2018年7月下旬~2018年8月上旬頃、ドコモの携帯電話やスマートフォンが注文できる公式オンラインショップにおいて、第三者が使い回されたパスワードを悪用することでdアカウント(ドコモの会員登録システムに必要なID)の乗っ取りが発生、大量のiPhone Xが不正に購入されてしまう事件が発生しました。
本件について詳しい被害状況の公式発表はなされていませんが、予想される被害は1億円をゆうに超える金銭的損害と、ログインされてしまった人の個人情報の流出被害が発生したと見られます。
今回悪用されたドコモオンラインショップの商品購入におけるセキュリティの弱点について、ドコモはすでに対策を施し、同様の不正購入が発生しないようにシステムの変更が実行されました。今後、同様の手口で不正購入がされてしまう心配は無いのか、詳しくシステムの改修点について解説します。
対策その1. 狙われたコンビニ受け取りを廃止
今回の事件で不正購入が出来てしまった最大のセキュリティ的弱点の一つは、国内携帯3キャリアの中でドコモだけが導入していた「コンビニ受け取り」のシステムがありました。
コンビニ受け取りを指定することで新しいスマートフォンの受け取りを24時間可能にし、不在配送を無くす・遠方や仕事場の近くで受け取ることが出来るといった利便性から忙しい社会人に人気のサービスになるはずでした。
しかし、このコンビニ受け取り時にはオンラインショップで注文時に発行される配送伝票番号と、登録された連絡先番号(電話番号の下四桁)を伝えるだけで商品を入手することが出来たため、購入プロセスで一切本人確認がされることなく、犯人にiPhone Xを渡してしまう事態になりました。
この事態を受け、ドコモは事件発覚後即座にコンビニ受け取りを停止(システム上で選択が出来ないように仕様変更)、2018年8月22日に正式にコンビニ受け取りの全廃止を決めました。
☆「ドコモオンラインショップにおける商品受取方法の変更について」
本人確認をコンビニでも行うようなシステムにすれば継続もあるか?と予想されましたが、不正利用を防ぐことを優先し、廃止することにしたようです。今後は自宅への配送、またはドコモショップでの店頭受取のどちらかを選ぶことになります。
ドコモショップ受け取りを利用すると、店頭で利用サポートを受けることも可能ですが、混雑時には受け取るだけに待ち時間が発生することもあるため、利用時には予約を入れて利用しましょう。
関連記事:ドコモショップでの契約時間を最短にする方法 初期設定サポートも受けられるオンラインショップ注文
対策その2. ニ段階認証の必須化
ドコモではdアカウントを利用したサービスへのログイン時に、通常のID(メールアドレスまたは登録した文字列)とパスワードに加えて、SMSによる認証コードの入力を要求する「二段階認証システム」が存在します。
二段階認証のコードは登録された電話番号を所有している本人でなければ知ること出来ないため、不正ログイン・不正購入を防ぐセキュリティとして働くはずでした。二段階認証は以前よりドコモの各種サービスで利用することは可能でしたが、オンラインショップにおいては利用は任意になっており、パスワードリスト型攻撃において二段階認証を設定していないユーザーが狙われてしまいました。
そこでドコモは2018年8月14日に二段階認証の導入を勧めるアナウンスの公開、翌日15日よりドコモオンラインショップでの機種購入手続き時に二段階認証を必須化しました。
ドコモオンラインショップのセキュリティ強化のため、ご購入手続きに進む際、および、お申込み履歴を確認する際にdアカウントの2段階認証を適用いたします。 2段階認証とは、ID/パスワード入力の他に、セキュリティコードの入力や、スマートフォン上でのログイン可否の選択を追加することでお客様以外が不正に情報にアクセスすることを防止する仕組みです。
パスワード・IDの流出・使い回しをしていなければ二段階認証を必要としなくてもdアカウントが乗っ取られることはなく、これまではユーザーにとって二段階認証を行う手間とセキュリティ強度向上のバランスから任意としてきましたが、ドコモではセキュリティを優先し二段階認証の必須化導入に踏み切ったということです。
初回登録時にはコード認証というひと手間が増えることにはなりましたが、一度認証を行った端末・ブラウザを「信頼端末」として登録することで、2度めからは認証コード無しでログインすることが出来ますので、ユーザーにとってもそこまでの手間にはなりません。
まだ2段階認証を行っていない人は、今すぐに導入しましょう。
関連記事:ドコモ 2段階認証の導入手続方法解説
対策その3. 注文時のメッセージ配信手段の変更
今回のiPhone不正購入において、ドコモオンラインショップでは注文時に購入手続の状況を伝える連絡先を任意のメールアドレスに変更する事ができるというシステムを悪用し、機種の注文情報がすぐに本来の利用者に伝わらないようにする手口が使われました。
オンラインショップでの機種変更が行われたことにユーザーが気付かなかったことで事件の発覚が遅れ、犯人が商品の受け取りまでを完了させてしまったというセキュリティ・システムの弱点があったと言えます。
これに対し、ドコモはオンラインショップの注文時にメッセージR/SMSへ必ず連絡が行くように、連絡先メールアドレスの選択システムを改修しました。
現在は「メッセージR/SMS」への連絡を外すことなく、追加で他のメールアドレスにも連絡を送りたい場合のみ、dアカウントの登録メール・その他のメアドにも送信出来るという方式になっています。
これにより、万が一第三者が知らないうちに機種購入注文を行ったとして、即座にユーザーがメッセージR/SMSで状況に気付く可能性が高まったと言えるでしょう。
なお、S迷惑メールとしてドコモからの公式連絡が届かないこともあるため、オンラインショップで利用するメールアドレスには以下のアドレス受信許可設定も必要に応じて行っておきましょう。
迷惑メール対策の受信/拒否設定を利用されている場合は、メールが届かないことがあります。 受信設定でドメインまたはアドレスを登録するなど設定をお願いします。 ご登録いただくドメインまたはアドレス:info@docomo-onlineshop.ne.jp
初めて使う人は二段階認証設定・正しい情報登録を
間もなくアップルが2018年モデルの新しいiPhoneを発表すると見られています。ドコモでは新型のiPhoneを最速で予約・購入を可能とするオンラインショップの利用者が多数います。
ドコモのオンラインショップでiPhoneなどの新発売商品を予約しておけば、通常発売日よりも早く事前購入手続きを行うことが出来て、発売日当日に新モデルを入手することが可能です。
今回の不正ログイン・不正購入の発生により上記とおり二段階認証の必須化や連絡先情報の改修が行われましたので、初めてドコモオンラインショップを使ってiPhone9, iPhone XS, iPhone X Plus(仮称)の購入を予定していた人は、事前にシステムの把握・正しい情報の入力を確認しておきましょう。
新型iPhoneの予約・購入手続きでは、初回在庫を確保するために1分・1秒を争うことになる可能性もあるため、二段階認証で手間取らないように注意してください。