ゆうちょ銀行、通常の800倍の異常なアクセス検知できず……誰だよこのシステムつくったの
■ このスレッドは過去ログ倉庫に格納されています
----------
ゆうちょ銀行「mijica」大量の“不正”アクセス検知仕組みなし
ゆうちょ銀行が発行するデビットカード・プリペイドカード「mijica」
で、1400人以上の個人情報を盗み取られたおそれがある問題で、ゆうち
ょ銀行では不正が疑われる大量のアクセスを検知する仕組みがなかった
ことが分かりました。
ゆうちょ銀行が発行するデビットカード・プリペイドカード「mijica」
の専用サイトでは、ことし7月下旬から先月中旬にかけて大量の不正な
アクセスがあり、会員1422人が不正にログインされ、氏名や生年月日、
カード番号の下4ケタなどの個人情報を盗み取られたおそれがあること
が分かっています。
ゆうちょ銀行によりますと、この際、アクセスの回数は通常の100倍か
ら800倍に上ってましたが、こうした不正が疑われる大量のアクセスを
検知する仕組みがなかったということです。
ゆうちょ銀行では、対象となる会員のカードを一時的に利用停止にした
うえで、会員に連絡をとって貯金の不正な引き出しなどがなかったか調
査を急いでいるとしています。
現時点では被害は確認されていないということですが、ゆうちょ銀行の
キャッシュレス決済でのセキュリティーの甘さが改めて問われることに
なります。
----------
https://www3.nhk.or.jp/news/html/20201005/k10012649141000.html > カード番号の下4ケタなどの個人情報を盗み取られた
前12桁ってカード会社とその種類で固定じゃねえの?
じゃあ実質全部漏れたのと一緒だと思うが
こういうのに疎い嫁がゆうちょ解約したいって言っててワロタ
NTTデータ富士通NEC東芝系列が絡むと本当にゴミソフト・ゴミシステムになる
これからITナメ過ぎたツケを何十年も掛けて払うんだろうな
で、また調査と偽った詐欺が増えて被害が増えるんだろう?
鯖屋の共有サーバーのセキュリティ対策機能があればセーフだったかもね
>>7 内部の中国工作員が既に影響力持ってしまってるんだろうね
月次レポートは出してても内容は精査してないんだろな
いや仕組みがないのは設計の問題じゃないだろう
明らかに金を出し渋った方の問題
>>23 これも先月明らかになった不正アクセスの解析中に見つかったらしい。
SIerとかいうエセエンジニアが牛耳ってるからこうなる
>>24 コンピュータの仕組みじゃなくて運営組織の仕組みのことだからねえ
>>16 ゆうちょ銀行は170兆円も貯金があるんで100億円くらい盗まれても余裕
やっぱリバースなんとかだったの?
そんなこと有り得ないって散々言われたけど
ていうかゆうちょはもうIT化全部辞めたらいい
老人専用口座にすればいいのよ
800倍アクセスされても壊れないてある意味凄いじゃんw
しかし日本人はIT苦手すぎるだろ
高学歴な人材ばかりなはずなのに知識レベル低すぎる
採用している人材が偏ってるんじゃないか
IT音痴が決定権持ってる組織はシステムのセキュリティなど保てない
文盲に書記やらせるようなもの
>>31 ネット系メディアの記事によると、プログラムによると思われる異常に早
い画面遷移とログインエラーの多発がログに残っていたらしい。何らかの
総当たり系攻撃がされた可能性はあるね。
郵便局で特定記録郵便出そうとしたら、この紙に差出人の住所氏名を書いてくださいとか
未だにそんなことを要求する組織だからな
保険も貯金も郵便も一回ぶっ潰れればいいんだよ
誰も責任をとらなくていい精緻なシステムになってるはずだ
>>14 NTTデータのCOBOLで書かれた金融プログラム見たことあるけど、吐き気がするほど酷いコードだった
>>36 対人コミュニケーションばかり評価してきたツケだよな。
コミュニケーション重視したら、波風立てないやつが上に行くし、そうなれば余計なことは考えなくなる。
で、こういうことも無関心になる。
ま、上長が決めたから仕方ないとか、クライアントの指示だしってなっていく。
>>5 4桁じゃ1万人分にしかならんだろ。バカなの?
外国からのアクセスは問答無用で弾いてるのか?
中国からのアクセスを遮断するだけでもセキュリティは格段に良くなるだろ
>デビットカード・プリペイドカード「mijica」で、1400人以上の個人情報を盗み取られたおそれがある
デビッドは絶対安全とか言ってた奴でてこいよww
>>57 こういうウンコ野郎に特攻してぶっ潰せや!!
郵貯とかNTTとか、コンピューターに疎い高齢者ばかりがのんきにやってるイメージ
まぁこの国は外人に本当に痛い目に会うまでのんびりやっているんだろうな
フィッシングに引っ掛かった馬鹿が悪いって言ってた警察どーすんの?
OLTPの監視管理なんてオペレーターの基本中の基本の作業だろw
盗み取られたのはわかったけど、犯人はまだ捕まらないの?
いろんな銀行でやってんだけどね
なんでこんなに集めるんだろう
受け子や不法就労用の他にも使えんのかな
https://i.imgur.com/euCpUNo.jpg コストカットしても最低限のセキュリティは維持しとけ
>>72 こういつ奴って襲撃されてもポリには泣きつけないんだよなw
>>15 基本的にユーザーから打ち上げないとボケーッとしてます
余りにも不正の検知が多くていちいち手間を取られるから検知機能を切ったら不正がゼロになりました!解決!
普通はエラー率ぐらいmessageからとって、しきい値超えたらメール来るようにしてるけどね
>>7 外国人は仕様書に書かれてないことはどんな実装しても問題ないって認識してるからな。
機能仕様までつくって海外の会社に丸投げしてる大企業よりも、国内人材だけのベンチャーの方がよっぽどセキュリティに関するモラルが高いは。
800倍の異常アクセス食らっても落ちないなんて、ある意味ではとても優秀なシステムw
ゆうちょの認証アプリで認証できないんですけど
認証できないと振り込みできないんですけど
今月中に解約して楽天銀行に移すつもり
まあ、NTTDATAじゃ無い事は確かじゃね?
まさかNTTDATAならわざとかもなw
スマホアプリ認証は、OSバージョンアップでアプリが動かなくなるリスクがあるから全幅の信頼を置いてはいけない。
政治力でアホみたいに多い郵便局減らせなくて
設備投資に金回せないアホ組織だからな
局長会諸共死ねばいい
>>84 確かに偏差値と頭の良さは反比例するときあるなまあ平均点ぐらいが良くて
満点のやつは信用できないことは確か
>>14 バカ高い単金で下請けに丸投げするよ、それでもシステムの相場がわからない役所や地銀は請求通りに払う
>>51 いやコミュ力重視は正しいけどコミュ力のなんたるかを理解してないのが
選ぶからうまくいかないんだよ
コミュ力高いやつは人の気持ちになって考えるのは無駄と理解してる
だから自分の考えを発信することに重きを置くんだよコミュ力のないやつほど
エスパーになりたがる
ゆうちょ銀行なんてバカしか使ってないから別にいいだろう
バカが運営してバカが利用するバカ銀行
>>50 ITバブルの時とか適当な新人とか外注に丸投げしててマジで凄かったね
この前のドコモ銀行騒動で面白いなと思ったのは横浜銀行の
システム開発部門から独立した会社が作ったもので古巣の横浜銀行は
参加してないところだ
今回は何次請けまでいったんだ?
日本がIT疎い理由としては、多重の下請け、成果型の賃金体制とかじゃないからただのソルジャーばかりが育つ
IT強くなりたいなら多重の下請け禁止と年功序列の賃金形態打破する必要がある
>>98 某金融系の基幹で、友人が昔、まさにこの丸投げ食らってソース直すことになったらしいんだが、コメントに「ここで初期化してる、、のか?」って書かれていたという話を聞いたことがある。
IT化、デジタル化、便利や〜とうたいつつソフトの操作方法が難しく結局冊子で学びおぼえる必要がある日本のデジタル化。スマホアプリみたいに直感的に使えるようにならないとこをみると日本人は本当にデジタルに弱いと思う。
サービス事業者(この場合は銀行)がシステムを内製してないからだよ。苦情の電話は毎日鳴るけど、開発業者に「仕様通り」と言われたら何もできない。もちろん改修予算もない。
>>105 実務やってないソフトハウスに作らせても何が必要か分からないからねえ
未だにメアド変更するだけなのにネットからはNGで届け出すんだろw
ゆうちょダイレクトも使いにくいし
>>22 富士通は部長職以上の外国人が18人いて
中国・韓国人が6割超だそうだ
>>100 >>105 発注元のアタマのいい高給取りは手配やら管理やらするばっかりで、手を動かして設計、開発するのは下請けの下請けが安価でかき集めた人員(往々にしてアタマが良くない)だったりする。
本当は開発者こそ優秀でないといけないんだが。
>>58 どことはいわんが保守工数に入るのにAccessの使い方まで問い合わせという名前のクレームいれるところもあるのよ。
それも以前は5秒以内で開けたのにいまはもっとかかる、と
テレワークなんだからあたりまえだろってとこで上の人間も連名で改善しなければ業務に差し支える、本部長の見解求むとかね。
20年つかわれていない冬眠口座を、
自分の金にしているゆうちょ銀行は、
これぐらい全然痛くない
また株価下がるの?
俺の塩漬けいつになったら損切りできるんだよ…
そんなもんあるわけないだろ
あとから定量分析するんだろうが
なんだ下4桁だけか、なら大丈夫だな^^
ってなると思ってんのかクソゴミが!
子供でもデビットカード持てるからゆうちょって思ったけどやめておいてよかったわ
しばらくはPASMOで我慢してもらおう
>>14 基幹系は関係ねー、webサーバ基幹系で動かすかよw
>>7 お前みたいな奴が銀行屋のシステム担当だからゴミみたいな仕様しか立てられないんだよ
システム屋はお前の言う通りに作っただけ
>>117 異常動作(操作)やトラフィックの急増はアラートが出るようにしておく
ものだぞ。可視化して24時間監視なんてやってられないだろ。
良し悪しもわからんアホ素人が外注するからそうなる
内部にもエンジニアちゃんと抱え込んでろや
こいつらアホの集団でしよ
アマゾンがゆうパックデモッテ区張るようになってからアマゾンがとはおさらばさた
おばさんがれいのかんぽさぎにあってたら
この組織には一円足り戸と儲けさせてならんらな 是っ谷だ
Web Mijica鯖停止で利用できないサービス
・本人認証サービス(3Dセキュア)の設定・変更
Mijicaの認証だけ……だよな?
いやmijicaの不正利用がないか、不正検知システムでチェックしています。って書いてあるんだが
IT業界って、下請けが激務薄給だけど優秀で
元請が楽務高給で低レベルと思ってたけど今は違うんか
2000年から少しぐらいの相手業界はこうだったイメージ
元請がスケジュール概要説明したあと、後の質疑応答は全部下請けがしてたわ
>>131 リアルタイムで通知するようにはなっていないんじゃなかろうか。
----------
〇 調査の方法 昨日発表した期間(7月28日~30日、8月1日~4日、8月14日~20日、
9月9日~13日)において、mijicaWEBへのログインが成功している履歴のうち、
画面遷移が異常に早く、機械的操作が考えられる履歴を抽出したものです。
----------
https://www.jp-bank.japanpost.jp/aboutus/press/2020/pdf/pr201004.pdf ゆうちょ銀行では、対象となる会員のカードを一時的に利用停止にしたうえで
いやいや、ゆうちょだけの問題じゃねーから
生年月日とかも盗んでるってことは他のサービスにももっと波及するだろ
検知出来ず、じゃなくて検知する気がなかっただけじゃん。
>>139 ここまであからさまな不正アクセスに2か月気づかないというのは地味に
ポイント高いよな。
7月28日~30日、8月1日~4日、8月14日~20日って、足掛け3か月にわた
って14日間不正アクセスされてるし。
ゆうちょ話題になってるけど他のメガバンクでも年間何百億単位で不正に金取られてるってあまり知られてないよな
pc触って無いのにルータがチカチカしてるのやめて糞win10
>>115 値が戻るのを待つより損切りして別の株買った方が儲かるよ
ゆうちょはしばらくは値は戻らん
>>143 ユーザー経由ではなくてメガバンク単体での投資とかの話か?
>>107 暗証番号忘れただけでも文書で云々だからな
それならまだシステムに100回アタックかけた方がいいって思うわな
正しくそうして暗証番号復活させた人もいるんじゃね?笑
>>101 ア・イ・シ・テ・ルってコメントアウトして書いとけ
>>137 情報システム系の夜勤の奴に決まってる
>>125 アラート自体は24時間監視だろ
ゆうちょはご丁寧にATMまで24時間リアルタイムで動いてやがる
どんどん株価下がったらハゲタカ外資に食われるね
そうなるくらいなら、4つ目の純粋な民間メガバンクに再編しほうがマシ
職員の70%はリストラで
当然支店も統廃合w
>>1 ドモホルンリンクルを監視する役だって
ちゃんと監視してるのに!!
東証やドコモの件もあるけどみんなのコメントが素人過ぎて笑いが止まらない。
エンタープライズの世界でやってきて良かったわ。
監視はSOCだよ!
>>7 そのへん相手にしてるユーザー側も何言っても許されると思い込んでて、仕様追加変更しまくりだけどな
遅れてるって報告してるのに追加追加変更追加。そして前倒し検討しろ!ってね。。。
>>7 そこらへんの元締めってSMBCじゃねーの?
1422の1人だが銭はびた一文抜かれてない
といっても残高1万円程しか入れてないし
あんま気にしてないけどな
不正アクセスは郵貯サーバまでなんだろう
個人サイトまでは侵入されてない
visaすき家半額キャンペーン中なのに停止されて
替わりの新しいカード早よ送れって電話しといたわ
職場のシステムで数字の4桁IDを0001と1では別のIDと認識する設計というかバグがあって、めまいがしたことがある。
日本の銀行ってどこまでアホなの?
たぶんゆうちょだけじゃないだろ
横浜の五人逮捕みたいにパソコンに侵入されて、ネットバンキング情報とか抜かれてんじゃね?
金を預けるほど持ってるなら、ネットバンキング専用のパソコンと普段使うパソコンは使い分けろよ
>>159 同じく1422人のうちの1人
不正引き出しはされていない
ゆうちょから電話来ました?
>>149 ゆうちよに情報システム系の夜勤なんておるのか…
mijicawebに不正ログインできるということは、ゆうちょ銀行のWeb口座振替受付システムに不正ログインできるということ。ということはドコモ口座アプリのようなセキュリティ欠陥のあるアプリをつかって不正出金することもできるということ。
>>120 一昔前はサーバを仮想端末にして基幹系で電文処理してたよ
入出力編集はサーバアプリでやる
>>154 情報系ならまだしも、勘定系ネットワークは恐くて外にだせないだろうよ
未だにドコモコウザの犯人捕まえられないとかこの国の警察無能すぎね?
さっきの会見で言っていたが、本人確認のためにカードを郵送する前にロ
グイン可能だったって何だよ^^
>>170 それに関しての無能はドコモだろ
d払いとドコモ口座のシステム止めりゃ被害拡大も止まるし
犯人も電子マネー使えなくなる
いかに日本にまともなIT企業が存在しないかがわかるなwww
組み立て屋ですらない。
ただの寄生虫
いち早く金がネット上の数字でしかなくなった中国で起きた犯罪は日本でも当然起こるよ
現金が最強
ゆうちょ銀行以外の銀行も不正アクセスされまくってるんじゃないの?特にカネのない地方銀行。
かんぽは詐欺するし
投資信託は嘘つくし
不正出金はさせてしまうし
郵便は配達しない誤配するし
客と云えば中国人やベトナム人フィリピン人ばかりでしょう
>ゆうちょ銀行では不正が疑われる大量のアクセスを検知する仕組みがなかった
ワロタ
もう内部犯だろこれ
24時間365日監視とか無理やろ
少なく見積もっても1ヶ月数百万は掛かるわ
ガチで監視しようと思ったら1桁上がるわ
な事するなら被害出たら保証するほうが安上がり
システム開発の下請に優秀な人おらんの?
下請の問題だろこれ
責任取らされる上の人かわいそう
下請けは言われた物を作っただけだからなぁ
下手すると機能別に別々に発注されて全貌分からないままだしな
予算とスケジュールは元請が責任持ってやって
要件定義からの実装までは下請技術者の問題だろ
まだ上層部は親方日の丸という感覚なんだろ まじ老害
■ このスレッドは過去ログ倉庫に格納されています
