ドコモ口座の問題は、半分は銀行側の認証システムの問題だと理解した。
ドコモ口座へ紐付けた銀行口座から資金移動する際に、その操作は本当に銀行口座の持ち主によるものかどうかの認証が甘い銀行があった、ということだと思う。

ここまでを整理すると、まず、ドコモ口座には他人名義の口座を簡単に、無制限に作れるという問題がありました。それに加え、ドコモ口座と連携する金融機関はセキュリティレベルにバラツキがあり、数字の組み合わせだけで突破できるような、最もセキュリティの弱いいくつかの銀行が狙われたものと考えられます。大きくこの2つの問題が影響し、今回の不正利用事件は起こりました。
銀行側のシステム次第で各行にそんなに違いが出ているとは驚き。銀行側の認証システムの脆弱性が浮き彫りになったと思うが、「ドコモ口座問題」という言葉で霞がかかっている。ドコモ側も自分の発言でパートナー銀行側も吊し上げにあうことにヒヤヒヤしているように映る。一般顧客よりもパートナー銀行側を守っている感が滲むのは腹立たしい(銀行側の脆弱性を表沙汰にしたという皮肉な功績にもかかわらず)
他の□□Payでは、提携銀行側の認証システムが甘ければ、□□Pay社の方でそれを補う仕組みをわざわざ入れているケースもあったそうだ。この辺、開発時点での開発プロジェクト当事者の質量で差が出てくる。

しっかし、黄色部これ、クレジットカード会社は大丈夫なのか?クレカこそ単なる数列だ。
カード現物がない場面で使われる状況で、本当にクレカの持ち主かどうか、その持ち主の許可(認証)が甘いクレジットカード会社はないのか、と心配になった。一部銀行のように4桁の暗証番号やクレカ裏面3桁番号でしか本人認証しないところはあるのか?
まさか不正利用されたら補償対応する方が、システム対応するよりコスパがいいとは考えてはいないだろうが。

こういうときのためのクレカのなりすまし利用予防機能、業界共通用語「3Dセキュア」なるものを自分のクレカには設定済みであるか確認した。要は2段階認証だ。
自己防衛の一環のつもり。

クレカA社
そのクレカのネット照会サービスを利用していれば、「3Dセキュア」は既に自動付帯であった。
ネット照会サービスと同じパスワードで機能するとのこと。

クレカB社
そのクレカのネット照会サービスを利用していても、「3Dセキュア」は自発的に別途登録が必要だった。
自分で別途設定するその機能専用のパスワード方式

クレカC社
そのクレカのネット照会サービスにアクセスしたら、「3Dセキュア」の登録をすすめるアラートポップアップがでた。でも自発的に登録が必要だった。
メールでのワンタイムコード通知方式
(そのネット照会サービスログインのための2段階認証コードではない。なぜかそれは無い)

コメント 2020-09-12 134413
さすがクレカ業界は防犯に一日の長あり。総じて各社「3Dセキュア」は用意されてはいた。機能の呼び名はまちまち。
でも、そのクレカのネット照会サービスを利用していても、「3Dセキュア」は別途登録する必要がある会社があるのは盲点だった。

この仕組み、わかりにくいのは、いくらクレカ会社側で対応していてもショッピングサイト側などでもそれを活用する対応もされていないと発動されないという点だ。ユーザーとしては設定した甲斐がすぐには目に見えない。
だから、3Dセキュアに非対応なショッピングサイトなどでクレカ番号をなりすまし利用されたら防げない点でこの機能は「お守り」レベル。 対応したサイトにした場合、当然追加コストも発生するのだろう。
でも、スマホ決済のような高いセキュリティが求められるサイトではさすがに「3Dセキュア」対応するだろうに。
この期待、甘い?

銀行業界も「3Dセキュア」のような業界共通用語を決めて各行対応を説明して欲しいものだ。