ドコモオンラインショップが購入時の「2段階認証」を必須に 不正ログイン対策で

[井上翔，ITmedia]

　NTTドコモは8月15日から、同社のWeb直販サイト「ドコモオンラインショップ」における商品購入手続き時、または申し込み履歴確認時の「2段階認証」を必須化した。同サイトにおいて不正ログインによる端末の詐取が行われたことに伴う措置だ。

ドコモオンラインショップ

端末詐取は約1000件　「2段階認証」未設定ユーザーが狙われた

　ドコモオンラインショップで商品を購入する場合、「dアカウント」が必須となる。

　ドコモ広報部によると、同サイトでは7月下旬からdアカウントでの不正ログインが約1800件発生し、そのうちの約1000件において端末の詐取が行われたという。詐取された端末には「iPhone X」など10万円超の高額なスマートフォンも含まれる。

　不正ログインはいわゆる「パスワードリスト型攻撃」で行われたと見られ、被害にあったアカウント（ユーザー）はいずれも「2段階認証を設定していなかった」（広報部）。

「2段階認証」とは？

　Webサイト・サービスへのログインの際に、IDとパスワード以外にもう1つのログイン情報を要求すること。主に以下の方法が用意されている

• メール・SMS：ログイン操作をするとメールやSMSが送付される→メール・SMS記載のセキュリティコードを入力するとログイン完了
• コードアプリ：ログイン操作後、セキュリティコードの入力を要求される→スマホ・タブレットの「コードアプリ」が表示しているコードを入力してログイン
• 電話：ログイン操作をすると電話がかかってくる→音声で案内されるコードを入力してログイン

　同サイトで購入した端末は「宅配便」「コンビニ」「ドコモショップ」のいずれか受け取れる。機種変更の場合、前二者の方法を使うと自宅や請求書送付先以外の住所でも受け取れるため、これらの受け取り方法を悪用された可能性がある。

dアカウントの「2段階認証」を呼びかけ

　今回の端末詐取問題を受けて、先述の通りドコモオンラインショップでは一部手続きにおいてdアカウントの2段階認証を必須とした。dアカウントにおける2段階認証の詳細は、dアカウントのポータルサイトに掲載されている。

• →2段階認証とは（dアカウントポータル）

dアカウントの2段階認証解説サイト

　記事執筆時現在、dアカウントではメールまたはSMSによる「セキュリティコード」認証に対応しているが、8月20日10時からは「dアカウント設定」アプリによる2段階認証にも対応する。アプリによる認証の場合、事前に指定したスマホ・タブレットに出てくるポップアップ表示で「はい」を選択するだけでログインできる。

　アプリによる2段階認証を利用する場合、dアカウント設定アプリを最新バージョンにする必要がある。ドコモが販売するAndroid端末（「Nexus 5X」を除く）の場合は、端末設定内にある「docomo Application Manager（ドコモアプリ管理）」から最新アプリがあるかどうかをチェックしよう。ドコモ以外のAndroid端末（Nexus 5Xを含む）やiOS端末（iPhoneやiPad）を利用している場合は、以下のURLからアプリをダウンロードしよう。

• →Android版（ドコモ以外の端末）
• →iOS版（キャリア問わず利用可能）

dアカウント設定アプリ（ドコモAndroid版）