ドコモオンラインショップが不正にログインされ、身に覚えの無いiPhoneが購入される事件に関する続報が、ITmediaおよびマイナビニュースに掲載されている。
ドコモによると、他社サービスから漏洩したID/PWの組み合わせによるリスト型攻撃により約1,000件のiPhone Xが不正に購入されたとのこと。
ITmediaのニュースは以下にて。
「iPhone X」不正購入被害1000件 「ドコモオンラインショップ」に不正ログイン、リスト型攻撃で – ITmedia NEWS
ドコモによると、リスト型攻撃を検知したのは7月末。不正ログインは約1800件あり、うち約1000件で「iPhone X」が不正購入されたという。8月5日以降、被害にあった顧客から問い合わせがあり発覚した。
不正購入されたiPhone Xのモデルや価格、契約形態など詳細についてドコモは「模倣犯防止のためコメントできない」としているが、ネット上では、「iPhone X 256GBをだまし取られた」「被害額13万円」「15万円近い被害」「割賦契約されていた」「コンビニ受け取りになっていた」などの報告が出ている。問題発覚後ドコモは、オンラインショップの仕様を変更し、同じ手口で不正購入できないようにしたという。
ITmediaの記事では、ドコモオンラインショップによる不正アクセスがリスト型攻撃であった点や、ドコモ側でリスト型攻撃を検知したのが7月末であることが明らかにされているほか、不正ログインによって端末の購入手続が行われたユーザーに対して、端末代金の請求は行わない方針とのこと。
また、ドコモ側の見解として、ユーザー側が二段階認証を設定していれば、今回の被害は防げたとしている。今後、同様の事例を防ぐためにも、二段階認証を設定しておくことをオススメ。
dアカウントの二段階認証設定は以下にて。
2段階認証とは | dアカウント
マイナビニュースの記事は以下にて。
iPhone Xを不正に購入、被害は約1,000台 – ドコモにサイバー攻撃 | マイナビニュース
端末の代金は、毎月の利用料金と合算して支払うことができるため、犯人側は支払いをせずに高価な端末を入手できることになる。ただし、ドコモオンラインショップ側で対策をした結果、「これ以上の被害は広がらない」(ドコモ広報部)との認識だ。
マイナビニュースの記事でぇあ、具体的な対策は不明ながらドコモオンラインショップ側で対策を行い、これ以上被害は広がらない。というドコモ広報部のコメントが掲載されている。
どちらのニュースでも、不正ログインによって購入された端末はiPhone Xで、規模は約1,000台としている。仮に、iPhone X 256GBが1,000台被害にあった場合、ドコモの被害額はおよそ1.4億円と計算できる。
ドコモオンラインショップ側での具体的な対策は不明ながら、受取時の本人確認書類提示が不要なコンビニ受取から、一部の商品を除外することで対策を行っている模様。(これが、応急的な対応なのか、本体価格○円以上は一律で対象となるのかは不明。)
■iPhone Xを割賦購入→コンビニ受取が不可能に
ドコモオンラインショップは以下にて。