NTTドコモが運営する直販サイト「ドコモオンラインショップ」は、11月26日から機種変更など一部の手続きにおいてセキュリティを強化しました。ユーザーの利便性は下がる変更ですが、背景には携帯ユーザーを狙うフィッシング攻撃があるといいます。

携帯ユーザーを狙うフィッシング攻撃では、まずスマホに不審なメールやSMSが送られてきます。そこに書かれたURLを開くと、携帯キャリアのサイトによく似た画面が開き、IDやパスワードの入力を求められるというものです。

この攻撃の厄介なところは、騙されている本人は「本物のサイト」だと勘違いしている点です。たとえばドコモのdアカウントには「2段階認証」の仕組みも用意されているものの、本物と信じているのでSMSで届いたセキュリティコードを入力してしまう、といった具合です。

こうした攻撃の1つとして、日本サイバー犯罪対策センターでは、AndroidのapkファイルやiPhoneの構成プロファイルの仕組みを悪用し、「NTTセキュリティ」のようにキャリアの名前を騙った不正アプリをインストールさせる手口を解説しています。

ドコモは10月2日に、ドコモオンラインショップでiTunesギフトカードなどが不正購入された問題について注意喚起をしています。10月1日時点での被害人数は約1200人、被害金額は約1億円となっていましたが、ギフトカードの販売を一時停止したことで、その後の被害は拡大していないそうです。

さらにドコモオンラインショップは、11月26日からドコモユーザーによる機種変更やアクセサリー購入などについて、ドコモのモバイル回線からのアクセスを求める認証方式に変更しました（ドコモ回線に紐付かないdアカウントのユーザーは変更なし）。

パソコンの画面で商品を閲覧し、ショッピングカートに入れるところまでは可能ですが、実際に購入手続きをする部分についてはドコモ回線のスマホやタブレットが必要となっています。

今回の変更の背景として、ドコモオンラインショップを狙う新たな手口が生まれたわけではなく、また仮にdアカウントを奪取されたとしても、そのまま機種変更やアクセサリー購入の手続きをされることはないとドコモは説明しています。

その上で、「お客さまにより安心してご利用いただくため、回線契約をお持ちのお客さま皆さまが実施いただける認証方式へ切り替えた」とのことです。

dアカウント「パスワード無効化」設定も

ドコモが推奨しているのは、dアカウントのセキュリティ機能である「パスワード無効化設定（パスワードレス認証）」の利用です。

この機能を使うとdアカウントのパスワードは無効化され、代わりに「顔認証」や「指紋認証」といった生体認証などでログインできるようになります。筆者のdアカウントでも利用しているものの、利用は任意となっており、すべてのdアカウントユーザーに広まっていないのが現状です。

こうした機能以外に、どのキャリアを使っている人にも共通して言えるのは、外部から送られてきたリンクを安易に開くべきではないということです。フィッシングサイトではURLをよく似た別の文字で偽装していたり、短縮アドレスで隠蔽していたりと、見分けるのは困難な場合があります。

たとえばメールやSMSで「料金の未払い」などを指摘するメッセージを受け取ったら、そこに書かれているリンクを開くのではなく、ブックマークや検索エンジンを利用して公式サイトを開き、確認や問い合わせをするとよいでしょう。