不正アクセスはリスト型攻撃

　問題の状況をあらためて整理する。8月18日現在の情報をまとめると、攻撃者はなんらかの方法でdアカウントに関連するID・パスワードリストを入手し、いわゆるリスト型攻撃をドコモオンラインショップに仕掛けた。不正購入が発覚しSNSへの書き込みやドコモへの問い合わせが発生した8月10日前後と考えると、攻撃は7月中に行われ、ほぼ終了したものと思われる。

　dアカウントは、ドコモ関連のサービスに使われるものなので、正規のリストが漏えいしたとしたら問題は根深い。ショップから漏れたのではないか、内部から漏れたのではないか、という可能性があるからだ。しかし、dアカウントはヤフー、グーグル、あるいはガラケー時代の「＠docomo.ne.jp」アドレスでも登録が可能だ。

　ヤフー、グーグルに限らずフェイスブックやツイッター、Hotmailなどメジャーなサービスのアカウントは、すでにダークウェブには数億から数十億件単位で出回っているとも言われている。それらの中には無効なID、パスワードが多いのも事実だが、バラマキ型の攻撃には十分機能する。リスト型攻撃が行われたからといって、dアカウントの生きている正規データが漏えいしたとは言い切れない。

攻撃は2段階認証で防げた可能性がある

　いずれにせよ、攻撃者はリストによる不正アクセスに成功したアカウントになりすまし、機種変更を装いiPhone Xを購入した。このとき、受け取り場所にアカウントに登録された住所ではなく、コンビニを指定した。

　コンビニ受け取りは、ドコモオンラインショップがユーザーの利便性のため実施しているサービスだ。不在がちな人は、最寄りのコンビニで端末を受け取れるので便利だろう。しかもコンビニの店頭では受け渡しの際の本人確認がなかった。攻撃者はこれを把握したうえで悪用したと思われる。

　通常、ECサイトやオンラインショップでモノを購入した場合、アカウントに登録したメールアドレスや電話番号（SMS）に、確認のため注文書メールを送る。あるいは、2段階認証に対応しているサイトなら、購入や決済などのタイミングで登録された端末などにメッセージや通知を送る。通知が承認されなければ注文が成立することはない。

　つまり、2段階認証が必要な操作では、アカウント情報だけ入手しても、その人の携帯電話・スマートフォン、トークン、アプリなど同時に入手していないと攻撃は成功しない。2段階認証は、不正アクセスによる注文・取引、および不正な書き込みなどを防ぐために、オンラインバンキングやSNSで導入するところは多い。

　しかし、2段階認証はすべてのユーザーが利用しているわけではない。今回の場合も、設定していなかったユーザーが被害にあっている。一部では、2段階認証を設定していたのに、購入されたという報道もある。2段階認証、2要素認証も完全ではない。2つめの鍵も盗まれていれば意味はないし、トークンやセキュリティコードの受け取りに利用されるSMSプロトコルには脆弱性が存在する。

ドコモはiPhone Xのコンビニ受け取りを停止

　不正に購入された端末は1000台に達するとドコモは推定している。10万円以上する端末なので、被害総額は1億円を優に超えるだろう。実際に店頭で端末を受け取る人間が必要なため、犯行は組織的だった可能性が高い。

　ドコモ側は、問い合わせや報告を受け、一部のユーザーには注文のキャンセルに応じている。8月14日には「お知らせ」でユーザーに対して不正アクセスによる商品購入が行われた旨の注意喚起を行い、2段階認証の設定を促した。続く16日には、ドコモオンラインショップにて、商品購入に遷移するとき2段階認証を導入する措置をとったことも「お知らせ」している。これにより、ドコモオンラインショップにおける買い物は2段階認証が必須となった形だ。

　また、16日の段階で携帯電話、スマートフォンのコンビニ受け取りを停止し、22日には付属品の取り扱いも停止した。コンビニ受け取りの再開については未定（原稿執筆時点）だ。


　ドコモへのユーザーからの問い合わせは5日から発生していたとの報道（読売新聞15日付け）もあり、最初の「お知らせ」まで約10日かかっている。注意喚起や公式発表までの時間が若干かかっている印象だが、問い合わせには個別に対応している点、不正アクセス被害者には端末購入代金を請求しないとしている点、ショッピングサイトの改修（2段階認証手順、およびアプリの導入）、コンビニでの受け渡し制限などは妥当な措置といえる。

【次ページ】ソフトバンクやKDDIは？