ドコモの「dポイント」で不正利用、3万5000枚のカードで利用停止

　NTTドコモは、ポイントプログラムの「dポイント」で不正利用があったことを明らかにした。同社では、不正利用された可能性のあるdポイントカード約3万5000枚を9月10日付けで停止。利用停止となったユーザーに対して、利用再開に向けた案内を始めている。

これまでの経緯

　「利用した覚えがないのに、dポイントが減っている」――そんなユーザーからの申告が、ドコモへ寄せられたのは8月25日のこと。同じような問い合わせはその後も続き、9月12日時点で約300件の申告があった。

　dポイントは、今春から家族間でシェアすることもできるようになったため、こうした申告の一部には、ユーザー本人の知らない間に家族が消費した、といった事例が含まれる可能性はあるが、短期間に似た事例の申告が相次いだこともあってドコモでは調査を進め、不正利用の可能性とその原因を特定。不正利用の可能性があるdポイントカードを10日付けで停止した。対象ユーザーには「Myインフォメール」で、dポイントカードを緊急措置として利用停止にしたことを連絡。利用再開時に必要な手続きを案内している。

原因は加盟店サイトへの不正アクセス

　不正利用の声を受けて進めた調査では、ドコモに対するサイバー攻撃は確認されなかった。このため同社の二段階認証には問題はないと判断しているという。

　しかし、とあるdポイント加盟店のWebサイトへ不正利用があったようだ、とNTTドコモ。この不正アクセスで、dポイントカードの番号と残高が第三者に盗み見られ、不正に利用された可能性がある。

　ドコモでは、具体的な不正の手口、また不正アクセスを受けた加盟店の名前は非開示としているが、今後の悪用を防ぐための対策は実施したとのこと。電話窓口も用意し、影響を受けたユーザーへ個別に対応していく。

ローソンにも不正アクセス

　dポイントの加盟店でもあるローソンでは、9月8日付けで、ローソンIDのパスワードやメールアドレスを変更する案内を出している。これについてローソンでは、「ユーザーから何もしていないのにパスワード変更のためのメールが届いた、という問い合わせがあった。調べたところいわゆるリスト型攻撃を受けていたことが判明した。そこで不正アクセスの可能性を減らすため、会員のパスワードをリセットした」と解説する。

　ローソンIDには、Pontaの番号や、dポイントカードの番号を登録できる。現在は、末尾三桁だけが見える形だが、ローソン広報によれば、サイトへのリスト攻撃が発生していた段階でもdポイントカード番号は末尾3桁だけ表示されており、全ての桁は見えない状態だったとのこと。

dポイント番号、他人には知られないように

　プラスチックカードのバーコードを用いて、店頭でポイントを貯めたり使ったりするサービスは国内にもいくつか存在しており、dポイントもまたその1つだ。

　コード決済と言えば、日本でも、QRコードやバーコードを用いる決済が広がりつつある。だがスマートフォンの画面に表示するQRコード型の決済サービスは、有効期限がごく限られたワンタイムのコードを用いており、仮に盗み見られても悪用される可能性が低い。これに対してバーコードタイプのもの、特にプラスチックカードのものは、当たり前だがバーコードを書き換えることができない。

　今回の不正アクセスであらためて示されたのは、dポイントカード番号が他人の手に渡ってしまえば、ユーザーが知らないうちにポイントを使われる可能性があるということ。ちまたに出回るスマートフォンアプリの中には、ポイントカードをまとめることを目的にしたアプリが存在する。会員番号（バーコードの番号）を入れれば、手元に本物のカードがなくとも、バーコードを自動生成して、代わりのカードとして振る舞う。

　　バーコードを読み取るだけ、というサービスは他にもあるが、ポイントを貯めるだけだったり、使える場所が限られていたりすれば問題にはならない。しかし、dポイントでのプラスチックカードによるバーコード決済は、幅広い加盟店で利用できる。現時点でドコモでは、不正利用の可能性があるdポイントカードのみ停止し、バーコード決済そのものは止めていない。筆者もdポイントユーザーの1人であり、普段はなかなか自分のdポイント番号が他人に知られることはないはずなのだが、現状では不安をぬぐい去れない。たとえば一定額以上の利用では暗証番号を併用したり、ユーザーに通知したりするなど、大規模なサービスだからこそ、他のバーコード型サービスとは異なる配慮が必要になりそうだ。