二段階認証のおかげで助かった~dアカウントパスワードを使い回した私の怖い体験談~

フィッシング犯人より「dアカウント セキュリティコードの入力を求める」SMS
身に覚えがない「dアカウントでログインした方に送信しています」とか「dアカウントのセキュリティコード確認」などの通知メッセージを受け取った方はいませんか?
2018年の秋。dアカウントのパスワードを使い回していた私は、不正アクセスされて不正ログインを許しましたが、二段階認証のおかげで被害は受けませんでした。その経緯とお手元に届く「dアカウントのセキュリティコード」の意味を詳しく解説します。
多くの不正ログイン事故は二段階認証を導入していれば防げます。「二段階認証」未設定の方は仕組みや方法を理解し、すぐに設定しましょう。

※認証方法には「二段階認証」と「二要素認証」があり、厳密には異なりますが、重なる部分も多くユーザーには区別が難しいため、一般的に使われている用語「二段階認証」を使ってご説明します。

/ins>

「二段階認証のおかげで助かった!」。私の「怖い体験」~

1.  2018年夏「ドコモオンラインショップの不正購入事件」の後、ドコモが「緊急対策」を発信しました

当ブログの運営者が「恥をしのんで」皆さまのご参考のために失敗談をお話しします。

2018年の夏、「ドコモのdアカウントが不正に使用されて、ドコモオンラインショップのコンビニ受け取りを悪用した不正購入事件」が大きく報道されました。

その直後ドコモは大急ぎで二段階認証の認証方法をつくって追加しユーザーに強く設定するよう告知をしました。

私のところにも、ドコモから以下のメッセージが来ました

ドコモからのお知らせ
不正なアクセス対策としての「2段階認証」ご利用のお願い         2018年8月14日

平素は弊社商品・サービスをご利用いただき、誠にありがとうございます。

外部からの不正なログインにより、お客様のdアカウントが使用され、不正に取得したdアカウントを使い、ドコモオンラインショップにて商品を購入する事象が確認されております。ドコモでは、お客様のdアカウントを不正に利用できないよう「2段階認証」をご用意しており、この認証機能を利用することで第三者による不正ログインを防止することができます。

是非、「2段階認証」をご利用いただきますよう、お願い申し上げます。
※お客様が2段階認証を「利用する」「利用しない」のどちらに設定されている場合でも、ドコモの判断によりセキュリティコードの入力を求める場合があります。

【2段階認証とは?】
2段階認証とは「dアカウント/パスワード」による認証に加え、お客様ご自身の端末に送信されるセキュリティコードによる認証が追加となります。これにより、セキュリティコードが届かない第三者による不正ログインを防止することができます。
※2段階認証は画面操作により、次回以降セキュリティコードの入力を省略することができます

(別ウインドウが開きます)いますぐ2段階認証を設定する
なお、お客様におかれましても、パスワードの取り扱いに関して以下の点にご留意をいただきますよう、お願い申し上げます。

【適切なパスワードの設定と管理のお願い】
・他社サービスとは違うパスワードを設定する。
・パスワードは定期的に変更し、過去に使用したものは極力使用しない。
・第三者が容易に推測できるパスワードを使用しない。
・パスワードを適切に管理し、第三者に見られないようにする。

弊社は今後もお客さまへの一層のサービス向上に取り組んでまいりますので、何卒ご理解を賜りますよう、よろしくお願い申し上げます。

■ NTTドコモ 2018年8月11日
不正なアクセス対策としての「2段階認証」ご利用のお願い

不正購入のiPhoneX受け取った疑い 男4人を逮捕:朝日新聞デジタル
 携帯電話大手のNTTドコモが運営する「ドコモオンラインショップ」で他人のIDとパスワード(PW)を使って不正購入された米アップルのスマートフォン「iPhoneX(アイフォーンテン)」を受け取ったとし…
朝日新聞デジタル
 
https://www.asahi.com/articles/ASLCD2TNDLCDUTIL002.html

2. 賢明にも、私はすぐに二段階認証を設定した。しかし、、、

私はドコモからの告知を見て、不正アクセス対策としてすぐにdアカウントに二段階認証を設定しました。

これが後になって「たいへん賢明」だったとわかりました。もしもこれをやっていなかったら、大きな被害を受けているところでした。

ところが、せっかくすぐに対応したのに、

「dアカウントのパスワードは、外出先でも使うから、新しいパスワードを覚えるのはめんどうだ」

と変更せず、今まで使っていたパスワードを使い続けてしまいました。まさに魔が差したとしかいいようがありません。

しかも、今となってはあきれてしまいますが、うっかり以前から何度も使い回していたIDとパスワードをdアカウントにも使ってしまったのです。

完全に私の初歩的なミスでした。

ブログ内の関連記事(新しいウィンドウで開きます)
「パスワードの使い回しがいかに危険なのか?」実例からリスクと対策を知ろう

「とても覚えられない!」と誰もがやってしまう「同じパスワードの使い回し」。「パスワードの使い回し」は、事件事故と被害に直結する最悪の行為ですが最新の調査では「パスワードを使い回している人の割合は8割」という衝撃的な結果も出ました。ど[…]

 

3.  「dアカウントのセキュリティコード確認のショートメール」が次々届きはじめた

ところが2018年10月頃から、時々ドコモから、見に覚えのないショートメール(=SMS)が届くようになりました。
すべて「dアカウントのセキュリティコード確認のSMS」メッセージが送られてくるのです。
最初のうちは「数日に一回」ぐらいだったので、
「たまたまスマホを触っていて、なにかドコモの設定を触ってしまったのだろう」
と気にせず放置していました。
ところがdアカウントのセキュリティコード確認ショートメール の頻度が次第に多くなり、とうとう数秒おきに何度も連続して送られてくるようになりました。
最初は「なにかの故障か?」と思いましたが、身に覚えがないのでこれは明らかに異常事態とようやく気がつきました。
すぐにドコモのカスタマーサポートに連絡して相談したところ、専門の担当者に転送され、事情を説明したところ、なんと!
「何者かが不正に入手したIDとパスワードのリストを元にドコモに不正アクセスし不正侵入攻撃をしかけている」
「不正アクセスに使われたリストに、私が使い回していたID、パスワードが含まれていて、dアカウントの情報と一致してしまった
つまり不正アクセスは成功し、アカウント乗っ取られて不正ログインされていた」
らしいということになりました。

4. 二段階認証のおかげで侵入は防ぐことができた

しかし幸いにも私は二段階認証を設定済でした。
犯人は私のdアカウントとパスワードを乗っ取り不正アクセスし、不正ログインにも成功したはずです。
しかしログインはできませんでした。
なぜなら、二段階認証の設定がされていたため、ドコモから私のスマホに送られたログイン通知に記載されていた「dアカウントのセキュリティコード」を入れないと、ログインが完了できなかったのです。
犯人はブログラムを使って不正ログインを操っているのでしょう。
最後の頃は何度も繰り返して不正ログインしてきて、数秒おきに「dアカウントセキュリティコード確認のSMS」が受信されました(右の図参照)。
私に「さっさと承認しろ!」と迫ってきているかのようです。
犯人の「乗っ取ったアカウントになんとしても侵入したい」との強い暗い意思が伝わってきて、とても怖かったです。
ドコモ側の指示で即座にパスワードを長く強力なものに変えると、攻撃はびたりと止まりました。以降は一度も不審なSMSは来ていません。
最初のうちは1日1回程度の不正ログインの試みだったが
犯人よりひっきりなしに届く「dアカウントセキュリティコード入力を求めるSMS」
数秒の間をおいて次々と不正ログインが試みられてエスカレートした。
どこかで使い回した簡単なパスワードを再び使ってしまった
という私の致命的なミスにより不正アクセスと不正ログインを許しておきながら「二段階認証のおかげで救われた」のです。

 

二段階認証はどうやって不正ログインを防ぐのか?

二段階認証が不正ログインを防ぐ仕組み

二段階認証とは何か?やさしく説明すると

  1. まず「本人しか知らないパスワードによるログイン」・・第1段階
  2. 次に「本人が確実に所有している登録済の機器からのログイン」・・第2段階

の2つの段階がそろってはじめて「本人だと確認(=認証)」をする仕組みです。別名では「多要素認証」とも言います。

他人が正しいパスワードを知っていても、本人のものでない機器(スマホやPC)からは、許可しない限りログインは完了できません。

私の上記のケースでは、「6桁のdアカウントのセキュリティコード」を入力してはじめて、第二段階目の認証が成立する」ことになりますので、犯人が私のパスワードを知っていても、ログインは成功しなかったのです。

二段階認証の設定の仕方

上記の図のように二段階認証を設定するには

  1. IDとパスワードを決める
  2. ログインに使う自分のスマホやパソコンなどの機器を登録する。

作業が必要となります。

機器を登録する方法はいろいろありますが、今はスマホのSMS受信を使ったり、専用のアプリを使う方法が多くなっています

慣れてしまえば簡単な作業ですが、これだけでほぼ完璧な安心が手に入ります。

詳しくは当プログの下記記事をご参照ください。

ブログ内の関連記事(新しいウィンドウで開きます)
パスワードもれても安全な二段階認証とは。その仕組みを徹底解説

アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました[…]

ブログ内の関連記事(新しいウィンドウで開きます)
二段階認証に自分のスマホやパソコンを登録させる方法をマスターしよう

二段階認証(二要素認証)とは、不正ログインを防ぎ絶対的な安全に繋がる優れた本人確認方法ですが、パスワードとセットとなる本人確認用のデジタル機器を登録する方法は少し複雑です。しかし慣れてしまえばどのサービスともほぼ同じなので迷うことなく設定で[…]

 

現在のおすすめは「dアカウントのパスワードを無効化」

現在のドコモの二段階認証の方式

今ではドコモのスマホの二段階認証は、

  • SMSでdアカウントのセキュリティコードを送る方法(本記事で紹介した方法)

に加えて、

  • ドコモAndroidスマホに内蔵されたアプリによる方法(次項で説明)~パスワードレス方式

が一般的になりました。

 

「内蔵アプリによってスマホそのものをパスワード代わり」とする方法とは

今では、ドコモはdアカウントのパスワード自体を無効にして、ドコモの認証をスマホ本体に組込んだアプリに任せ「本人のスマホの生体(指紋)認証や通知への回答だけでログインを認証する」方式をすすめています。
こうしておけば、「パスワード」も「dアカウントのセキュリティコードのショートメール」も不要になります。
パスワードはもちろん漏れたら終わりですし、ショートメール(SMS)も、仕組み上100%安全とは言い切れない部分もあります。
しかし「dアカウントのパスワードを無効」しておけば、ご自分のスマホさえ、他人に使われないようにしっかり管理さえしている限り、不正アクセスの恐怖からは解放されることができ、なにもデメリットはありません。
対応しているスマホをお持ちの方は、ぜひ「パスワード無効化(パスワードレス)」の設定を済ませてください
ドコモ以外も、次第にこの方式が今後の主流になりそうです。
パスワード無効化設定とは | dアカウント
パスワード無効化設定とは、dアカウントパスワードでの認証を無効化することで、リスト型攻撃などの不正アクセスを防ぐことができる仕組みです。パスワードのオンライン照合を行わない代わりに、スマートフォンの生体認証を使用します。
id.smt.docomo.ne.jp
 
https://id.smt.docomo.ne.jp/src/utility/passwordless.html
■NTTドコモ 「2段階認証とは」

スマホロックなどの安全対策は厳重に

しかしスマホそのものがパスワードとなる時は、スマホ自体が第三者に使われたり、スマホを監視する不正なアプリを入れられたりしてはどうしようもありません。
もうすぐ、健康保険証や運転免許証もスマホに内蔵されると言われていますが、今やスマホはコミュニケーションツール以上に、本人確認の鍵として重要です。
画面ロックや、各種暗号化など各種安全対策は、くれぐれもお忘れなくご設定ください
ブログ内の関連記事(新しいウィンドウで開きます)
絶対必要な画面とSIMカード2つのロック~iPhone/Android別スマホの安全対策は? その1

今やスマホはあなた本人を確認の鍵でもあります。もしもスマホをなくした時、悪用されたり、転売されないように備えるにはどうしたら良いか?先日「世界一受けたい授業」でも取り上げられた最重要ポイントが「スマホの画面とSIMカードの2つのロックの仕方[…]

スマホをロックするイメージ
ブログ内の関連記事(新しいウィンドウで開きます)
スマホの紛失・悪用を防止する絶対必要な事前設定~スマホの安全対策は? その2

今やスマホはあなたを証明する鍵でもあり「命の次に大切」です。そんな大切なスマホを万一紛失してしまったら。さらに悪用されたら、、、?頭が真っ白になってしまわないよう、デジタル終活に取り組むことを契機にしっかり準備しましょう。万全の備え[…]

スマホの紛失・悪用の防止

 

まとめ:
二段階認証さえしておけば不正ログインは完全に防げます!

二段階認証とは究極の安全策、本当に必要です。対応しているサイトは必ず設定しておきましょう

以上の私の体験談の通り、二段階認証とは、仮に「IDとパスワード」が流出しても、不正利用(アカウントの乗っ取りによる不正ログイン)を避けることができる究極の対策です

たったこれだけのことで、損害や余計な手続から救われます。

また大切なアカウントを継承する「デジタル終活~デジタル遺産とデジタル遺品の確実な継承」ためにも大切なアカウントは必ず二段階認証で守りましょう。

これであなたも継承する方にとってもデジタル資産が不正使用から守られるのです。

事実、Googleをはじめとする重要なサービスを提供している事業者は次々と二段階認証を採用しています。

また2019年7月5日にトップニュースとなったセブンペイの事故は、システムが二段階認証に対応していれば防げたはずです。

逆を言えば「大切な情報や資産決済を扱うサービスにもかかわらず二段階認証を採用していないものは使うべきではない」と言いきっても良いと思います。

当サイトの関連記事をしっかりご覧いただき、二段階認証の仕組みや仕方、そして重要性を正しく理解して、Amazon、Facebook、Twitter他の大切なアカウントにまだ二段階認証を未設定の方はすぐに設定してして不正ログインを防ぎましょう!

被害が続きたくさんの方が情報を求めて当ブログにおいでになります。公式サイトからの情報をもとに対応策を以下にまとめています。
偽SMSを見分ける方法を案内していますので引っかからないようご注意ください。
・「危険をあおるSMSはまず疑う」「文面を信じずサイトや問い合わせ先で確認」が原則です!
「ドコモを装ったフィッシングメール、不正アクセス、
不正ログインについての対策のまとめ(2019年7月21日)」
「スミッシング(=フィッシングSMS)詐欺メールの最新事例、手口と対策は?」

ブログ内の関連記事(新しいウィンドウで開きます)
イオンカードの不正利用事件の手口から正しいパスワード管理を知ろう

通販サイトを狙ったセキュリティ犯罪が続いています。2019年6月にはヤマダとコジマに続きイオンカードのサイトがパスワードリスト攻撃により不正アクセスされ、流出した情報から不正利用が広がり大きな被害を出してしまいました。どうしたら防げ[…]

膨大なリストからパスワードを盗み出す、パスワードリスト攻撃のイメージ
ブログ内の関連記事(新しいウィンドウで開きます)
対策待ったなし!LINEのセキュリティ実態調査からわかる、あまりに低いセキュリティ意識

2019年6月。LINEがユーザー対象に大規模なセキュリティ調査を実施し、残念ながらLINEユーザーの意識が極めて低い実態が明らかになりました。LINEは個人では最も使われているSNSで、プライバシーからペイメント支払まで、家族や友人の[…]

LINEのアカウントを乗っ取られて悲しんでいる