白ロム転売法

shiromcom.exblog.jp

白ロムを高く売ったり、安く買ったりして節約します

ドコモオンラインショップ 1億円超不正購入事件 iPhoneXの白ロム転売品に注意

皆さんすでにニュース等でご存知だとは思いますが、2018年8月上旬頃において、ドコモの公式オンラインショップをターゲットにしたパスワードリスト型攻撃によりdアカウントの乗っ取りが発生、およそ1,000台ものiPhone Xが掠め取られたとの情報が出ています。

公式には被害総額は発表されていないようですが、注文されていたのはほぼiPhone X 256GBだったそうです。ドコモの端末でもっとも価値が高いスマホがXの256GBなので、わざわざ他の機種を混ぜて盗むということはないでしょうから、その予想被害総額は1.4億円を超えているはず。

世の中に流通しているであろうiPhone Xの台数を考えると1,000台程度は微々たる台数なのかもですが、過去にあった携帯ショップでのiPhone強奪事件とは桁の違うレベルの被害が出てしまっています。


過去の日記にもありました。2013年の日付です。

当時は5s/5c合わせて313台、被害総額2700万円ほどだったそうですが、台数・端末の価値ともに今回のドコモオンラインショップのほうが格段に大きくなってしまいました。

今回の事件ではドコモから情報が流出したというものではなく、パスワード使い回しによってどこかで流出したパスワードの組み合わせをdアカウントでも試されて、アカウントが乗っ取られてことが発端のようです。パスワード情報がどこからも流出していない・使い回しをしていなければ大丈夫なはずですが、ドコモでは公式に対策として二段階認証の設定徹底を呼びかけはじめました。
外部からの不正なログインにより、お客様のdアカウントが使用され、不正に取得したdアカウントを使い、ドコモオンラインショップにて商品を購入する事象が確認されております。ドコモでは、お客様のdアカウントを不正に利用できないよう「2段階認証」をご用意しており、この認証機能を利用することで第三者による不正ログインを防止することができます。
ドコモのオンラインショップでは過去に利用歴が無くても、「dアカウントを持っている」+「ドコモ回線を持っている」というだけで注文ができてしまう状態だったので、すべてのドコモユーザーは一度オンラインショップにアクセスし、「お申込み履歴」をチェックしておくべきでしょう。
d0262326_21404198.png

一般的なことは上記の記事で一通り紹介しましたが・・・今回の事件、よく考えると凄いですね。

まだ警察による捜査状況なども一切不明なので憶測でしかありませんけれど、dアカウントが乗っ取られる+機種変ではコンビニ受取で追加の本人認証が一切ない状態で買える・受け取れてしまう(確認メールも行かないように変更してしまえる)というセキュリティ不備・不足はとりあえずさておきまして、「どうやって1,000台もコンビニで受け取れたのか?」とか。

普通に考えて1000台を一人で受け取り、売りさばくのは大変そうなので、犯人は単独犯ではなくグループっぽく見えます(皆さんもそのくらい売買しているって?( ゚∀゚)アハハ~)。

今どき流出したパスワード・IDくらいはいろんな闇ルートで売買されていそうな気はしますので、ログイン・注文のあたりまでは単独でも出来そうな感じはありますが、受け取るコンビニをまさか同じ店舗で全部届けさせたわけではないでしょう。

dアカウントの不正アクセス・商品購入が発生していたのはここ2週間程度のことという話なので、短期間で一気に購入されてしまったということのようですし。手動で機種変更の注文をすると1台あたり10~15分程度はかかりますので、一人で1000台分だとぶっ続けで作業しても1週間くらい注文するだけで時間が掛かってしまうはずです(グループでやったのでなければ、自動で注文するプログラムを組んだとしか思えないですね)。

ドコモのオンラインショップをつかったコンビニ受取では全国25,000店舗ものコンビニを自由に指定できるものの、犯人あるいは犯人グループはそのほぼ全てを受け取り済みということですから、特定の地域に大量に未使用品のドコモ iPhone X 256GBばかりが移動したことになりそうです。

少なくともiPhoneを受け取った人物がいて、それを渡した店員さんは目撃しているはず。当然コンビニなら監視カメラもあったことでしょう。捕まるかどうかは状況が判らないので予想も付きませんけれど・・・でも、犯人グループは日本国内に居る・居たことだけは確実でしょう。

そして、盗まれた大量のiPhone Xが国内市場に出回ってしまっている可能性もあります。

ドコモオンラインショップで販売された時点ではキャリアのSIMロック解除はされていないはずですから、そのままではドコモ以外の回線では使えません(正規手段以外のロック解除方法もいろいろあるので、その限りではないのかもですが)。

盗まれた端末のIMEIはすべて分かっているはずですから(それこそdアカウントでログインしてMy docomoの「最終購入端末 」を見れば判る)、ドコモがロックを掛けて赤ロム化することは出来るでしょう。

でも、犯人側からすれば、赤ロム状態のままだろうがなんだろうか、売ってしまえばある程度のお金になってしまうわけですので、端末を海外で売りさばく手段を持っていない犯人・グループであれば、国内に流してしまった可能性は十分にあると推測できます。

これだけ大量にiPhoneを盗んだ犯人が盗品を普通の白ロムだと偽って売る程度のことを躊躇するとは思えません。

もちろん、普通の買取店では赤ロムどころかネットワーク制限が△の状態でも買い取りを拒否・買い取りの時点で本人確認を行うはずではあるのですが、そういう状態がスルーされて売買が完了してしまうケースも考えられます(個人間取引とか、小さな買取業者がゴニョゴニョして・・・とか)。

そういう端末を買ってしまうと、当然モバイル利用は出来ません。私が聞いたことのある事例では、赤ロムだと知らずに購入 → 赤ロム化 → ショップに持ち込む → 窃盗品だと判り警察沙汰、という面倒事に巻き込まれるケースもありえます(確かその話では、販売したショップが交換品を補償してくれたはず)。

不正購入された費用や契約の状態自体はドコモがdアカウントの乗っ取りを把握することで対処してくれるはずですが、すでに犯人の手に渡ってしまったiPhoneを回収するのは容易では無いはずです(犯人が盗んだ端末で発着信をするわけではないでしょうから)。海外へ渡ってしまった場合は尚更でしょう。

犯人がどのような組織で、どのくらい周到に今回の事件を起こしたのか分からないので盗まれたiPhoneの行方についても想像の域を出ませんけれども、どこに盗まれたiPhoneがあっても不思議ではないので、異常に安く新品のドコモiPhone Xを売るよ、とか、買取店を運営している方々は大量に未使用品を持ち込む怪しい人物には気を付けておきましょう。

iPhoneに限った話ではありませんが、白ロムを買うときはネットワーク制限が○である状態、あるいは赤ロム保証がしっかりしているショップ以外で購入するのはオススメしませんので、市場相場と比べて異常に安い販売商品を見かけても、安易に飛びつかないよう気を付けたいところです。


by ke-onblog | 2018-08-14 22:23 | スマホニュース | Comments(8)
Commented by evo at 2018-08-14 23:34 x
お疲れさまです。evoです。

これ1000件って、idは何件が流出したんでしょうね?

ドコモの被害を防ぐために二段階認証の設定を〜

システムの問題ですかね。ドコモは被害者ではないハ
ズですょね困ったもんだ(泣)
Commented by ke-onblog at 2018-08-15 00:00
> evoさん

詳しく公表されていないのでわからないですが、たぶん何万・何十万という組み合わせのパスワードがいろんなところから流出して、そのうちの1000件以上がdアカウントで使いまわされていた、って感じみたいですね。今回乗っ取られた人は、被害はともかく他のウェブサービスのパスワードもすべて見直しをしたほうが良さそうですね~(´Д`;)

同じ詐欺を防ぐのは簡単なことながら、二段階認証を必須としない・機種変時にコンビニ受取が出来るといった利便性と手順の複雑化・セキュリティの硬さは反比例してしまうという点で、根本的な対策をどうするべきだったのか、今後どうすべきなのかは難しいところですねぇ。
Commented at 2018-08-15 02:13 x
ブログの持ち主だけに見える非公開コメントです。
Commented by ke-onblog at 2018-08-15 02:57
> 全回線無事でしたさん

無事で良かったですね!私も家族分も含めてすべて無事でした^^

今回端末の代金を携帯料金と一緒に払う設定(分割)で購入されているらしいので、過去にロック解除の履歴がある回線以外では100日ルールでSIMロック解除はぼぼ出来なかったのではないかと想像しています。

いずれにせよ組織的で高度な知識とコネクションがある集団による犯行の場合はいろいろとどうにでもなってしまいそうなので、怖いですね~。しっかりといろんなアカウントを管理しなければと再認識させられる事件でした(´Д`;)
Commented by ナナシ at 2018-08-15 07:27 x
前々から疑問ではあったんですよね
ドコモ口座とかiTunesカードとか買う時は問答無用でSMSなりモバイル回線なりを要求してくるのにオンラインショップは全然そんなことなかったので
あとは確認のメールとかの多くをドコモRとかで送るのもどうなんでしょう
ドコモメールアプリ以外じゃ受けれませんしアレをメインで使ってる人はあんまり多くなさそうな・・・
まだSMSのが一般人は受けれると思います自分らみたいな人は端末足りなくなりますがw
Commented by ke-onblog at 2018-08-15 10:16
> ナナシさん

今回の事件では注文後しばらく乗っ取られた人が気付かないような設定に出来てしまったという点も被害台数が多くなった原因かもですね~。正規のメールですらたくさんのキャンペーンメールの中で埋もれて読み飛ばすことも多そうですし(´∀`;)
Commented by 全回線無事でした at 2018-08-15 17:04 x


全て分割購入なのでしょうかね。


分割だと信用情報も絡んでくるので厄介ですね。

dアカウントで以前利用したクレカ情報で一括払いなのだと思っていました。

Commented by ke-onblog at 2018-08-15 17:26
> 全回線無事でしたさん

確かにすぐに請求情報をキャンセルさせないと他の買い物に影響する可能性も出てきて困ったものですね~。購入サポートの違約金発生や月サポやdocomo with割引などの終了など、機種変に伴う請求がぐちゃぐちゃにならないかなど、被害を受けた人は心配事がいっぱいですね...

クレカで一括指定だと登録済みのものでもカード会社のセキュリティに転送されるか、カード裏のコードの入力が要求される仕様になっているはずなので、不正利用には使われなかったのではないかと推測しています。でもどういうケースがありえるのかは内部システムに詳しい人でもないと分からないですね~。
名前
URL
画像認証
削除用パスワード

※このブログはコメント承認制を適用しています。ブログの持ち主が承認するまでコメントは表示されません。