2018年11月13日火曜日

ドコモオンラインショップでスマホ不正購入される被害 防ぐ方法は「2段階認証」活用

ドコモのオンラインストア「ドコモオンラインショップ」がリスト型攻撃による不正ログインを受け、知らないうちに自分のアカウントでiPhone Xを買われ、代金が請求される被害が約1000件発生した事件。本当に驚きましたね。

パスワードを簡単にしたり、複数のサービスで同じパスワードを使い回していると、このような被害に会う危険があります。

なお、根本的な対策は、パスワードに加え、セキュリティコードによる認証が必要な「2段階認証」を活用することです。今回は、このドコモの2段階認証方法について紹介します(2段階認証の基本も確認)。



なお、今回のドコモの被害、下記記事によると、不正ログインは約1800件あり、うち約1000件で「iPhone X」が不正購入。8月5日以降、被害にあった顧客から問い合わせがあり発覚。

 「iPhone X」不正購入被害1000件 「ドコモオンラインショップ」に不正ログイン、リスト型攻撃で - ITmedia NEWS
 http://www.itmedia.co.jp/news/articles/1808/13/news084.html

今回の「リスト型攻撃」とは、他社などから流出したID・パスワードのリストを使って不正ログインする手法、被害を防ぐには、同じID・パスワードを使い回さないことが重要です。

ただし、「リスト攻撃」以外にも、様々な不正アクセスの攻撃があり、IDやパスワードを簡単にしていると簡単に自分のアカウントにアクセスされ、不正購入される危険があります。

そのため、このような不正アクセス・不正購入を防ぐには、パスワードによる認証に加え、スマホに送信されるセキュリティコードによる認証が必要な「2段階認証」を活用することが大事です。

なお、2段階認証は画面操作により、次回以降セキュリティコードの入力を省略することができます

参考:
ドコモからのお知らせ : 不正なアクセス対策としての「2段階認証」ご利用のお願い | お知らせ | NTTドコモ
https://www.nttdocomo.co.jp/info/notice/page/180814_00_m.html


■■□―――――――――――――――――――□■■

ドコモ 2段階認証方法

■■□―――――――――――――――――――□■■

ドコモの2段階認証、パソコンでは、以下の手順で設定できます。スマホでの方法は以下を参照下さい。

 スマホでの方法: 2段階認証を設定・変更する | dアカウント
 https://id.smt.docomo.ne.jp/src/appli/twostepauth_flow.html

1.2段階認証設定のサイトにアクセス

ドコモ 2段階認証を設定する 
https://id.smt.docomo.ne.jp/cgi7/id/otpconf

2.dアカウントのID、パスワードでログイン

3.2段階認証設定の画面が表示

4.2段階認証設定の「設定する」をクリック

5.2段階認証の利用設定

①、②の方法がありますが、①セキュリティコードで2段階認証 が簡単です。

①セキュリティコードで2段階認証
IDパスワードを入力した際、設定した送信先にSMSで届く6桁のセキュリティコードを入力することで2段階認証を行います。

②アプリで2段階認証で2段階認証
ID/パスワードを入力した際、設定した端末のアプリで「はい/いいえ」を選択することで2段階認証を行います。


参考:
2段階認証とは | dアカウント
https://id.smt.docomo.ne.jp/src/utility/twostepauth.html


■■□―――――――――――――――――――□■■

2段階認証の基本

■■□―――――――――――――――――――□■■


①パスワードに加えて、②セキュリティコードの入力が必要になるログイン方法で、②セキュリティコードは、あらかじめ登録したスマホで入手します。

つまり、自分が持っているスマホでないと「セキュリティコード」が発行できないため、パスワードなどが流出しても安全です。

なお、2回目以降の「セキュリティコード」入力は省略することも可能です。この方法だと、万が一、他のサービスと同じパスワードを使っていても、パスワードが漏れても、大丈夫です。


以下に、私がまとめた重要なWebサービスの”2段階認証”を紹介しますので、ぜひ参考にして下さい。一部、時間的に古い記事もありますので、操作方法が変わっている場合もあります。

 Amazonの2段階認証でアカウントの不正利用を防ごう!
 http://lifesecurityup.blogspot.com/2017/06/amazon2.html

 Yahoo! Japanの2段階認証(ワンタイムパスワード)で不正利用を防ごう!
 http://lifesecurityup.blogspot.com/2017/05/yahoo-japanid.html

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 Microsoftの”2段階認証”について
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html


(注)「ワンタイムパスワード」も2段階認証と同じ

なお、銀行のインターネットバンキングで使われる「ワンタイムパスワード」も、「2段階認証」と同じと考えて良いですね。

現金の移動が伴う場合には、パスワードを入力後に、一定時間ごとに変更されるパスワード「ワンタイムパスワード」を入力させる方法です。

Yahoo! Japanでも、2段階認証、「ワンタイムパスワード」と言われています。