ドコモの「dポイント」 3万5000枚のカードで利用停止 不正使用か?
こんばんは。
ローソンのパスワードリセットについては、共有をさせていただきましたが、関連性の深いdポイントでは不正利用があったようです。
NTTドコモは、ポイントプログラムの「dポイント」で不正利用があったことを明らかにしたとのこと。
同社では、不正利用された可能性のあるdポイントカード約3万5000枚を9月10日付けで停止し、利用停止となったユーザーに対して、利用再開に向けた案内を始めているそうです。
そう言った意味ではローソンより深刻な自体だと思われます。
・これまでの経緯
「利用した覚えがないのに、dポイントが減っている」そんなユーザーからの申告が、ドコモへ寄せられたのは8月25日のことです。
同じような問い合わせはその後も続き、9月12日時点で約300件の申告があったとのこと。
dポイントは、今春から家族間でシェアすることもできるようになったため、こうした申告の一部には、ユーザー本人の知らない間に家族が消費した、といった事例が含まれる可能性はあるが、短期間に似た事例の申告が相次いだこともあってドコモでは調査を進め、不正利用の可能性とその原因を特定したそうです。
不正利用の可能性があるdポイントカードを10日付けで停止し、対象ユーザーには「Myインフォメール」で、dポイントカードを緊急措置として利用停止にしたことを連絡のうえ、利用再開時に必要な手続きを案内しているとのこと。
・原因は加盟店サイトへの不正アクセス
不正利用の声を受けて進めた調査では、ドコモに対するサイバー攻撃は確認されなかったため、同社の二段階認証には問題はないと判断しているとのこと。
一方でとあるdポイント加盟店のWebサイトへ不正利用があったようだとも発言しています。
NTTドコモはこの不正アクセスで、dポイントカードの番号と残高が第三者に盗み見られ、不正に利用された可能性があるようですね。
ドコモでは、具体的な不正の手口、また不正アクセスを受けた加盟店の名前は非開示としているが、今後の悪用を防ぐための対策は実施したとのことで、電話窓口も用意し、影響を受けたユーザーへ個別に対応していくようですので、各自ポイントの確認をされるのが良いと思います。
・ローソンにも不正アクセス
dポイントの加盟店でもあるローソンでは、9月8日付けで、ローソンIDのパスワードやメールアドレスを変更する案内を出しています。
これについてローソンでは、「ユーザーから何もしていないのにパスワード変更のためのメールが届いた、という問い合わせがあり、調べたところいわゆるリスト型攻撃を受けていたことが判明した。
そこで不正アクセスの可能性を減らすため、会員のパスワードをリセットした」と解説しています。
ローソンIDには、Pontaの番号や、dポイントカードの番号を登録でき、現在は、末尾三桁だけが見える形だが、ローソン広報によれば、サイトへのリスト攻撃が発生していた段階でもdポイントカード番号は末尾3桁だけ表示されており、全ての桁は見えない状態だったとのことです。
・dポイント番号、他人には知られないように
プラスチックカードのバーコードを用いて、店頭でポイントを貯めたり使ったりするサービスは国内にもいくつか存在しており、dポイントもまたその1つです。
コード決済と言えば、日本でも、QRコードやバーコードを用いる決済が広がりつつありますが、スマートフォンの画面に表示するQRコード型の決済サービスは、有効期限がごく限られたワンタイムのコードを用いており、仮に盗み見られても悪用される可能性が低いです。
これに対してバーコードタイプのもの、特にプラスチックカードのものは、当たり前だがバーコードを書き換えることができません。
今回の不正アクセスであらためて示されたのは、dポイントカード番号が他人の手に渡ってしまえば、ユーザーが知らないうちにポイントを使われる可能性があるということ、並びに、ちまたに出回るスマートフォンアプリの中には、ポイントカードをまとめることを目的にしたアプリが存在することです。
会員番号(バーコードの番号)を入れれば、手元に本物のカードがなくとも、バーコードを自動生成して、代わりのカードとして振る舞うことが可能です。
バーコードを読み取るだけ、というサービスは他にもあるが、ポイントを貯めるだけだったり、使える場所が限られていたりすれば問題にはなリマセン。
しかし、dポイントでのプラスチックカードによるバーコード決済は、幅広い加盟店で利用することが可能です。
現時点でドコモでは、不正利用の可能性があるdポイントカードのみ停止し、バーコード決済そのものは止めていません。
みなさん、最近は上記のような攻撃がきています。
きちんと確認をしていただきながら、対応していただければと思います。