楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき:石野純也のMobile Eye(2/3 ページ)
緩いeSIM再発行の2段階認証、メールアドレスの変更も可能
一方で、楽天モバイルもeSIMの再発行には、my楽天モバイルへのログイン以上のセキュリティをかけている。当初は、ボタンをクリックしていくだけでできたeSIMプロファイルの再発行だが、現在は、登録したメールあてにワンタイムパスワードが送付される仕様になっており、my楽天モバイルにログインできたからといって、eSIMプロファイルの再発行がすぐにできてしまうわけではない。
また、登録したメールアドレスを変更する際にも、変更前のメードアドレスに送られたワンタイムパスワードの入力が必要になる。フィッシングなどでメールのアカウントを不正に入手されれば突破されてしまうものの、楽天IDとパスワードが漏えいしただけでは、eSIMプロファイルの再発行はできない……と言いたいところだが、必ずしもそうではないことが分かった。
実は、メールアドレスの変更は、オペレーターにチャットで依頼してもできてしまう。筆者が試した際に聞かれたのは、氏名や電話番号など、いずれもmy楽天モバイルに記載されている情報。やりとりが終わると、楽天モバイル側から強制的にメールアドレスが変更され、ワンタイムパスワードの入力は省略できた。
これは、変更前のメールアドレスがサービス停止などで利用できなくなってしまった場合の措置だが、そのように偽ることでeSIMプロファイルの再発行に必要なワンタイムパスワードが送られてくるメールアドレスを変更ができてしまいかねない。
変更前のメールアドレスが利用できない場合、オペレーターがワンタイムパスワードなしで変更をかけられる。筆者も試してみたが、簡単な本人確認の情報で新しいメールアドレスに変えることができた。本当にメールが受信できないときは便利だが、セキュリティの穴になりそうだあとは、普段通りの手順でeSIMプロファイルを発行するだけで済む。my楽天モバイルを突破されてしまえば、eSIMプロファイルの再発行は容易というわけだ。my楽天モバイルを家、eSIMプロファイルを金庫にしまった財産とするならば、合鍵の作製が比較的容易な玄関の中に、金庫を解錠するためのヒントをちりばめているようなもの。玄関を突破されれば、中の金庫も比較的空けやすい状態だったといえる。
少なくとも、メールアドレス変更の際には、より本人確認を厳しくする必要がある。楽天モバイルによると、「eSIM再発行のお手続きをしていただいたお客さまには、当社より確認のご連絡をさせていただく場合や、eSIMの再発行を保留させていただく場合がある」というものの、この措置が発動する基準は不明。100%防げるかどうかの保障はなく、怪しい動作として検出されなければ、突破されてしまう恐れもありそうだ。
関連記事
楽天モバイルのスマホが乗っ取られる事案 同社が回線停止や楽天ID/パスワード変更などを呼びかけ
楽天モバイルは2024年4月23日から、eSIMを不正に利用される事案があったとして、利用者に注意喚起を行っている。eSIM(Embedded SIM)はネットワーク経由で契約者情報(プロファイル)を書き換えたり、プランを変更したりできるのが利点。eSIMの再発行もオンラインで行える場合が多い。
スマホの新認証方式「パスキー」を徹底解説 今後は“パスワードレス”が当たり前に?
今後、Webサービスから「パスワード」がなくなるかもしれない。今後は「パスキー」に取って代わるかもしれないというのが今回の話題だ。
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceが現状を説明。既に70億を超えるオンラインアカウントがパスキー利用できる。パスキーを使うことで、例えばGoogleはログイン成功率が4倍になり、ログイン時間が半減したという。
「eKYC」「2要素認証」「2段階認証」は万全? スマホ決済や携帯のセキュリティ対策をおさらい
2020年に銀行口座からキャッシュレス決済事業者への不正出金が一斉に判明した問題で、銀行や決済サービス事業者がセキュリティ対策を強化した。その中で、頻繁に話題に出てくるのが「2要素認証」と「2段階認証」、そして「eKYC」だ。不正へのセキュリティ対策として、万全ではないし唯一の解でもないが、各社が採用を進めるこれらの技術についてまとめた。
eSIM普及の起爆剤に? iOS 16の新機能「eSIM クイック転送」のインパクトと課題
iOS 16の新機能「eSIM クイック転送」を利用すると、新旧のiPhoneがiCloudかBluetoothでつながり、eSIMプロファイルが新しいiPhoneに移ってすぐ通信が可能になる。eSIM クイック転送はキャリアの対応が必要になり、現時点では利用できるキャリアはKDDIと楽天モバイルの2社にとどまっている。今後、この機能は広がっていくのか。
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- Apple Watchを外出時にほぼ持ち出さなくなった理由 (2024年05月19日)
- ドコモが「dポイントクラブ」を改定する真の狙い “d払い併用”でも損する場合あり (2024年05月18日)
- なぜ? ドコモのスマホから消えた「docomo」ロゴ その理由を聞いた (2024年05月17日)
- 「Xperia 1 VI」が大きな変貌を遂げたワケ 実機に触れて感じた「進化」と「足りないところ」 (2024年05月18日)
- 「iPhone SE(第3世代)」が5500円、「iPad(第6世代)」が1円に ゲオモバイルが中古端末のセール、UQ mobileとセットで (2024年05月17日)
- Googleから「Pixel 8a」登場 一番おトクに変えるのは直販? でも見方によってはキャリアがおトクかも (2024年05月18日)
- 新型「iPad Pro」「iPad Air」を購入する理由/購入しない理由:読者アンケート結果発表 (2024年05月17日)
- ダイソーで110円の「スマートフォンレンズセット」を半信半疑で試してみる 「魚眼」は実用可能 (2024年05月19日)
- 新しい「iPad Pro」と「iPad Air」どちらを選ぶ? 実機を試用して分かった“違い” 一新されたMagic KeyboardやApple Pencil Proも試す (2024年05月14日)
- 寒い時期にApple WatchでSuica決済が使えなかったワケ 代替手段はある? (2024年02月23日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。