本記事のキャプチャ画像、引用元の情報は2018年8月24日時点のものです。
いきなりですが、みなさんは不正ログインされたことってありますか?されていたとしても気付いていない人もいるでしょうね。
ついにわたくしdアカウントで不正ログインされ、iPhone買われてしまいましたよ\(^o^)/
先日、詐欺に引っかからないための記事を書いたばかりなんですけどね。。。(笑)
今回はわたしの身に起きた「dアカウント不正ログイン」について事の経緯をまとめておきます。同じような目に会った人はいれば、参考にしてもらえればと思います。
自分はヤラれないだろうと思っても、ヤラれるときはヤラれるってことです。いいお勉強になりました。
目次
dアカウントの不正ログインに至るまでの背景
今から15年以上前の大学時代にdocomo携帯電話(当時はガラケー)をバイトで稼いで購入しました。
そのdocomo契約をずっと契約して今に至ってます。
ただ、主要キャリアの携帯料金が高く、2010年頃から現Y!mobile(当時はemobile)をメイン回線にしました。
それ以降、 docomoガラケーはセカンド携帯として、一番安い受信専用の料金プランに変更後、ほとんど使っていない状態とならりました。
パケット通信料が定額のプランはありますが、やはり高い!料金値下げに向けて菅官房長官には頑張ってほしいところです。
菅義偉官房長官が講演会で携帯電話料金について「4割程度下げる余地がある」と語ったことが波紋を呼んでいる。NTTドコモ、KDDI(au)など携帯大手3社の株価は軒並み下落、携帯ショップを営む流通企業の株価にまで影響が出ている。
菅官房長官が投げかけた携帯料金制度の疑問
引用元:日本経済新聞社
ちなみにemobileをメイン端末へ変更した際、それまでメイン端末として使っていたdocomoガラケーを解約しようかなとも思いました。
・・・が、
東日本大震災のときに主要キャリアはやはり強いということを実感していたのと、昔の友人全員に連絡するのがめんどくさいと思ったため、解約せずに持ち続けているということになります。
docomoガラケーをメイン端末で使っていたときはちょこちょこMydocomoへログインして使ってましたが、メイン端末としてdocomo携帯を使わなくなって以降、Mydocomoの存在を完全に忘れてました。。。
docomoオンラインショップでdアカウントによる不正ログイン!?
2018年8月23日に仕事から家に帰ってくると、docomoからの郵便物が届いていました。
過去にも季節の節目節目でダイレクトメールが届いていたため、
・・・と思いつつ、封筒を開けると、2枚の紙が入ってました。
と思ってて見てみると・・・
な、な、なんと!!
そして「iPhoneX 256GB」をお買い上げ
されてるじゃないですかー!!\(^o^)/
と、いうことでdアカウントを使ってdocomoオンラインショップへ不正ログインされ、iPhone Xの購入をされてしました。
しかしながら、docomo側で不正ログインによる購入ではないのか!?と気づいてくれたおかげで何とか助かりました。カード明細見て気付くなんて哀しすぎですからね。
ありがとうdocomo!!
と、いいつつもこれは本当に大丈夫なんだろうか?翌月にしれーっと金だけ請求されるのでは!?と頭によぎりました。
ドコモオンラインショップで不正アクセスされてiPhone X 256GB買われてワロタ\(^o^)/
docomo側が水際で塞き止めてくれていたっぽい。
10年くらい前に作って存在を忘れてたアカウント#docomo#ドコモオンラインショップ#不正アクセス#iPhone pic.twitter.com/dLmaQiPe05
— ぐーぐーぺこりんこ@社畜㌠ (@gugupeco999) 2018年8月23日
いやぁー、実際にこのような状況になってしまうとパニクりますね。。。
docomoも事態を把握していて注意喚起をしていましたが、わたしは気づきませんでした。
外部からの不正なログインにより、お客様のdアカウントが使用され、不正に取得したdアカウントを使い、ドコモオンラインショップにて商品を購入する事象が確認されております。ドコモでは、お客様のdアカウントを不正に利用できないよう「2段階認証」をご用意しており、この認証機能を利用することで第三者による不正ログインを防止することができます。
不正なアクセス対策としての「2段階認証」ご利用のお願い
引用元:NTTdocomo
docomo携帯のSMSへフィッシングメール!?
ただ、今して思うとMydocomoへ不正ログインされたという兆候はありました。
2018年8月1日にdocomoガラケーへフィッシングメール!?と思われるSMSが複数届いていて、
と思い、完全スルーして気に留めてもいませんでした。
そのときに届いたSMSは以下の通りです。
【ドコモからの重要なお知らせ】※必ずお読みください
お客様のdアカウントに対し、第三者からの不正なアクセスを検知しました。
お客
様のdアカウントが利用されることによって生じる被害の拡大を防止する為の緊急処置として、お客様のdアカウントのご利用を停止させていただ
きました。
パスワードを変更することでdアカウントのご利用を再開できます。以下のURLよりパスワード変更手続を行ってください。
問題を検出しました
※メーラーがURLを含んでいたため自動表示
なお、弊社サーバへのハッキングによりdアカウントのID・パスワードが流出した事実はありません。
第三者がお客様のIDやパスワード
を不正に入手し、ログインを試みる「パスワードリスト攻撃」による不正アクセスである可能性が高いと考えられます。
お手数をお掛け致します
が、不正ログイン防止の観点から、他社サービスとは異なるパスワードの設定、定期的なパスワードの変更等を重ねてお願い申し上げます。
問題を検出しました
※メーラーが電話番号を含んでいたため自動表示
年中無休)
なんじゃこの文節めちゃくちゃなショートメールの嵐は。。。と思ってました。
今して思えば、これらのSMSはdocomoサポートからの連絡だったのではないでしょうか!?とはいえ、普通に考えて複数SMSで案内とかあり得なくないですか?docomoさん。
SMSは適当な番号入力すれば相手には届きますし、文節めちゃくちゃなSMS来たら、怪しいと思うのはわたしだけではないはず。。。
※2018年8月25日追記
メールの内容は微妙に違いますが、同じようにdocomoを語ったフィッシングサイトへの誘導メールが出回っているようです。
「【重要】株式会社NTTドコモからの緊急のご連絡」という件名のメールで誘導するNTTドコモを装うフィッシングメールが、誘導先を変えての連投だったようです。新しい誘導先はドメイン名の前後を入れ替えた mydocomo-smt[.]com で、現在も絶賛営業中です。ご注意ください。 https://t.co/cSTBnzIP8l
— Naomi Suzuki (@NaomiSuzuki_) 2018年8月23日
dアカウントで不正ログインされた原因
dアカウントで不正ログインされた原因で思いつくこととして・・・
・パスワードが英数字(小文字のみ)8桁
アカウントID、パスワードのパターンが単純(英字子文字、記号無し)だったため、総当たり攻撃を食らった可能性が高い気がします。これはわたし自身にも非があるため、反省。
総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attack)とも呼ばれる。
総当たり攻撃
引用元:Wikipedia
最近だと、大量にアクセスして総当たり攻撃をするというよりは人間がアクセスしているように見せるため、少しずつログイン思考する攻撃手法が見られます。
そのため、利用者が多いシステム側でそのような予兆を検知するのは正直なところ難しいでしょう。
そもそも、毎月ログインしていたわけではなく、Mydocomoアカウントの存在を忘れてました。これもわたし自身に非があるため、反省。
・・・ということで、簡単なパスワードだったため、何回もログイン試行された結果、不正ログインをヤラれてしまったということでしょうね。
そもそもMydocomoアカウントの存在を忘れていたので、いつから二要素認証できるようになったのか知ることもなく、簡単なアカウントIDとパスワード認証の状態でした。これもわたしにも非があり、反省。
昔だとログインするには「IDとパスワード」だけが主流でしたが、最近ではそれだけだとセキュリティ的に弱いことが指摘されています。
そのため、「IDとパスワード」に加えて別の認証要素を組み合わせた方式が主流になっています。
IDとパスワードが漏れてしまったとしても、ワンタイムパスワードが分からないからログインされないといったものでセキュリティを高めることができます。
dアカウント不正ログインへの対応
とりあえず、実際に不正ログインされてしまったということで、自分でできる対策はやっておこうと思います。しておかないとまたヤラれるだけですからね。
①docomoサポートセンターへ電話
まず、届いた案内に2018年8月25日までにドコモオンラインショップセンターへ連絡してと書いてあるので、電話してキャンセルしてもらおうと思います。
これは対策というよりはiPhone Xを購入されてしまったことに対する対応ですね。
ちゃんとキャンセル対応しておかないとカード利用として引き落とされる可能性ありなので、その可能性を潰しておくってことです。
②dアカウントのパスワード変更
不正ログインが一度されてしまったため、「docomoオンラインショップにログインできたアカウントとパスワード」という情報としてアンダーグラウンドで流れて行くことでしょう。そのため一刻も早く、その価値を無くしておくことが必要になってきます。
また、同じように不正ログインされてiPhone Xを再度購入されても困りますからね。
ちなみに10年くらい使っていなかったMydocomoのdアカウントとパスワードを思い出しながら、何回かログイン試行すると、ログインできました。
・・・が、正確にはログインできましたが、不正ログインされたことにより、アカウントロックされてました(笑)
dアカウントがアカウントロックされているのなら、Mydocomo使っていないし、そのままでいいのでは?と思ってみたりしました。まぁ、そうは言うもののパスワードリセットすることに。
③二要素認証の設定
既に二要素認証の機能があるみたいです。
dアカウントのIDとパスワード情報が漏れていても、ワンタイムパスワードを発行する二要素認証と組み合わせれば、圧倒的にセキュリティリスクが下がるため、使わない手はないです。
わたしを含め、未設定の人は設定して使いましょう!
aアカウントに限らず、不正ログインは気付かない間にされます
わたしがdアカウントで不正ログインされてiPhone Xを購入されてしまった経緯を赤裸々に書きましたが、いかがだったでしょうか?本当に情けない限りデス。。。
付け入る隙を与えてしまっていたためにヤラれてしまいました。大事には至っていませんが、気付かない間に被害を被るのはカンベンですね。。。
みなさんもお気を付けください。docomoの複数SMS通知はガチでフィッシングと間違えますから。冗談抜きで。
後日、進捗があれば、別途まとめておこうと思います。
※2018年11月16日追記
犯人の一部だと思いますが、逮捕されたとのこと。いやー、よかったよかった。ろくなことをやらない輩がいるもんです。厳格に裁いてほしいですね。
不正購入のiPhoneX受け取った疑い 男4人を逮捕
携帯電話大手のNTTドコモが運営する「ドコモオンラインショップ」で他人のIDとパスワード(PW)を使って不正購入された米アップルのスマートフォン「iPhoneX(アイフォーンテン)」を受け取ったとして、警視庁と千葉県警は、東京都荒川区荒川5丁目の会社役員、全英杰容疑者(32)ら、いずれも中国籍の21~32歳の男4人を窃盗の疑いで11日、逮捕した。捜査関係者への取材でわかった。
引用元:朝日新聞 DIGITAL
