オークションの豆知識

流出口座番号からカード偽造、６地銀で４億円被害
http://www.yomiuri.co.jp/national/news/20081110-OYT1T00725.htm

　この事件を簡単に要約すると流出した口座番号を元に、キャッシュカードの偽物を作り
○○での残高照会機能を悪用し暗証番号を当ててATMからお金を引き出した奴らがいてまだ逮捕されてないということ。

つまり
口座番号を知られると1ストライク

銀行のセキュリティが甘くて、○○やXXXXXXXから暗証番号を入力して残高照会できるシステムなら暗証番号を試す回数に制限がかかってないと2ストライク

銀行の暗証番号が僅か4桁だと3ストライクバッターアウト。

この３つのストライクをハ/ッ/カーに全て満たされると出品者にとってはメガやばい。

何で誕生日をを暗証番号やパスワードに使ってはいけないのかというのはこれが理由。4桁の誕生日というのは366通りの数字しかない。誕生日を使わなくても預金引出しに数字4桁のみの暗証番号が使えてしまう銀行もあるけどそれって今のご時世にどうなの。

銀行が取れる対策としては3個あります。

1．今後は残高照会に使うパスワードと預金引出しに使う暗証番号を一致させない。

2．数字4桁のみで引き出せる暗証番号設定を可能にするのはやめる。

3．1日あたりの残高照会回数に上限をつける。

出品者が取れる対策としては2個あります。

1.落札者に口座番号を教えずにすむメールアドレス送金に切り替える（イーバンクとジャパンネットバンクならこれができる）

2．「オークション決済用の銀行」と「オークションで一定額貯まったら預ける銀行」は別々の銀行にする。（もちろん「オークションで一定額貯まったら預ける銀行」の口座番号は他人には教えないし他の用途にも使用しない。キャッシュカードも作成しない」

銀行がセキュリティを強化するよりも前に、引き出される可能性を考えて事件に気づいたら出品者自身が迅速に対応する必要があるのです。

今回の事件を見るとネットで会員登録や買い物をするときに電話番号や生年月日を入力するのも好ましいことではないのですが。そこまで徹底するとネットでの行動が大幅に制限されてしまう。