本特集は、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。

 NTTドコモの共通ポイント「dポイント」で不正利用が発覚した。2018年8月のことである。加盟店サイトが不正アクセスを受け、dポイントのポイント残高が盗み見られた。残高の大きなdポイントカード番号が狙われ、商品の購入に使われた。NTTドコモは9月10日に同番号約3万5000件の利用を停止した。バーコードを読み取るだけで簡単に使える便利な仕組みが悪用されたとみられる。

 「身に覚えのない利用履歴がある。不正利用ではないのか」。2018年8月下旬、TwitterなどのSNS(ソーシャル・ネットワーキング・サービス)にこんな書き込みが相次いだ。狙われたのはNTTドコモの共通ポイントサービス「dポイント」である。

 後に判明した不正利用の被害は、同年8月25日~9月12日にかけてドコモに申告があった分だけで約300件に上った。ポイント残高が比較的多いユーザーが狙われており、不正利用額は「1件あたり数万円相当」(ドコモ広報)。この数字から全体の被害額を推定すると、利用者が被害を申告した分だけで数百万円、利用者が気付かなかったケースを含めればさらに増える可能性がある。

 ドコモが調査したところ、あるdポイント加盟店の会員サイトに「dポイントカード番号」を紐づけていたユーザーに被害が集中していた。2018年9月10日、同社は不正利用の拡大を防ぐため、この加盟店サイトに紐づく約3万5000件の番号について利用停止を決めた。

 「停止の判断は当該の加盟店と協議した上でドコモが判断した。拡大防止を最優先に考えた」(ドコモ広報)。同社は該当するユーザーに不正利用の可能性を通知した上で、新しい番号への再登録を促した。同社は被害にあったユーザーに対して、dポイントの返還などの処置を個別にとる方針だ。

 なぜdポイントが狙われたのか。不正利用対策は機能したのか。当事者への取材から探る。

バーコードでポイントを利用

 dポイントはドコモの通信料や加盟店での買い物の支払いなどに使える共通ポイントサービスだ。商品やサービスを購入する時、100円または200円の支払額ごとに1ポイントが貯まる。1ポイント1円相当で支払いに使える。

 店頭でポイントを貯めたり使ったりするには、プラスチック製の「dポイントカード」に印刷されたバーコードを提示する。バーコードはカード両面に印字された15桁のdポイントカード番号をそのままコード化したものだ。

 ドコモや加盟店がそれぞれ提供する公式のスマートフォンアプリを使えば、カードは要らない。カードと同じバーコードをスマホの画面に表示でき、バーコードをレジに提示すればカードと同じように使える。

 ドコモがdポイントのサービスを始めたのは2015年12月。競合する「Tポイント」や「楽天スーパーポイント」と比べると後発だが、2018年6月末時点で「dポイントクラブ」の会員は約6600万人、このうち加盟店でポイントを使えるdポイントカードの登録者数は約2500万人に拡大した。dポイントの加盟店は131社まで増え、全国約3万4900店で使える。

 ドコモが不正利用に気付いたのは2018年8月25日頃である。同日以降、同社に「ポイントが不正利用されているのでは」との問い合わせが相次いだ。

 会員がdポイントを使うと、ドコモのメッセージサービスを使って携帯電話に通知が届く。この機能により、身に覚えのない通知を受けとったユーザーが不正利用の被害に気付いた。「問い合わせが1日あたり十数件に上る日もあった」(ドコモ広報)。

 8月30日、ドコモはWebサイトでdポイント利用者に注意を呼び掛けたほか、被害に遭ったユーザーへの聞き取りと原因の調査を進めた。すると、ある加盟店が運営する会員サービスのアカウントに紐づいたdポイントが不正利用を受けていたことが分かった。「当初、その加盟店は会員サイトへの不正アクセスを認識していたものの、dポイントが狙われたとの認識は無かった」(ドコモ広報)。

 アカウントにdポイントカード番号を紐づけていた場合、会員サイトのアカウント画面から番号の一部とポイント残高を確認できた。何らかの方法で会員サービスのIDとパスワードを入手できれば、他人になりすまして会員サイトにログインし、アカウントがdポイントと紐づいているかどうかや、ポイントの残高を覗くことができた。

 犯人はこの残高を基に高額のポイントが貯まったアカウントを探し出し、何らかの方法で不正利用した可能性がある。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら