dポイントを不正利用されました
上記の画像をご覧ください。2016年9月6日の朝,「【dポイントカード】ご利用のお知らせ」というメールが飛んできて,なんだろうと思い,dアカウントにアクセスしてみると,「ローソン蕨駅東口店」で,123円と162円の2回,dポイントが利用された履歴が残っていました。
私は関西在住ですし,その日は関東には行っていません。不正利用です。
dアカウントのパスワードは独自ランダムに変えていた&2段階認証もしていました
まず真っ先に疑わないといけないのが,dアカウントへの不正アクセスです。ただ,2018年8月にiPhone Xの不正購入被害が報告されていたときに,パスワードはほかで使い回しをしていない独自の複雑で桁数が多いものに変更していました。
また,同時に2段階認証も設定していました。しかし,今回の不正利用の前に2段階認証メールは来ませんでした。ということは,リスト型攻撃(他サイトで流出したIDとPWの組み合わせによる攻撃)による不正アクセスではないのかな?と思い,dアカウントのログイン履歴を調べてみました。
9月1日から9月6日までのログイン履歴は上記の通りです。IPアドレスは隠させていただきましたが,すべて自宅のIPアドレスで同一でした。海外からのアクセスもありません。
ということは,ログイン履歴の不正操作がなければという前提ではありますが,IDとパスワードによる不正アクセスではないと推察されます。
ドコモ公式による不正利用の注意喚起文
昨今、お客さまのdポイントが悪意のある第三者によりdポイント加盟店にて不正に利用された事象が確認されております。
(中略)
なお、お客さまの身に覚えのないポイント利用が疑われる場合は、下記までご連絡ください。
<dポイントカード利用停止のお問合せ先>
dポイントカスタマーセンター
0120-208-360
受付時間:24時間 年中無休(中略)
また、ドコモでは、dポイントクラブサイトへのアクセスに利用するdアカウントを不正に利用できないよう「2段階認証」をご用意しており、この認証機能を利用することで第三者による不正ログインを防止することができます。是非、「2段階認証」をご利用いただきますよう、お願い申し上げます。
(中略)
なお、お客さまにおかれましても、パスワードの取り扱いに関して以下の点にご留意をいただきますよう、お願い申し上げます。
【適切なパスワードの設定と管理のお願い】
他社サービスとは違うパスワードを設定する。
半角英大文字、小文字、数字、記号を組み合わせ設定するなど、第三者が容易に推測できるパスワードを使用しない。
パスワードを適切に管理し、第三者に見られないようにする。
弊社は今後もお客さまへの一層のサービス向上に取り組んでまいりますので、何卒ご理解を賜りますよう、よろしくお願い申し上げます。
上記は2018年8月30日付けで告知されている「ドコモからのお知らせ」です。上記で求められている
の2つの対策は,少なくとも今回の私のケースの不正利用では無力だったということになります。これはどうしてでしょうか。そして,どのように対策すればよいのでしょうか。
dポイントカード番号の漏洩によるバーコードの複製
上記の画像はdポイントカードです。ローソンやマクドナルドにも置いてありますね。そして上記の画像の左下にある15ケタの数字,これがdポイントカード番号です。今回はこの番号が漏洩したことが不正利用の原因と考えています。
dポイントカードの裏面です。dポイントカード番号とセキュリティコード,バーコードがあります。
ローソンやマクドナルドなどのdポイント加盟店で使ったことのある人はご存じかと思いますが,実店舗で利用する場合,セキュリティコードの入力は必要なく,バーコードを提示するだけで利用可能です。
実はこのバーコードは,15ケタのdポイントカード番号の情報が入っているだけです。試しにお手元にdポイントカードがあれば,バーコードをスマホのQRコードリーダーで読み取ってみて下さい。あっさり番号が表示されます。
#dポイント 加盟店で確認できる内容。
ポイントカード番号
付与したポイント
残りポイント
住所
世代
性別— あんず姫 (@anzu_1222) 2018年9月8日
そして読み取りをするまでもなく,dポイント加盟店ではPOS(レジ)にポイントカード番号が表示されます。 レシートの番号は下4ケタ以外は隠されていますが,POSでは丸見えなのです。
#dポイント #不正利用 で、防犯カメラの画像から、使用したアプリ判明です。(スマホの画面を見た感じの予想)
私もやってみたら、難しいことは何も無く、ポイント使用できました。#docomo
App名: Stocardhttps://t.co/OlrJxdQLSF
— あんず姫 (@anzu_1222) 2018年9月8日
そして,dポイントカード番号さえわかれば,たとえば上記のTweetで紹介されているようなアプリを利用すると,バーコードへの復元は知識がなくても誰でも容易にできます。上記のTweetは防犯カメラからの推測ということで,現実味がありますね。
どのようにして犯人グループはdポイントカード番号を得たのか
dポイントカード番号の漏洩が原因である場合,dアカウントに不正アクセスの必要はありません。dカード番号をポイントカードをまとめるアプリに入力するだけで,スマホにバーコードを表示させることができるからです。
dポイントカードの漏洩ルートの可能性としては,
- dポイントカードの盗難・紛失
- dポイントカード番号が写った画像をブログやSNSでさらす
- 買い物時にdポイントカードを盗み見で暗記される
- ローソンやマクドナルドに置いてあるdポイントカードの番号をあらかじめメモされる
- アルバイト店員による不正入手
- dカードポイント番号のリスト販売
- dカードポイント番号の法則性からリスト作成
以上のようなものが考えられます。最初の二つは自己責任と言われそうですが,下に行くに従って組織犯罪化していきます。
とりわけ最後の「法則性」については,dカードプリペイドが始まったときに,法則性に基づいて約10万件の「実際に使われている可能性の高い,架空のカード番号」があるブログで公開されたこともありました。
dカード プリペイドのカード番号に法則性が見つかる、最大10万件が漏洩か
この可能性も否定できません。そうであれば,2段階認証やパスワードの変更という対策は効果がありません。
後日談:ローソンIDからの漏洩だったそうです
くわしくは下記の記事をどうぞ。
SMSによるフィッシングの可能性
知り合いにもドコモのフィッシングSMS届いていたみたいです。生体認証ログインがなかったり見た目も異なるのですが、簡単に見分けるにはSSL証明書付きかどうかを見る方法があります。URLの左横に鍵マークがある方が正規のログイン画面です。怪しいと思ったらSSL証明書付きか確認してください。 pic.twitter.com/2Zzdnwbrpa
— 小岩井 (@koiwaika) 2019年6月10日
私が実際に遭ったのとは違う手口ですが,SMSによるフィッシングの可能性もあるそうです。
見分けるためのポイントは「URLの左横に鍵マーク」です。
「安全ではありません」はフィッシング(詐欺)SMS
上記のようにURLの左に「安全ではありません」と出ていたら,どんなにドコモっぽいサイトでもきっとフィッシングです。ご注意ください。
「鍵マーク」が表示されていればドコモサイトの可能性大
上記のようにURLの左に「鍵マーク」があればひとまず安心のはずです。とはいえ,こういう情報を得た詐欺グループがさらなる偽装をおこなってくる可能性もゼロではありませんので,くれぐれもご注意を。
すぐに電話をしてdアカウントとdポイントカード番号を切り離す手続きを(利用停止)
もし,今回のdポイント不正利用がdポイントカード番号の漏洩によるものだとしたら,dアカウントとdポイントカード番号を切り離すのがもっとも効果的です。
たとえばdデリバリーやdトラベル,その他のネットショッピングでdポイントを利用する場合,実はdポイントカードは必要ありません。dアカウントから直接決済することになります。
実店舗でdポイントを利用する場合のみ,dアカウントからdポイントカードやdカードプリペイドの「dポイントカード番号」とひも付けて利用することになるわけです。
今回,攻撃を受けているのは,dアカウントの不正アクセスではなく,dポイントカード番号と思われますので,dアカウントとdポイントカード番号のひも付けを解除する(利用停止する)のが効果的です。
<dポイントカード利用停止のお問合せ先>
dポイントカスタマーセンター
0120-208-360
受付時間:24時間 年中無休
dポイントをお持ちの方で不安な方は,いますぐ上記に電話をしてdポイントカードの利用停止(dアカウントとdポイントカードのひも付け解除)を申し出ましょう。
また,不正利用されていない方は,mydocomoで下記の手続きでも可能です。
「ご契約内容確認・変更」→「dポイント利用者情報登録」→「利用者情報削除」
もし,またローソンやマクドナルドなど,実店舗でdポイントを使いたい!という場合は,新たなdポイントカードをdアカウントにひも付ければOKです。まあ,しばらくは様子を見ておいた方が無難かと思いますが…。
ちなみに,dアカウントの不正アクセスに対しては,ドコモが言うように2段階認証や使い回しのないパスワードが効果的です。
dポイントカードを利用停止してもdポイントを「貯める」ことはできる
ちなみに,dポイントカードを利用停止すると,dポイントを使うことが出来なくなりますが,dポイントを貯めることはできます。
これに関してさらに後日談があります。9月6日朝に,dポイントカードカスタマーセンターに電話をして,dポイントカードの利用停止をしてもらました。これで安心…と思っていたら,9月6日昼過ぎに,またも「【dポイントカード】ご利用のお知らせ」のメールが来たのです。
今度はローソン吉祥寺南店です。少し場所が離れて東京です。当然のことながら私ではありません。しかも,今回はなぜか「獲得」です。
これは,9月6日午前中にローソン蕨駅東口で試しに使ってみたところ買い物ができたことを知った犯人(グループ?)が,番号を共有してまた使おうとしたところ「利用できません」と言われ,怪しまれるのを避けるため渋々現金で支払ったのではないでしょうか。
そして,この履歴を最後に不正利用の通知は来ていません。あきらめたのでしょうか。
このことからわかることは,犯人グループの行動として,
- 詐取したdポイントカード番号は使えるか使えないかわからないので少額で試している
- 残高がいくらあるかなどはわからない
- 対策されて無効になったdポイントカード番号は捨てて,次々にほかのものを試す
- おそらく単独犯ではなく,グループでおこなっている
といったことが推測できます。
【2018年9月10日】なんとドコモがdポイントカードを強制停止
昨今、お客様のdポイントが悪意のある第三者によりdポイント加盟店にて不正に利用された事象が確認されております。
dポイントの不正な利用もしくはそれにつながる可能性のあるお客様のdポイントカードにつきましては、dポイントの利用(ポイントをつかう)を停止させていただいております。当該dポイントカードをお持ちのお客様におかれましては、新しいdポイントカードへの再登録を行っていただくなどのご対応が必要になりますので、停止されたdポイントカードをお持ちのお客様は、下記までご連絡ください。ご不便をおかけしますことをお詫び申し上げます。また、お客様の身に覚えのないポイント利用が疑われる場合につきましても、下記までご連絡下さい。
dポイントカードの新たな追加登録につきましては、dポイントクラブサイトまたはドコモショップで行うことができます。
これはまた強引な介入をしまましたね。NTTドコモが「dポイントの不正な利用もしくはそれにつながる可能性のあるお客様のdポイントカード」について強制停止の措置をしたとのことです。
ただ,「dポイントの不正な利用もしくはそれにつながる可能性のあるお客様のdポイントカード」の基準がわかりません。今回の不正利用騒ぎとは関係なく普通にdポイントカードを使っていた人も,この措置によって突然使えなくなっている可能性があります。
ともあれ,その場合は下記のdポイントカスタマーセンターまでお問い合わせ下さい。
<dポイントカード利用停止・再登録に関するお問合せ先>
dポイントカスタマーセンター
0120-208-360
受付時間:24時間 年中無休
まとめ
少額ではありましたが,dポイントの不正利用に遭った体験から,その原因を考察してみました。ちなみに,不正利用されたdポイントの変換などについては,まだ検討中で返事待ちです。
では,まとめます。
- 今回はおそらくdアカウントへの不正アクセスではない
- したがって,2段階認証やパスワード変更は効果がない(ただ,今後の不正アクセスのためにしておきましょう)
- dポイントカード番号の漏洩の可能性が高い
- SMSによるフィッシングの可能性もあり
- 至急電話をしてdポイントカードの利用停止(dアカウントとのひも付け解除)を
- 事態が落ち着くまで新たなdポイントカードの登録はしない
- 不正利用されたdポイントの返還については検討中
- dポイントカードの利用停止をしても,ネット上ではdポイントは利用可能
上記のようなことになるのではないでしょうか。ドコモが訴求する「2段階認証やパスワード変更」は,dアカウントへの不正アクセスには確かに効果的です。
しかし,今回に限っては効果が薄いため,逆に「私は2段階認証をしているから大丈夫」というのが落とし穴になりかねません。今回,最も有効なのは,dポイントカードの利用停止(dアカウントとのひも付け解除)です。下記からどうぞ。
<dポイントカード利用停止のお問合せ先>
dポイントカスタマーセンター
0120-208-360
受付時間:24時間 年中無休
また,不正利用されていない方は,mydocomoで下記の手続きでも可能です。
「ご契約内容確認・変更」→「dポイント利用者情報登録」→「利用者情報削除」
一方でローソンIDも攻撃を受けているようです。くわしくは下記の記事をどうぞ。
間接的な対策としては,所持しているdポイント(通常ポイントのみ対象)をdポイント投資にいったん入れてしまうという手もありますね。手元にdポイントがなければ不正利用されることもありませんので。
今回は少し残念なお知らせになりましたが,dポイントは効果的に使えば多大な節約になります。dポイントの貯め方・使い方については,下記の記事などでまとめていますので,ご一読ください。
ドコモをご利用の方は,dカードGOLDを使うのが節約にもっともおトクです。詳しくは下記の記事をどうぞ。
昨日、dアカウント(メアド)の乗っ取りに会いました。ドコモにすぐ連絡をとるもののドコモ回線ではなくドコモアカウントをつくりポイントを貯めたりd払い(クレカ紐付け)をしていましたが海外からのログインとアカウントの変更がされてこちらからはその後の利用履歴も残高も一切確認することができなくなりました。紐付けていたクレカはすぐに停止しドコモに連絡」したところ「なすすべがない」などといわれ被害の実態のヒアリングさえせず門前払いでした。回線契約がなくてもdカードからの勧誘をしているのに一流企業のする対応とは思えませんでした。
もにもにた様
色々回答ありがとうございました。
これはモバイルのdポイントカードもですか?
スマホのやつ削除しといた方がいいのでしょうか?
たろうさま
コメントありがとうございます。モバイルのdポイントカードは、プラスチックのdポイントカードと同じ番号でバーコードを生成しています。
したがって、dポイントカードの紐付けを解除すれば、モバイルのバーコードも表示はされるものの、実店補では使用不能になります。
興味深く拝見しました。
もしdカードの裏面のバーコードが不正使用されると簡単に切り離せるのでしょうか。
ちょっと面倒ですね。
なかさま
コメントありがとうございます。裏側のバーコードは単にdカードポイント番号のテキストを代替しているだけです。
したがって,不正利用されてもdアカウントとdポイントカード番号を切り離せば不正利用されることはありません。バーコード=dポイントカード番号なのです。
もにもにた様
返信ありがとうございます。
dカードの裏面のポイントカード番号が不正利用されたらその番号が無効になって
新たにポイントカードを持ち歩くことになるって意味で面倒とコメントいたしました。
そうゆう認識でよろしいでしょうか。
なかさま
はい。そういうことになります。