ドコモ「dポイント」偽造の懸念を巡る不正行為の気になる話

(写真:Rodrigo Reyes Marin/アフロ)

 ひと月ほど前にNTTドコモのオンラインショップで不正ログイン事件が起きそのことが比較的大きく報道されることがありました。

ドコモ直営オンラインショップで不正ログインからのiPhoneX千台以上盗難事件発生の件(Yahoo!ニュース 個人 山本一郎 18/8/16)

 ドコモ側ではセキュリティ強化策としてdアカウントユーザーに対して2段階認証の利用を推奨するという形でその場は事態を収拾することにしたようです。

 これで収まれば話は終わるところですが、しかしながら、その後もドコモユーザーの間ではdポイントが不正に利用されているのではないかという報告が個人ブログやSNSなどで継続しておりました。

dポイントが加盟店で不正利用される被害(独房の中 18/8/29)

この数日dポイントが加盟店で利用される被害が出てきています。

おそらくモバイルdポイントカードアプリに不正ログインで登録した情報からポイントを利用されたと思われます。

出典:独房の中

 dポイントカードに関しては以前から簡単に偽造できるという話もネット上には出回るなどドコモ側の運用システムの甘さが指摘されておりました。確かに、仕組み上は偽造に対する堅牢さよりも手軽に使える扱いやすさと普及拡大のためにある程度割り切って導入したところ、案の定偽造グループは容赦なく使ってくる結果になったようです。昔のパッキーカード(パチンコプリペイドカード)偽造でも似たような経緯を踏みましたが、一度手口が割れて広まってしまうとあっという間に食いつかれる定番の事例に発展してしまうのでしょうか。

 以下のブログ記事はどうやって偽造するかといったところまで突っ込んだ内容になっておりますが、なるほどこれでは悪意をもった者が真似すれば被害を防ぐのはポイントカードの利用を止めるしかなさそうです。

これがdポイント不正利用・盗難被害の手口か?dポイントカード偽造方法の再現で驚きの事実が発覚!(JALマイルとANAマイルがいっぱいあったらいいのに… 18/9/8)

現時点で有効と思われる対策はただ一つ「dポイントカードの利用停止」になる。ぜひともご家族や友人でdポイントを貯めている人がいるならば伝えてほしい。

出典:JALマイルとANAマイルがいっぱいあったらいいのに…

 さらに、このdポイントカードシステムの問題点の核心に突っ込んだ以下のブログ記事では、バーコードを使った認証システムであるがゆえに任意の会員番号を簡単に偽造してそのまま会員情報にアクセスしたりポイントを盗み取ったりできることが解説されております。

ドコモのセキュリティ意識の低さが浮き彫りに(負けない投資術 ■ ポイント投資 サヤ取り 18/9/10)

実店舗でのバーコード提示によるポイント利用がされている以上、対策はポイントを0にするか、「dポイントカード」の利用停止処置をするかしかありません。

パスワードを複雑なものに変えても、「2段階認証」を設定しても、バーコード利用にはまったく効果はありません。

出典:負けない投資術 ■ ポイント投資 サヤ取り

 ドコモとしてはまさかdポイント加盟店にいる誰かがこうしたシステムの脆弱性を利用して不正を働くことがあるなどとは一顧だにしなかったということなのかもしれませんが、さすがにそれはちょっと認識が甘すぎたのではないでしょうか。誠に残念ではありますが世の中善人だけではないということですよね。たとえ極悪人でなくてもちょっとしたスキをたまたま見つけてしまえば誰もが魔が差すということはあるでしょうし。逆にいえば、そういう善人でも魔が差してしまうようなザルなセキュリティ運用をしてしまったドコモにも非があるということなんじゃないかと思います。

 いまのところ、ドコモはdポイントのサービス全体を止めるような動きを見せていないようです。相応に普及しているサービスですし、いきなり停止となれば問題でしょうが、被害が拡大する前に注意喚起しようにもサービスが止まらない限り「そうか、そうすればポイント増やし放題なのか」という手口を知った人たちによる模倣犯も増える以上は現実的ではありません。また、この手の偽造については他の大手ポイントサービス会社も同様の仕組みで稼働しており、いわゆる「悪事の横展開」ができてしまう危険性もありますから、どこかで大口の反社事案などによる被害が出て摘発までいかないと止まらないのかもしれません。

 いずれにしても地道に貯めていたポイントを盗まれてしまったユーザーは泣くに泣けません。ドコモには被害者へのしっかりした救済措置をいち早く提供すると共に、システムの見直しを早急に進めていただきたいと願うばかりです。