いっこうに収まる気配のない「dポイント」の不正利用
ドコモのシステムにセキュリティーの穴がどんどん見つかる
ドコモのセキュリティ意識の低さが浮き彫りに
既存のセキュリティーレベルの低いポイントカードシステムに、そのまま乗っかって開始されたドコモのポイント制度「dポイント」。
そのポイント制度がセキュリティの脆弱さによって危機に瀕しています。
バーコードによるポイント利用
その手軽さ、加盟店側の導入のしやすさで多くのポイントカードに採用されているバーコード式ですが、その手軽さと引き換えに、セキュリティー面では非常に脆弱な部分をもっています。バーコードに保存されている情報はただの10数桁の数字。
その情報だけで、ユーザーのポイント情報を読み出し、買い物の支払いに使えてしまう。
クレジットカードのようにサインをしたり、暗証番号を打つなんていうのは必要ない。
電子マネーでの支払いも手軽ですが、ただ、電子マネーは高度な偽造複製防止の技術が使われているため偽造複製はできません。
一方、バーコード式のポイントカードはそういった不正対策の技術がほぼなく、バーコードをコピーしてしまえば、そのまま複製になってしまいます。
極端な話、カードのバーコードをコピー機で普通の紙に印刷するだけでもレジで読み取れば使えます。
実際には、店員がカード以外を読み取らないように教育されているため、そういうことはできないはずですが、読み取ってしまえば、システム上はカードを読み取るのも紙に印刷したものを読み取るのも違いはありません。
バーコードをシールに印刷して、カードに貼っても使えてしまうでしょう。
店によっては、スマホで表示したバーコードを読み取ることでも利用できるところがあります。
その場合、正規の方法でスマホ表示する以外に、スマホでカードのバーコードの写真を取り、それをレジで読み取ってもらっても利用できてしまいます。
機械にとっては何に表示されたバーコードを読み取るのかは、入力に違いがありません。
一部のポイントシステムでは、アプリでスマホ表示した場合は時間制限のあるユニークなバーコードを表示するタイプもありますが、そのようなシステムでも、カードだと言ってカードのバーコードの写真を取ったものを表示して読み取らせた場合、カードのバーコードとして使えてしまいます。
このようなセキュリティーに関してはザルなバーコード式のポイントカードですが、重要なのは、複製だけではなく、任意の番号でバーコードを作れてしまう、いわゆる偽造も容易にできてしまうところです。
「dポイントカード」の不正利用について
https://ameblo.jp/pointtoushi/entry-12403505705.html
セキュリティー意識の欠けたドコモのサイト
ポイントカードをある程度の枚数を集めて解析すれば、会員番号のパターンが見えてきます。
バーコードを作るためのポイントカード番号をどこかから入手してくる必要もなく、ある程度のパターンに基づいて、総当り的に発番してしまうことすらできてしまいます。
そして、その番号が有効かどうかも、ドコモのサイトで確認ができてしまうというお粗末な状態です。
ドコモのとあるページでdポイントカード番号を入力すると、その番号が誰かのdアカウントに登録されたものかどうかが判別できてしまうのです。
まさに犯罪者に優しい仕様。誰も止めなかったのでしょうか。
まったく当てずっぽうな存在しない番号を入力した場合、こう返ってきます。
(追記:セキュリティコードはでたらめ)
存在する番号であるが、誰のdアカウントにも未登録な場合、こう返ってきます。
(追記:セキュリティコードはでたらめ)
が、しかし、ランダムに作った番号が実際に存在し、誰かのdアカウントに登録されている場合、こう返ってきます。
(追記:セキュリティコードはでたらめ)
怖すぎます。
セキュリテー意識など微塵も感じられません。
なぜそんなに犯罪者に優しくしているのでしょうか?
実際にはドコモの優秀なセキュリティ部門の人たちが、この穴にもとっくに気付いていて、すでにアクセスログを確認して、異常な回数、不特定の番号を入力したアカウントを特定しているのでしょうが、どうせ、海外サーバーを何重にも踏み台にしたアクセスなのでしょう。
いや気付いているのなら、まず穴を修正しろよ、と言いたくもなりますが。
実店舗でのdポイント不正利用の対策は
このようなセキュリティー意識の微塵もないザル仕様のポイント制度です。
今すぐにでも、現在何が起きていて、何が原因で、何をすべきなのかを大々的に公表し、いったん実店舗でのポイント利用を完全にストップさせるたほうがいいんじゃないですか?
ポイントシステムを一から作り直さなければ、後手後手の対応しか取れません。
今後のドコモにとって、「dポイント」というのは経営戦略の基盤となるもののはずです。
その土台が今まさに崩れようとしています。
顧客に還元する共通ポイント「dポイント」が業績に与える影響が拡大している、とか、ポイントをテコにNTTドコモが展開するさまざまなサービスの利用につなげる、とか言っている場合ではないですよ。
NTTドコモ-底堅い dポイント影響拡大でサービス利用増加を期待
https://news.finance.yahoo.co.jp/detail/20180910-10000017-dzh-stocks
実店舗でのバーコード提示によるポイント利用がされている以上、対策はポイントを0にするか、「dポイントカード」の利用停止処置をするかしかありません。
パスワードを複雑なものに変えても、「2段階認証」を設定しても、バーコード利用にはまったく効果はありません。
dポイントを「0」にするには、「ポイント投資」に全部投資するという方法があります。
今までは、上がる日だけ投資するというスタンスでしたが、こんな状況であれば、逆に常に投資しておいて、下がる日だけ17時前後の10分ほどだけ引き出すといった運用になるでしょう。
「ポイント投資」に入れてしまえば、「dアカウント」をクラックされない限り、バーコードではポイントを使えません。
「dポイントカード」自体を利用停止してしまえば、その番号のバーコードを偽造されて表示されてもポイントを使うことはできません。
ポイント利用だけが制限されるので、ポイントを貯める機能は有効とのことです。
ポイントカード番号の利用停止は
dポイントカスタマーセンター
0120-208-360
へ電話することで手続きができます。
0 件のコメント :
コメントを投稿