いっこうに収まる気配のない「dポイント」の不正利用
実店舗でのバーコード読み取りによるポイント利用が大きく広がりそうな気配です
「dポイントカード」の不正利用について
「dアカウント」のログイン情報を漏らしてしまうのは、ドコモ側からの漏洩を除いては全て利用者のセキュリティ意識の欠落による自己責任の範疇にあるかと思います。
また、重要な手続き等に関しては「2段階認証」もあるため、「dアカウント」のクラックは、ログイン情報を"適切に管理"している限り、まず起こらないものだと思います。つまり防ぐことが自らの努力で可能だということです。
一方、現在進行形で被害が拡大している、「実店舗でのバーコード提示によるポイント利用」に関しては個人の努力で防ぐことが非常に難しいものになっています。
「dポイント」または「d払い」や「ドコモ払い」などといった決済手段を不正に使われるといった場合には大きく「ネット上でdアカウントログインによる利用」、「実店舗でのアプリによるd払い」、「ポイントカード、アプリによるバーコード掲示でのポイント利用」といったものがあります。
ネット上でのdアカウントログインによる利用
ネットショッピングなどで、「dアカウント」にログインし、「d払い」、「ドコモ払い」を利用して決済する方法です、いわゆる「キャリア決済」といわれるものです。これらで不正利用を試みるには、「dアカウント」へのログインが必要なので、まずはIDとパスワードを入手しなければいけません。
運営会社のサーバーにアタックをかけて抜いてくるか、フィッシングなどで入手するか、リスト型など総当りのログインを仕掛けるかになってきます。
フィッシングに関しては、こちらで軽く触れています。
108円菓子やLチキが貰えるキャンペーン
https://ameblo.jp/pointtoushi/entry-12398336127.html
実際にログイン情報を入手できたとしても、「2段階認証」を設定しておくことで高確率で防ぐことができるので、個人の努力でなんとかなります。
一般的に言われている、複雑なパスワードの設定、定期的なパスワードの変更など、適切なアカウント管理がされていれば、まず被害にあいません。
実店舗でのバーコード提示によるポイント利用
問題はこちらのバーコード掲示によるポイント利用です。世の中にはいろいろなポイントカードがありますが、大きく分けると、磁気テープを使ったものとバーコードを使ったものに分けられます。
磁気テープでは「Tポイントカード」、バーコードタイプは「楽天ポイントカード」「Pontaカード」「dカード」が有名なところでしょうか。
実際には「楽天ポイントカード」「Pontaカード」「dカード」にも磁気テープが付いていますが、別の用途で使っているだけで、レジでポイントカードとして使うにはバーコードを使用します。
ポイントカードの利点のひとつとしては、その簡便性。レジで何の認証もなくポイントで買い物ができてしまうという手軽さでしょう。
がしかし、その簡便性に目を付けられてしまったようです。
特にバーコードのほう。磁気テープのほうも偽造ができますが、バーコードに比べたら敷居が高い。
バーコードであれば番号からバーコードを作るだけで、簡単に偽造ができてしまいます。
こんなように
ポイントカードのバーコードをスマホのバーコードリーダーで読み取ってみればわかりますが、バーコードに記録されている情報は、ただのポイントカード番号。
バーコードからポイントカード番号をピッと読み取るだけでポイントを使って買い物ができてしまうわけです。
どこからポイントカード番号が漏れているのか
ポイントカード番号さえわかれば、勝手にバーコードを作ってスマホ画面に表示してレジに出せば使えてしまう。では、そのポイントカード番号はどこにあるのか。
dポイントカードで言えば、種類が3種類。
- dカード
- dカードプリペイド
- dポイントカード
アプリでのバーコード表示を含めれば4種類ですね。
カード本体の入手方法を考えてみると、「dカード」、「dカードプリペイド」、「キャンペーン用dポイントカード」などのようにドコモ本体から配布されるもの。
ドコモショップで配布される「dポイントカード」。
加盟店店頭で配布されている「dポイントカード」。
というふうに分けられるでしょう。
これらのなかで、特に気になるのは、加盟店店頭で配布されている「dポイントカード」。
皆さんも店頭でよく見かけると思いますが、レジ横だったり、商品棚であったり、「ポイントカード」が無造作においてありますよね。
あれどう思いますか?
番号丸見えだったりしませんか?
誰でも自由に利用前のカード番号が見れてしまう。
もし悪意のある人間が、その番号を控えていて、何も知らない人がその「ポイントカード」を登録して使っていたとしたら・・・
それよりも、もし悪意のある店員が店頭配布の「ポイントカード」の番号を全て控えていて・・・
怖いですよね。
番号からバーコードを作ってレジに出すだけで、簡単にポイントが使えます。カード本体は不要です。
いやもっと怖いのは、店員が事務所のパソコンで販売履歴を見て、ポイントカード番号を見ることができることでしょう。
加盟店によっては、ポイントカード番号がマスクされておらず、バイトだろうが誰であろうがその情報を見れてしまうところもあるそうです。
買い物のときにレジで、「お客さんポイントいっぱい持ってますね」なんて言われたらゾッとしますね。
もし本当に悪意を持った店員がいるとしたら、恐ろしいことです。
昨今の雇用情勢から考えると、従業員に対して選り好みできるような状況ではないでしょう。会話が成り立ち、教えたことがそこそこできるようであれば普通に採用されることでしょう。
その人物の人間性などといったものまで見ていられる状況ではありません。
また、これが組織的な犯罪だとしたら、犯罪グループは末端のバイトを買収したり、バイトとして送り込んでくることもあるのかもしれません。
ポイントカード番号の総当り
本格的な犯罪グループが関与しているとしたら、ポイントカード番号のパターンを解析して総当りでバーコードを作っているのかもしれません。「dポイントカード」では15桁の番号をポイントカード番号としています。
番号の構成としてはこんな感じでしょうか。
手持ちのカードを見てみると、固定の番号は「dポイントカード」も「dカードプリペイド」も同じ、最近更新されて送られてきた「dカード」だけ別の番号でした。
ひどいのは「dカードプリペイド」のポイント番号。
お持ちでしたら、手元の「dカードプリペイド」のポイント番号を見てみてください。
10枚持っていて最後に発券したのは今年の1月だったと思いますが、おそらく連番部分は0から始まっていて、固定の部分は同じ。
チェックデジットのパターンがわかれば、かなり絞って総当りできてしまいます。
すぐにカスタマーに電話して、「dカードプリペイド」は全てポイント利用停止にしました。
「dカードプリペイド」が始まった当時、クレジットカード番号の発番が恐ろしいことになっていて話題になっていましたが、こちらも恐ろしいことになっていますね。
さらにドコモのサイトをいろいろいじってみると、こんなこともわかってきました。
ドコモのセキュリティ意識の低さが浮き彫りに
https://ameblo.jp/pointtoushi/entry-12403930854.html
使った場所がわかるのに不正利用なんてするの?
「dポイントカード」を使った場合、いつ、どの店で使ったのかが履歴に残ります。だから犯人はすぐに捕まるのにそんなことするのか?という疑問もわきます。
首謀者が自分で使うということはまずないでしょう。すぐに足が付きますから。
ネットを介して売るか、捨て駒のバイトが実働部隊になっているか、訪日外国人に売っているかして、その辺のことは十分考慮しているのでしょう。
実店舗でのdポイント不正利用の対策は
実店舗でのバーコード提示によるポイント利用がされている以上、対策はポイントを0にするか、「dポイントカード」の利用停止処置をするかしかありません。パスワードを複雑なものに変えても、「2段階認証」を設定しても、バーコード利用にはまったく効果はありません。
dポイントを「0」にするには、「ポイント投資」に全部投資するという方法があります。
今までは、上がる日だけ投資するというスタンスでしたが、こんな状況であれば、逆に常に投資しておいて、下がる日だけ17時前後の10分ほどだけ引き出すといった運用になるでしょう。
「ポイント投資」に入れてしまえば、「dアカウント」をクラックされない限り、バーコードではポイントを使えません。
「dポイントカード」自体を利用停止してしまえば、その番号のバーコードを偽造されて表示されてもポイントを使うことはできません。
ポイント利用だけが制限されるので、ポイントを貯める機能は有効とのことです。
利用停止は
dポイントカスタマーセンター
0120-208-360
へ電話することで手続きができます。
そもそも、ポイントというものは手軽に使えるのが利点であり、使うときには認証も何もいらないのが、今までは当然でした。
ですが、ドコモのポイントばら撒き戦略によって、普通では考えられないほどのポイントが貯まるようになり、そこを悪意を持った人たちに狙われた形になっています。
今後、実店舗でのポイント利用には何らかの一手間がかかるようになるのでしょう。
そうしなければ、今進行形の不正利用は食い止められません。
それまでは、ポイントカードの機能は止めておいたほうがいいのかもしれません。
0 件のコメント :
コメントを投稿