暗証番号の使い回しやめろは（パスワードと違い）非現実的な話。暗証番号はローカル認証に限り使うべきもので、使い回してよい形であるべきもの。Webで使う銀行が悪い。

今月4日のニュースで、ソフトバンク代理店社長が転売した契約者の電話番号と暗証番号がドコモ口座事件で使われたと警視庁発表があり、ほらリバースブルートフォースじゃなかったじゃんとの声がちらほら出ていたが、事件は2つあって、これは後から話題になった古い方の事件で…https://t.co/hZl7ima7J5

— Hiromitsu Takagi (@HiromitsuTakagi) March 18, 2021

…古い方の事件で日本人が主犯の事件だったが、当初話題になっていた新しい方の事件は、中国人留学生等が買い子として逮捕され、指示役との連絡手段中国系アプリが使われている別事件で、こちらの方の手口が当初からリバースブルートフォースが疑われる事案であった。今日の…https://t.co/uaSUfkZ8Al

— Hiromitsu Takagi (@HiromitsuTakagi) March 18, 2021

…今日の警察庁発表はこれらを区別しており、区別して報道されている。https://t.co/TfCs9b3AmI
「また、警視庁などが摘発したドコモ口座などを舞台にした別の不正引き出し事件の被害は、」https://t.co/4SGay9rPGj
「これとは別に、2019年にドコモ口座やペイペイなど…日本人グループを逮捕…」

— Hiromitsu Takagi (@HiromitsuTakagi) March 18, 2021

他人の600件のメールアカウントをドコモ口座開設に使ったという今回の話は、事件の手口の本質ではなかろう。どんなアドレスを使ってもいいところ、手慣れた犯人が手持ちの乗っ取りアカウントを使ったというだけで。

で、ゆうちょ銀行の今日の発表は本件とは別なんだろうか？https://t.co/ijZphDZhAq

— Hiromitsu Takagi (@HiromitsuTakagi) March 18, 2021

警察庁はこう言っているが、暗証番号の使い回しやめろは（パスワードと違い）非現実的な話。暗証番号はローカル認証に限り使うべきもので、使い回してよい形であるべきもの。Webで使う銀行が悪い。https://t.co/TfCs9b3AmI
「警察庁は「リスクが高い暗証番号の使い回しはしないでほしい」と呼び掛け」

— Hiromitsu Takagi (@HiromitsuTakagi) March 18, 2021

暗証番号は本質的にはSender Constrained Token (利用場所派ATM、キャッシュカードも必要と、いわゆるHoKになっている）であることがセキュリティの前提なのに、それを外して Bearer Tokenとして使ったらそりゃアカンという話なんですよね。

— Nat Sakimura/崎村夏彦 (@_nat) March 18, 2021