「iPhone X」不正購入被害1000件 「ドコモオンラインショップ」に不正ログイン、リスト型攻撃で - ITmedia NEWS https://t.co/O1WqGcfrqj 言われてたのこれね。IDとパスの使い回し厳禁。
— 不破雷蔵 (@Fuwarin) 2018年8月13日
「知らないうちに自分のアカウントでiPhone Xを買われ、代金が請求されていた」――NTTドコモが運営する、ドコモ契約者向けオンラインストア「ドコモオンラインショップ」がリスト型攻撃による不正ログインを受け、悪意のある第三者に「iPhone X」を不正購入される被害が約1000件発生していたことが8月13日までに分かった。ドコモは被害を受けたアカウントを停止してユーザーに連絡を取っており、購入代金の請求は止める方針だ。
先日からツイッターのタイムライン上に似たような話がちらほら出ていて、確率論的にたまたまイレギュラー的な犯罪として云々ってレベルでは無いなあと思っていたら、やはりまとまったレベルでの事案だったというお話。パスワードとIDを複数のサービスで流用している人が受けてしまうリストアタックによって不正ログインされた人が、勝手に購入されたというもの。
購入スタイルが複数であることから、不正ログインまでは自動で、ログイン出来たら手入力で購入されていたのかなあ、という気もする。となると、一人での事案ということは考えにくいので、組織的な案件なのかな、という感も。
「コンビニ受取可能」「ドコモ登録と違うメールアドレス指定可能」などの穴があるせいで犯人は当事者が気づかないうちに購入できた模様 https://t.co/OyeE0ZUJkm
— へろへろ (@heroheroheroppi) 2018年8月13日
記事にもある通り二段階認証を採用していれば防げる被害ではあるし、そもそもリスト型攻撃の被害にあうってことはパスワードとIDを使い回ししていたからに他ならない。他方、指摘もされている通り、利便性を高めるための仕組みが悪用された面もある。こうやってあくどい事を考える人達のせいで、世の中はどんどん面倒くさく、不便になっていくのだなあ、と。
執筆:
コメントする