パスワードを忘れた? アカウント作成
13683627 story
セキュリティ

NTTドコモのオンラインショップに不正アクセス、約1000台のiPhone Xが不正に購入される 47

ストーリー by hylom
ドコモさん大丈夫だろうか 部門より

第三者のIDを使ってNTTドコモのオンラインショップに不正アクセスし、他人名義でスマートフォン(iPhone X)の購入を行うという事件が発生している(共同通信読売新聞マイナビニュース朝日新聞)。

piyologにて状況がまとめられているが、「約1000件」という被害件数は不正購入されたiPhone Xの台数であり、不正ログイン自体は約1800件だという。不正購入されたiPhone Xはドコモショップやコンビニなどで受け取られたとのことで、多くがすでに犯人の手に渡っているようだ。

NTTドコモはこれに対し、被害者には請求を行わない方針だという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ナニコレ (スコア:2, 参考になる)

    by Anonymous Coward on 2018年08月17日 19時18分 (#3463519)

    - IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
    - 受け取りはコンビニでok
    - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない

    • 良くない点はもちろんあるし、そこ自体は擁護とかせんけど、理由はあるようだ
      一応、これは機種変更の場合らしいとのこと(ソース失念)

      > - IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。

      2要素認証はあったけどオプションだった(これ自体はAmazon他のショップでも同程度じゃないかという気がせんでもないが...)

      対策->2要素強制にするとからしい

      > - 受け取りはコンビニでok

      同上(電話としてどうなんだ、というのはわかるが、機種変更なのでSIMはないから?)

      対策->今は不可になってるとのこと

      > - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない

      買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるのでそこを突かれたらしい。

      たぶん、登録アドレスだけだったとしても、パスワードが漏れてたら変更できちゃうし、その意味では特別弱いわけじゃないとも言えるのかなあ...
      # 設定変更で2要素認証必須とかなら別なんだけど

      対策->発表にはなさそう?

      あとドコモオンラインショップ側の穴という認識っぽいですね。

      docomoの契約変更とかと共通の処理プロセスに相当しそうなので、金銭やら物品の授受が即座に発生することを考えるとたしかにまあそうかなあ...

      --
      M-FalconSky (暑いか寒い)
      親コメント
      • >一応、これは機種変更の場合らしいとのこと(ソース失念)

        ソースはこれ。

        商品の受取方法 | 購入・ご利用ガイド | ドコモオンラインショップ | NTTドコモ [mydocomo.com]

        --
        モデレータは基本役立たずなの気にしてないよ
        親コメント
      • by Anonymous Coward

        他のショップだと、IPアドレスが変わったら念の為本人確認させる仕組みとかあったりしたと思うけど
        まぁそれも溜まってるポイントだとスルーするとかで
        楽天のポイント盗まれたりの事件はあったね。
        その時でもドコモは十分学ぶ時間あったんだけどね

      • by Anonymous Coward

        > 対策->2要素強制にするとからしい

        スマホを買いに行くスマホがない

      • by Anonymous Coward

        >> - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
        >買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるので

        代替を指定した場合でも、両方に送るようにすればいいんじゃないか?

    • by Anonymous Coward

      ギフトサービスってこういう仕組みのが多いけど、どれぐらい不正購入あるんだろうか。

    • その仕様だと、帰省中や長期出張中などにスマホ無くしたときに新しいスマホが買えて便利だったんですよ

      > IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
      SMS認証必須だと、スマホ無くしているときに新しいスマホが買えない

      > 受け取りはコンビニでok
      契約住所での受け取り必須だと、帰省中や長期出張中など自宅に居ないときに新しいスマホが買えない

      > お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
      通知先がスマホのメールアドレスだと、スマホ無くして

      • by Anonymous Coward

        ふつうにSIMロックかかってないスマホかえばいいじゃん。バカなの?

        • by Anonymous Coward

          どっちが馬鹿なんだろう
          月々サポートを受けられないので、4~5万損しますよ

          • by Anonymous Coward

            でも使用料で4~5万以上高いですよ。

            • by Anonymous Coward

              > でも使用料で4~5万以上高いですよ。

              MVNOと比べて、ですか?
              docomoなどの3キャリア(とサブブランド)は通信の品質がMVNOとは格段に違います
              MVNOではよくて数百Kbpsしかでない昼休み時間帯も、docomoなら最低数十Mbps以上(場合によっては100Mbps以上)出ますからね

              • by Anonymous Coward

                そもそも光より高いくせに遅い回線のスピードにこだわる意味がわからない
                毎月5G近く捨てている身で言わせてもらうと何にそんなに使ってるの?

              • by Anonymous Coward

                流石に有線と無線を無視するのは難癖過ぎる

              • by Anonymous Coward

                無線みたいな低速回線になぜそんなにお金払うの?ってことじゃないですか?

          • by Anonymous Coward

            4、5万が惜しいならスマホなくさなければいいんじゃない。

            • by Anonymous Coward
              コラッ!
              キャリア様が用意してくださった神割引プランを有難く使わせて頂いて4、5万得した気分になってる俺って最高にクレバーでかっけー、
              な養分にそんなこと言っちゃダメよ。
      • by Anonymous Coward

        そんなにスマホなくすの?

      • by Anonymous Coward

        「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。
        またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。

        • > 「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。
          「秘密の質問」の答えでパスワードリセットができるのが危険なのであって、「秘密の質問」の答えを追加認証で求めるのは危険ではありません
          その区別すらできないんですね

          > またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。
          何言ってるんだろ
          多くの人はメールアドレスとパスワードを使いまわししているから、それが漏えいしてリスト型攻撃の被害に遭うのですよ
          スラドとか占いとか懸賞サイトとかそういうサイトから漏えいするんです
          住所や電話番号まで登録しているサイトは通販サイトなどごく一部で、大抵が楽天・ヨドバシ・Amazon・Yahooショッピングあたりの大手なのでそこまで漏えいリスクは高くありません

          少なくともそういった情報で追加認証すればリスト型攻撃のリスクは数十分の1になります

          • by Anonymous Coward

            「秘密の質問」の答えをサイトごとに変えないと、結局リスト型攻撃でやられるので、今回の攻撃を防ぐ役には立たないのでは?

            • by Anonymous Coward

              「秘密の質問」自体が色々パターンがあるので、「秘密の答え」は全てのサイトで共通にはなりません。たまたま漏洩したサイトと同じ秘密の質問でなければ問題ありません。
              秘密の質問の問題点としては、実名でSNSをやっている場合に答えが推定されてしまうことが挙げられますが、被害者の数を大幅に減らすことはできます。

              • by Anonymous Coward

                「秘密の質問」自体が色々パターンがあるので、「秘密の答え」は全てのサイトで共通にはなりません。

                パスワードマネージャーでどうにかなるパスワードと違って、サイトごといちいち覚えるの面倒だからすべて同じ答えにしてるわ

        • by Anonymous Coward

          危険という意味なら、SMSの確認コード送付方式も危険というのがもはや「常識」になりました

          https://twitter.com/HiromitsuTakagi/status/1029735515312910337 [twitter.com]
          > SMSの確認コード送付方式だと、結局利用者が手でWeb画面に確認コードを入れるから、偽サイトでも入れてしまう人が出てしまう。
          > 先般の偽佐川急便サイトで、Apple IDにキャリア決済の設定をさせた事案で、その手口が既に使われたことから、今後広がってくると予想。

          結局、ユーザ側のリテラシーが低かったらどんな手法をとっても完全ではありません

          • by Anonymous Coward

            いやいやいやいや。もう少し理解して書いてくださいよ。
            引用されてるものについては、SMSに限らずTOTPなども同じ扱いで論じてるはず。

            SMSの確認コードがよくないというのはそうなんだけど、その理由は
            SIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。

            Man in the Middleならどんな方式も意味をなしません。

            • by Anonymous Coward

              > いやいやいやいや。もう少し理解して書いてくださいよ。
              なんでリンク先読まないで書くの?

              > SMSの確認コードがよくないというのはそうなんだけど、その理由は
              > SIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。
              違います
              高木浩光氏は、
              『これ、米国では使われていないのは、米国のキャリアのSMSが「SMSインターセプト」の脆弱性があるからよね。』
              とした上で、他のツイートでは日本にはSMSインターセプトの脆弱性がないとしている。
              日本では問題ないから、日本では騒がなくていいという立場。

              また、https://twitter.com/Hir

      • by Anonymous Coward

        いや、それはどれも便利じゃなくて特殊事情だろ
        そんなレアケース、特殊ケースのためにサービス準備するほうがオカシイ
        不正との天秤ですぐ却下だろ

        • 例えば、家電は壊れたり無くしたりしたタイミングで買い替えるでしょ
          それと同じで「レアケース、特殊ケース」ではない

          スマホのスペックが上がってきていてハードゲーマー以外は現状に満足している人が多く
          2年毎に買い替える人がいる一方、面倒なので壊れたり無くしたときに買い替えるという人も一定数いる

          数日前にdocomoは不正購入対策でSMSでの二段階認証必須にしたけど、いずれ他のセキュリティ対策採って方法買えると思うよ
          スマホが無いと電話番号を維持したまま新スマホを買えないなんてのは愚策でしかない

          今のままだと、スマホが壊れたりしたらdocomoショップ行って何時間待ちで手続きするか、ケータイ補償使うか(加入している場合)しかない
          一方、MNPはお客様センター架電で契約情報を口頭で伝え4桁のネットワーク暗証番号で出来るので、このままじゃスマホ壊した人が他社にMNPで逃げてしまう

          • by Anonymous Coward

            あほ過ぎだろうって、こういう人がいるからキャリアも儲かるんだな。
            家電が壊れたケースもレア&特殊ケースだよ。
            うちの冷蔵庫、洗濯機、全部10年単位でもつぞ。

          • by Anonymous Coward

            家電を無くすってどうやって?盗難?

      • by Anonymous Coward

        無くしたときに補償サービスじゃなくて新しいの買うってどんだけお大尽ですか?
        MVNOに対する明らかな優位なんだから保証外すとか無いでしょ?

        • by Anonymous Coward

          無くしたタイミングによりますね
          買ってから数か月のタイミングなら補償サービス使います

          しかし、月々サポ―トが既に切れているタイミングなら、もしくはもうじき切れるタイミングなら
          新しいスマホを買った方が得なので買います

        • by Anonymous Coward

          10万円程度でお大尽呼ばわりされるのかー

        • by Anonymous Coward

          保証外すというか入ってませんけど…ダメなの?

  • by Anonymous Coward on 2018年08月18日 4時49分 (#3463762)

    これ 街中の偽装WIFI アクセスポイントの 「0000docomo」 からパスワードとアカウント盗まれてませんか?

    • by Anonymous Coward

      てことは未だにTSLかましてないのかよ

      • by Anonymous Coward

        海の新幹線?
        # やっぱり名前がよくない

  • by Anonymous Coward on 2018年08月17日 18時38分 (#3463491)

    もう海を渡ってるんだろうなあ

    • by Anonymous Coward

      憎まれ口たたかなきゃ死んじゃう病

  • Appleに協力を頼んでアクティベーションロック掛けたりとかできんのかね。

    • by Anonymous Coward

      アップルストアからの盗難では、良くやってるけど
      同社最大の取引キャリアだとしても、アップルは拒否するだろうね。

    • by Anonymous Coward

      キャリアならSIMロックあるんじゃない?
      まぁDocomoキャリア内で使うなら問題無いか。
      というか、実際には第三者に売ってその人が不利益を被るのかな。

  • IDとパスワードが分かれば、登録済みのクレジットカードの限度額まで買える通販サイトなんて山ほどあるが……
    Amazonは配送先住所変えるとカード番号の再入力が要求されるけど、そうでない通販サイトも多い
    俺の場合ゴールドカードで与信枠300万あるから、そういうショッピングサイトでパスワード悪用されたら最大300万の被害だな

    だからこそパスワードマネージャを使ってサイトごとにランダム生成パスワード使ってる

    ドコモのオンラインショップの場合、せいぜい10万のiPhoneでしょ
    そこまで大騒ぎすることなんだろうか

    • by Anonymous Coward

      短期間に同じ手口で1000件起きたからだろ。

    • by Anonymous Coward

      個人が不注意で300万の損害を受けた事例と今回の件で、ニュース性において比較足りうるものだと思うんです?

      被害規模が違うという点もありますが、対象つまりドコモのサービスに何らかの興味を持っている人の数が桁(ってレベルじゃない)違いです。

    • by Anonymous Coward

      大手は対応してると思うけど
      数年前にPC買い換えた時に面倒な入力が増えてたのが、こういう被害対策なんだよな
      未だにそんな言い訳してるサイトの方が少ないと思うが

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...