無縫地帯

ドコモ直営オンラインショップで不正ログインからのiPhoneX千台以上盗難事件発生の件

NTTドコモの公式オンラインショップで、リスト攻撃と見られる不正アクセスを手口としたiPhoneXの盗難事件が発生しました。

NTTドコモ直営の携帯電話端末販売サイトである「ドコモオンラインショップ」において、約1000台のスマホ「iPhone X」が不正な手段で何者かに購入されるという事件が発覚しました。

知らぬ間に高額スマホ購入ドコモ、不正アクセスで約千件(産経ニュース 18/8/15)

7月下旬に通販サイト内で利用者のアカウントが無断で使われる不正アクセスが約1800件あり、そのうち約千件で利用者が知らぬ間に購入手続きを進められたという。8月5日に利用者からの指摘で発覚した。産経ニュース
この事件、ドコモなどが公式にそういう事態が発生していることを認める数日前からセキュリティクラスタ界隈では話題になっておりました。

ドコモオンラインショップの不正ログインでiPhoneを注文される被害が発生中(独房の中 18/8/11)

ドコモ側では何が起きているのか状況をしっかりと把握してから発表するという手順を踏んだということなのでしょうが、1件あたりの被害額が10万円を軽く超える事案であるだけに、思わぬ被害者となったユーザーの気持ちを考えればもっと早く情報公開して不安を取り除いてあげることはできなかったのかなと思ってしまいます。ただ、ドコモとしても最善の手を打つにあたりどのタイミングで公表するかはかなり悩んでいた節があります。この手の事案では、発表のタイミングがとてもむつかしく、分かったからすぐに公表とすれば手口によっては模倣犯も出るでしょうし、なかなかむつかしいのだろうなあと感じます。

本件の不正ログイン発覚の経緯については以下の記事が参考になります。

「iPhone X」不正購入被害1000件「ドコモオンラインショップ」に不正ログイン、リスト型攻撃で(ITmedia 18/8/13)

ドコモによると、リスト型攻撃を検知したのは7月末。不正ログインは約1800件あり、うち約1000件で「iPhone X」が不正購入されたという。8月5日以降、被害にあった顧客から問い合わせがあり発覚した。ITmedia
やや不思議な説明になっているのですが、これは解釈するに、後からアクセス状況をログなどから調べてみたら不正ログインが7月末にリスト型攻撃という形で行われたことが分かったということであり、被害者からの問い合わせがなければリアルタイムではドコモ側も攻撃のあったことに気付いていなかったということなんでしょうか。

できれば被害者からの問い合わせが来る前に、攻撃を検知して不正ログインを未然に防ぐようなアクションができていてほしかったわけですが、ドコモ側が攻撃の検知がこれらの被害者からの問い合わせまでできなかったとするならば、見た目の被害よりも事態はさらに深刻になるかもしれません。

なお、事件全体の概要についてはpiyokangoさんがいつものようにブログにまとめを書かれており大変参考になります。

docomo Online Shopへの不正ログインとiPhoneの不正購入についてまとめてみた(piyolog 18/8/13)

どのような手順で攻撃者がiPhone Xを手に入れたかは模倣犯を防止するために詳細情報が明らかにされていません。しかし、どうやら特定の機種を特定の条件で購入契約する設定にすることで行為がすぐには露見しないようにしていたことが推測されます。また、1000台という個人レベルの犯行ではとても扱いきれないような大量のスマホを騙し取ることに成功していることからもかなり統率のとれた組織的な犯行のようであるという点で、2016年に起きたコンビニATMから現金約18億円が不正に引き出された事件を思い起こさせるものがあります。

コンビニATMから18億円不正引き出し、「関東連合」元メンバーの男再逮捕事件主導か福岡県警(産経WEST 18/3/13)

いまだコンビニATM事件もすべての解決はしていませんが、今回のドコモオンラインショップ不正ログイン事件も反社勢力が関与した組織犯罪である可能性はかなり高いのではないかと考えられます。

さて、ドコモでは今回の事件を受けて、ユーザーに対して2段階認証の利用を推奨することになったようです。

不正なアクセス対策としての「2段階認証」ご利用のお願い(ドコモからのお知らせ 18/8/14)

確かに2段階認証を利用すれば従来の方法よりも第三者による不正ログインをある程度は防止することが可能になるのは確かでしょう。せっかく利用可能なのですから2段階認証を利用しないよりは利用する方がセキュリティ強化を図れることは確かです。しかし、2段階認証を利用したからといってそれで100%安全になるかといえば今の時代は運用の仕方を間違えればそのスキを狙われる可能性があるということでして、セキュリティはどこまでいってもイタチごっこな感があり悩ましいところです。

SMSベースの2段階認証は安全とはいえない。対処法は?(ライフハッカー 2018/8/8)

ここまで来ると、セキュリティ界隈でも話題になり始めた組織ごと、サービス・サーバーごとの防衛ではなく、より広い監視体制をネットの中で作るべきだ、という流れになっていく可能性もありますし、例の「漫画村」問題でブロッキング議論が出ていたのと同様、すべての取引を含む通信内容を監視できるようにする議論も出てくるかもしれません。