ドコモオンラインショップでiPhone不正購入被害? 考えうる被害と対策/2段階認証設定方法

2018年8月時点において、ドコモの公式オンラインショップ（dアカウント）に不正アクセスが行われ、高額なiPhone Xを知らないうちに注文させられて、第三者に受け取られてしまったという被害情報が出ています。

[追記]：ニュースによればすでに1,000台ほどが不正購入されてしまっているということです。ドコモオンラインショップを過去に使ったことが無いユーザーが被害に遭うこともあるので、全dアカウント保有者は要注意です。ドコモはすでに対策を行っており、悪用されたiPhoneX購入+コンビニ受取が一時的に選択できない・機種購入手続きと申し込み履歴を表示する場合に二段階認証（設定方法は下記で解説しています）が必須に変更されています（→その後、犯人一味は逮捕されました）。

通常はセキュアな方法で携帯電話の販売を行っているドコモの公式サイトですが、いったん第三者にアカウントを乗っ取られてしまうと大きな損害・手間を生む可能性があるため、全ドコモユーザー（ドコモの回線契約者だけでなく、dアカウントだけを持っている人を含む）は、注意と対策を行うことを推奨します。

他人事だとは思わずに、ドコモオンラインショップを使ったことのあるユーザーは一度設定・購入履歴を見直してみるべきでしょう。

ドコモアカウントで買うのが面倒・信用できないというユーザーは、アマゾンでSIMフリーモデルのiPhoneを買うのが手っ取り早くてお得です。iPhoneを携帯ショップで買うしか無い時代は終わりました。

☆「アマゾン-Apple直販 SIMフリー iPhone一覧」

コンビニ受け取りを不正利用

現在不正利用が疑われている利用者の情報によれば、ドコモの公式ウェブショップのウリの一つである、購入した携帯のコンビニ受取が悪用された可能性が高いとのことです。

[]事件です[] ドコモオンラインショップで私のID,PWを使って見知らぬ所でスマホを購入をされていたことが発覚しました
※ドコモが悪いとかではないです。現在調査中の為コンビニ名等は伏せています
できるだけ沢山の方に読んでもらえればと思います#不正アクセス #拡散希望RTお願いします #事件 pic.twitter.com/zy6IhUJSvE

— ☆CCC_ASUKY_FLYERS☆ (@aaa_suky_ccc) 2018年8月11日

管理人もこれまでにドコモのオンラインショップで何度もスマートフォンを注文・購入してきていますが、こんなことがありえるのか、実際の機種変更画面と購入システムを見ながら検証してみました。

dアカウントの流出・不正ログインについて

まず、ドコモのオンラインショップを利用するためには「dアカウント」（旧名称 docomo ID）と呼ばれる専用のIDとパスワードが必要となります。このdアカウントのIDは登録されたメールアドレスがデフォルトです。

dアカウントとパスワードは、通常であれば他者に知られるということはありませんが、パソコンやスマートフォンのウイルス・不正ソフトウェアを介した情報流出により、他サイトのログイン情報とメールアドレスとパスワードを使いまわしている場合など、アカウントの乗っ取りが発生する可能性が考えられます（今回のケースがパスワード使い回しによるもの~~なのか、その他の流出経路・不正アクセス方法によるものなのかは不明です~~→報道によればリスト型攻撃だったとのことなので、ドコモからの流出ではなく別のどこかで漏洩・不正入手されたメールアドレス・パスワードを利用された可能性が最も高そうです）。

ドコモのサーバーから情報が盗まれたというようなルートだけでなく、メールアドレス+パスワードの情報はたくさんのサイトで利用する機会が多いはずですので、この部分に関しては原因と不正ルートが1つだけとは限らない怖さがあります。これはドコモのサービスに限らず、あらゆるウェブサイトのログインシステムで発生し得るリスクと言えるでしょう。

極端な例では、登録した何かウェブサービスの内部関係者がメールアドレスとパスワードの情報リストを闇ルートで販売してしまうことだってありえますので、メールアドレス・ID・パスワードの使い回しは絶対に避けましょう、というありきたりな対策が最も被害を減らすのに効果的だと言えそうです。

また、ドコモでは普段と違う環境・IPアドレスからアクセスがされると不正アクセスを検知するシステムもあるようで、今回被害を受けた方にも、不正アクセスの通知メッセージが届いていたとのこと。ただし、この時点ではすでに「不正ログイン」がされてしまっている状態なので、被害の予防にはなりません（被害を最小限に抑えるためには重要なことです）。

dアカウントの不正ログインで失われるもの

dアカウントはドコモが提供するさまざまなサービス・提携サービスで便利に使えるシステムですが、逆に不正ログインを許してしまうと、関連するすべてのサービスで被害が発生する可能性があり、大きな損害を受けてしまう可能性があるとも言えます。

今話題になっているのはドコモスマートフォンで最も高価な端末 iPhone X 256GBの不正購入だということですが、1台の本体価格は143,856円にもなります。

dアカウントでiPhoneやスマートフォンを新規で購入する際には、オンラインショップでも本人確認書類（保険証や運転免許証）のデータアップロードをしなければ手続きを行うことが出来ません。しかし、今回被害に遭われた方のように、機種変更の場合は本人確認書類の提出は不要となっており、この利便性を悪用されたということのようです。

ドコモオンラインショップを使った機種変更では、dアカウントでのログイン＝個人情報の確認となってしまい、なりすまし注文が可能なシステムになっています（クレジットカードでの支払いにはカード会社のセキュア認証が必要になるので、決済完了までは行かせない不正対策もあります）。

本人以外によるコンビニ受取

今回被害が出てしまった一つのセキュリティ不足の点として、機種変更の場合は契約者本人以外によるコンビニ受取が出来てしまうことが考えられます（新規契約時にはコンビニ受取は利用不可）。

ドコモのオンラインショップでは全国のローソン・ファミリーマート・ミニストップで購入した機種を24時間受け取ることが出来るサービスがあり、対象店舗であればどこのお店でも指定することが出来ます。

受け取り時には、以下の2つの番号が必要となります。
（1）配送伝票番号（3489で始まる荷物の追跡番号）（2）ご注文時に登録された連絡先番号の下4桁

また、受取時には本人確認書類での照合はなく、必要なのは上記の2つの番号となります。dアカウントを乗っ取って注文した犯人には伝票番号も連絡先の4桁の番号もバレてしまっていますので、受取時の不正購入防止機構は皆無だったと言えるでしょう。つまり、dアカウントに不正ログインされてしまい、注文・購入までの時間に気付かなかった時点でアウト、ということになります。

ドコモオンラインショップの機種変更ではSIMカードの種別が交換前後で同じ場合は同梱されませんが、SIMカードの種類が変わるときには、新しくカードが発行されます。新しい端末とSIMカード、そしてdアカウントがあれば、犯人は機種変更によって携帯電話の番号をも盗んでしまうことが出来ると考えられますので、そのまま放置してしまうと自分の電話が使えなくなる、特殊詐欺などに電話番号が使われてしまう被害も想定されます。

たんなる予想ですが、もし今回のような不正購入が増加・頻発することがあれば、コンビニ受取の確認方法を厳重化する対策が実施されることもあるかもしれません（システム的、導入コスト的に可能かどうかはいちユーザーには判らないので、どの時点に防止策を追加する事ができるのかが課題になりそうです）。今回の件を検証してみると、dアカウント・オンラインショップの購入までは後述する2段階認証の設定という対策、購入時のクレジットカード認証がすでに存在しますが、コンビニ受取のステップでも防止策があれば・・・と素人考えでは感じられました。

→2018年8月14日時点、iPhoneをオンラインショップで機種変更する場合に、コンビニ受取が指定できないように設定が変更されています。

→2018年8月23日、公式にドコモオンラインショップにおけるコンビニ受取の廃止が告知されました。今後は宅配はショップ受け取りの2択のみとなります。

さらにdアカウントにログインされてしまうと、アカウントに貯まっているポイントの利用、各種サービスの支払いも出来てしまう可能性があります。

ここで、dアカウントに登録されている支払い方法によっては、クレジットカードを決済方法に選択する際にカード会社の認証サービス・認証コードの入力が求められるケースもあるので、金銭的被害は防げる部分もあるはずです。dアカウントだけで、すべての決済・利用が出来るわけではありません。

dアカウントの乗っ取りで考えられる被害は、ドコモオンラインショップの購入による金銭的なものだけではなく、「情報」も危険に晒されることになるでしょう。

例えば、ドコモの契約手続きの確認・変更を行うことが出来る「My docomo」も、dアカウントのID・パスワードでログインすることが出来ます。ここには契約者の氏名・住所・生年月日、そして当然ながら携帯電話の番号や連絡先などの個人情報が不正アクセスによって見られてしまうことになります。

よく暗証番号やパスワードに誕生日を使っていると危険、なんて聞きますが、dアカウントが乗っ取られることでさらなる情報を不正利用者に知られてしまうことになり、生年月日を使った安易なパスワードを設定していると、さらに別のサービスを乗っ取られる可能性が出てきます。

また、ドコモ電話帳のクラウドサービスを使っている場合、dアカウントから情報を見ることが出来るはずなので、知り合いの名前や電話番号をも知られてしまっている可能性があります。知人・友人に詐欺の電話が掛けられてしまう可能性もあるので、dアカウントの乗っ取りが発覚した時点で、電話帳サービスに登録してある知人にも連絡をするべきなのかもしれません。

dアカウントで利用できるサービスは携帯購入だけではありません。動画サービスの「dTV」、ホテル・チケット予約の「dトラベル」、出前サービスの「dデリバリー」、各種通販サービスの「dマーケット」などなど、多くのサービスがdアカウントでログイン出来てしまうことで、不正に使われてしまう危険があります。

このように、dアカウントだけでなくヤフーや楽天、アマゾンといったあらゆる大手ウェブサービスの利便さが被害の大きさに比例してしまうことになるので、ウェブアカウントの管理は細心の注意を払って利用しなければならないことを再認識しておく必要があります。

dアカウント不正利用の対策

まず現在発生しているドコモオンラインショップでの不正注文の対策では、dアカウントが乗っ取られてしまう以前の対策は当然するべきだとして、現状を確認するためにはオンラインショップの上部にある、「お申込み履歴」を調べることによって、最近の利用状況確認が出来ます。

ドコモ公式HP:「https://onlineshop.smt.docomo.ne.jp/index.html」

履歴を確認して、見に覚えのない機種購入があればdアカウントの不正ログインが疑われますので、ただちにドコモおよび警察へ連絡が必要となります。

dアカウントの不正利用を防ぐ手立てとして、ドコモでは「2段階認証」の設定を推奨しています。

2段階認証を設定すると、初めて利用するパソコンやスマートフォン・ブラウザからアクセスする場合、設定した電話番号へSMSが送信され、セキュリティコードの通知が行われます。このdアカウント+パスワード+発行されたセキュリティコードを一致させないとログインが出来なくなるため、dアカウントとパスワードが知られてしまうだけならば、ログインはされずに済みます。

→ 8月14日、ドコモから公式で2段階認証の設定を促すコメントが出されました。dアカウントの乗っ取りによる被害が発生していることは確実となっていますので、すべてのドコモユーザーはすぐに二段階認証の確認・設定をしましょう。

→8月15日、ドコモオンラインショップの購入手続き開始時に、SMSによる二段階認証が必須となりました。購入履歴の確認にもコード入力を求めることで、dアカウントが乗っ取られただけでは購入は出来ず、セキュリティが向上しています。

dアカウントでのログイン後、上記のようにセキュリティコード入力が求められることで、不正購入が出来ないようになっています。

ドコモ2段階認証の設定手順

まず「https://id.smt.docomo.ne.jp/src/utility/twostepauth.html」のサイトへアクセスし、2段階認証の仕組みを一通り学びましょう。

その後「今すぐ2段階認証の設定をする」という部分をクリックします。

始めて設定を行う場合はには2段階認証設定の「設定する」をクリックします。

現在の状況を確認し、「2段階認証利用設定」のチェックを「利用する」に変更します。

「利用する」を選ぶとdアカウントに設定された電話番号へセキュリティコードの送信先が表示されます。

送信先の電話番号が正しいこと・SMSの受信が可能であることを確認してから「上記の内容に変更する」をクリックします。

すぐにドコモよりメッセージでセキュリティコード（有効期限は発行から10分）が届きますので、半角数字で入力し「完了する」をクリックします。

ページが「利用設定完了」に切り替わったら、設定完了です。次からセキュリティコードを使って二段階認証をしたことがない端末でのアクセスには、コード発行が行われるようになったはずです。

二段階認証の設定情報はdアカウントのメニューから見ることが出来るので、普段使っていないアカウントの場合にもときどき不正アクセスがないか確認すべきでしょう。

dアカウントの不正ログイン通知を見逃さない

dアカウントでは普段と違う環境からログインされた場合に、不正ログインを通知するメッセージが送られることがあるようです（管理人は受け取ったことがないので、どのような状況で送信されるのかは不明）。

このメッセージはdアカウントに登録された番号に送られてきますので、常に普段使っている電話番号をdアカウントに登録更新を行っておくことで、早めに不正ログインのアカウントを停止・被害を最小限に食い止めることが出来る可能性が出てきます。

クレジットカードの支払い設定

ドコモオンラインショップで機種変更を行う際、端末代金の支払い方法を各種設定することが可能です。

どういう状況だとクレジットカード決済まで不正アクセスによって行われてしまうかは不明ですが、通常であれば上記のようにdアカウントに保存されたクレジットカード情報をオンラインショップで自動的に引用することが可能になっています。

ここでクレジットカードの本人認証サービス/3Dセキュアがあれば、dアカウント・パスワードだけの乗っ取りであれば、不正購入による代金請求は防げるはずです。クレジットカード決済のセキュリティ設定はカード会社毎に異なりますが、ドコモの「dカード」の場合ならカード暗証番号が要求されます。この暗証番号・セキュリティコードが突破されなければ、本人名義での不正購入は防ぐことが出来ます。