEペイ(rabbit LINE Pay)を試してきました。以下その顛末です。

  • タイのLINEペイ(rabbit LINE Pay)とは?
  • rabbit LINE Payの開始方法

上の2つはここ

  • LINEペイとrabbit LINE Payの違い
  • BTS(バンコクの高架鉄道)との連携
  • タイのモバイル通信キャリアのtop-up

LINEペイとrabbit LINE Payの違い

かなり違います。ネットの情報によると、タイでもLINEペイが使えたという記事がありますが、rabbit LINE Payが日本で使えたという記事はありませんでした。LINEペイもrabbit LINE Payもそれぞれの国のサービスにローカライズしているようです。普段使いのための電子マネーなので、それでいいと思います。

タイでもLINEペイが使えるといっても、マクドナルドやKFCなど店頭での支払いが可能になる位だと思います。恐らく普通にクレジットカードを使って支払うのと同じでしょう。時価レート+手数料で円にした額が、暫くしてから銀行口座から引き落とされるのだと。

rabbit LINE Payの場合、タイにおけるサービスにオンラインでいろいろとできるところが違います。例えば、BTS(rabbitカード)へのチャージやタイのモバイル通信キャリアへのチャージなどですね。

BTS(バンコクの高架鉄道)との連携

先日の訪泰時には、BTS(rabbitカード)へのrabbit LINE Pay経由のチャージはしませんでした。これをやるにはBTS(rabbitカード)とrabbit LINE Payとの連携が必要で、BTSの駅にて手続きが必要です。rabbitカード発行時に200Bかかりますし。

連携時の画面です。
clip-20190414064154.jpg
rabbitカードの裏面(?)
clip-20190414065809.jpg
rabbitカードの表面(?)
clip-20190414070020.jpg

タイのモバイル通信キャリアのtop-up

タイのモバイル通信キャリアへのチャージ(top-up)については、非常にお世話になりました。いつもコンビニで長い待ち行列を気にしながらtop-upをお願いしていたのですが、オンラインでできてしまいます。まだ試していませんが、帰国後日本に居ながらにしてタイのプリペイド番号や友人の番号にtop-upできそうです。プリペイド番号には有効期限がありますが、top-upすると自動延長されますので、有効期限の操作にも使えます。

①LINEウォレットにある「Mobile Top-up」もしくはrabbit LINE Pay画面にある「携帯電話チャージ」をタッチ
clip-20190414054419.jpg
②電話番号を入力、チャージ(top-up)する金額をタッチして、「チャージ」をタッチ
clip-20190414070726.jpg
③チャージ先の電話番号を確認。問題ないなら「確認」をタッチ
clip-20190414070912.jpg
④支払いに使うアカウントを確認。問題ないなら「xxを支払う」をタッチ
clip-20190414071109.jpg
⑤Payパスワードを入力するとこの画面に。問題ないなら「決済」をタッチ
clip-20190414071305.jpg
⑥LINE上に支払い完了の通知と残額がでる。
clip-20190414071537.jpg

携帯電話チャージ(Mobile top-up)した後は、(Dtacの場合)Add-onパッケージを購入したり、いろいろやれます。こちらもどうそ。2018年5月の情報ですが、ほぼ変わっていません。
タイリピーターのプリペイドSIMはDtac一択で決まり!?

以上です。

関連する記事

タイのLINEペイ(rabbit LINE Pay)の本人確認手順
タイのLINEペイ(rabbit LINE Pay)を試してきました。
タイのLINEペイ(rabbit LINE Pay)を試してきました。(その2)
タイリピーターのプリペイドSIMはDtac一択で決まり!?
このところLINEのサービスから目が離せません。今度は『LINE Pay300億円祭り』だそうな

タイのLINEペイ(rabbit LINE Pay)を試してきました。

#5月2日にrabbit LINE Payより通知があり、「rabbit LINE Payを使用する前に本人確認してください」とありました。やり方の概要をチェックするとタイの市民ID(Citizen-ID)の入った身分証の写真を送付するような感じでしたが、実際にやってみるとパスポートでよいようです。タイの住所の記載は定宿のにしておきました。まだ「確認中」のようですが、この時点でrabbit LINE Payで自分のモバイルにはチャージ完了できました。
#5月6日にrabbit LINE Payより通知があり、「お待たせしました。本人確認が完了しました」とありました。でもモバイルチャージができない。「クレジットカードを登録しろ」と出ます。現金チャージしておいた残高のみではNGになったようです。試しにVプリカ(VISAブランド)を登録しましたがすんなりOK。今度はモバイルチャージ画面に飛びました。今やると有効期限延長に効果がないので、後日チャージが決済されるか確認する予定です。
楽天バーチャルプリペイドカード(MASTERブランド)を登録してモバイルチャージできることを確認しました。(2019年5月)

タイのLINEペイ(rabbit LINE Pay)を試してきました。以下その顛末です。
clip-20190414131232.jpg
上の写真はソンクラーンを週末に控えて並んだ夥しい数の水鉄砲(ปืนฉีดน้ำจำนวนมาก)

  • タイのLINEペイ(rabbit LINE Pay)とは?
  • rabbit LINE Payの開始方法
  • LINEペイとrabbit LINE Payの違い
  • BTS(バンコクの高架鉄道)との連携
  • タイのモバイル通信キャリアのtop-up

タイのLINEペイ(rabbit LINE Pay)とは

ひとことでいうと、タイでのサービスに使える電子マネーです。普通に日本でも使っているLINEアプリをタイの電話番号でユーザ登録すると、rabbit LINE Payの設定ができ、

  • (電子マネーの)チャージ
  • タイモバイルキャリアへのチャージ(top-up)
  • BTSカード(rabbitカード)へのチャージ(top-up)
  • マクドナルド、KFC、等々での支払い
  • 各種支払い

等のサービスが使えるようになります。

これがQRコード読み取り機。複数機種あるようですが、操作方法は同じでしたね。ちなみにこれでBTS(rabbitカードの非接触カード)の操作もできるようです。後日試しました。

clip-20190414080934.jpg

タイのファミマでも4月か5月位には使えるようになるようですよ、と店員さんから聞きました。

clip-20190414051909.jpg

タイにも電子マネー化の波が押し寄せているようです。初訪泰から10年以上になりますが、タイ国内で電子マネーを使ったのは今回が初めての経験でした。

clip-20190414075359.jpg

rabbit LINE Payの話からは外れますが、バンコクに持っている銀行口座のATMカード(磁気カード)が2019年12月31日を過ぎると使えなくなるということで、ICチップの付いたATMカードに切り替えてきましたが、これにはUnion Pay(銀聯)のクレジット・デビットがついていました。

clip-20190414080722.jpg

rabbit LINE Payの開始方法

普通に日本でも使っているLINEアプリを使って、タイのプリペイド番号で新規にユーザ登録すれば、rabbit LINE Payの設定ができるようになります。

clip-20190414081120.jpg
ちょっとぼんやりしているので拡大すると、
clip-20190414054419.jpg
タッチすると、
clip-20190414060100.jpg
となり、安全のためのPayパスワード設定やチャージ等ができるようになります。

チャージ方法には、銀行口座と連携する方法もありますが、ツーリストの場合口座を持っていてもタイの市民ID(Citizen-ID)を持たないので、恐らくNGでしょう。私もそこで諦めました。

clip-20190414064433.jpg

一台のスマホで複数のLINEアプリを起動できる機種※1の場合は問題ないですが、そうでない場合、新規にアカウント登録すると、そのスマホに入っていた(日本の)アカウントのデータが消えてしまいますので、注意が必要です。その場合は別の(SIMフリーな)スマホを使うのが簡単です。

※1:Galaxyの「デュアルメッセンジャー 」やOPPOの「マルチ起動アプリ」等

続きは以下のページで。
タイのLINEペイ(rabbit LINE Pay)を試してきました。(その2)

以上です。

関連する記事

タイのLINEペイ(rabbit LINE Pay)の本人確認手順
タイのLINEペイ(rabbit LINE Pay)を試してきました。
タイのLINEペイ(rabbit LINE Pay)を試してきました。(その2)
タイリピーターのプリペイドSIMはDtac一択で決まり!?