2018年7月下旬~8月頃に発生した、ドコモのオンラインショップの購入システムにおける穴を突いた、iPhone Xの不正購入事件に動きがあったとニュースに出ていますね~
事件発生
当時にも日記で書きましたけれど、やはり組織的犯行でした。
犯行の手口については完全に当時話題になっていた通り、ドコモのサーバーから流出したというものではなく、他のサイトで使い回しをされたパスワードのリスト型攻撃によってdアカウントにログインされ、オンラインショップの機種変更購入+コンビニ受取という、購入の過程で本人認証が無い・登録アカウントに購入履歴のメールも届けさせずに買えてしまう方法を使ったことが判りました。
合計でおよそ1,000台のiPhone X、被害総額1億4000万円だそうです。iPhone X 256GBモデルが143,856円ですので、そんなところでしょう。
オンラインでの機種変更手続きは、通常の方法で行えば1件あたり10~15分くらいの入力手続きが必要です。犯人にとって細かいプランや利用条件などは関係ないでしょうからぜんぶ読み飛ばすとして、それでも1000台分を1人で手動で手続きしたらどれだけ時間が掛かるのか・・・なんて思っていましたけれど、逮捕された人数は4人(他に関わった人がいるのかどうかはまだわかりませんが)。
1000台分の受取は都内のコンビニが使われたということで、防犯カメラ等で追跡すれば捕まりそうな印象はありましたが、海外逃亡前に捕まえたのは凄いですねぇ。
私も個人的にドコモに本件に関して問い合わせたことがあるのですが、この不正購入事件で使われたID・アカウントはすべてドコモ側で把握が出来ており、金銭的な被害がユーザーに及ぶ心配は無いはずだ、とのことでした。
ただ、この事件で盗まれたiPhone Xが国内にあるのか海外にあるのかは不明なようです。注文履歴・配送履歴も全部ドコモ側で把握しているのですからIMEI(製造番号)も把握しているはずなので、国内で普通に流通しているという可能性は低そうです。改造等をしていなければ、きっと赤ロムになっているでしょう。
事件発生後にドコモはオンラインショップのシステムを変更し、購入時の二段階認証設定の追加・コンビニ受取の廃止を行い、今後同じやり方で不正購入は出来ないよう対策は取られました。
ドコモオンラインショップに限らず、簡単に商品が買える通販は便利ではありますが、その分いったんシステムにログインされてしまうといろんなことをなりすましでされてしまう可能性がある点には、本当に注意が必要ですね。
そういえば同じ時期にmineoや他のサイトでも乗っ取り被害が相次ぎましたが、同じグループの犯行だったのでしょうか?あちらも何千件もの不正ログインを許してしまっていたので、金銭的な被害はともかく電話番号や住所などの個人情報が把握されてしまった可能性はあったはずです。そこからの二次的な被害が出ないとも言い切れませんので、「ある程度の個人情報・パスワードやメアドの流出はしてしまっている」ということを前提に、怪しげな情報やメール・連絡が来たときには初めから疑って掛かるくらいが丁度良いのでしょう。
今回は被害総額で1億円を超え、被害者(本質的には「NTTドコモ」という法人1件なのかもですが)は1800件もの不正ログインが確認されたということなので大事件になりましたが、他の小さなサービスで数件の不正ログインがあるくらいなら、気づかれずに終わるケースもありそうです。
みなさんもパスワードとログイン情報の管理には十分気をつけてください。結局どこから漏れたパスワード・ID情報だったのかは不明ですし、自己防衛策を出来る限りやっていきたいものです。