一方で、楽天モバイルもeSIMの再発行には、my楽天モバイルへのログイン以上のセキュリティをかけている。当初は、ボタンをクリックしていくだけでできたeSIMプロファイルの再発行だが、現在は、登録したメールあてにワンタイムパスワードが送付される仕様になっており、my楽天モバイルにログインできたからといって、eSIMプロファイルの再発行がすぐにできてしまうわけではない。
また、登録したメールアドレスを変更する際にも、変更前のメードアドレスに送られたワンタイムパスワードの入力が必要になる。フィッシングなどでメールのアカウントを不正に入手されれば突破されてしまうものの、楽天IDとパスワードが漏えいしただけでは、eSIMプロファイルの再発行はできない……と言いたいところだが、必ずしもそうではないことが分かった。
実は、メールアドレスの変更は、オペレーターにチャットで依頼してもできてしまう。筆者が試した際に聞かれたのは、氏名や電話番号など、いずれもmy楽天モバイルに記載されている情報。やりとりが終わると、楽天モバイル側から強制的にメールアドレスが変更され、ワンタイムパスワードの入力は省略できた。
これは、変更前のメールアドレスがサービス停止などで利用できなくなってしまった場合の措置だが、そのように偽ることでeSIMプロファイルの再発行に必要なワンタイムパスワードが送られてくるメールアドレスを変更ができてしまいかねない。
あとは、普段通りの手順でeSIMプロファイルを発行するだけで済む。my楽天モバイルを突破されてしまえば、eSIMプロファイルの再発行は容易というわけだ。my楽天モバイルを家、eSIMプロファイルを金庫にしまった財産とするならば、合鍵の作製が比較的容易な玄関の中に、金庫を解錠するためのヒントをちりばめているようなもの。玄関を突破されれば、中の金庫も比較的空けやすい状態だったといえる。
少なくとも、メールアドレス変更の際には、より本人確認を厳しくする必要がある。楽天モバイルによると、「eSIM再発行のお手続きをしていただいたお客さまには、当社より確認のご連絡をさせていただく場合や、eSIMの再発行を保留させていただく場合がある」というものの、この措置が発動する基準は不明。100%防げるかどうかの保障はなく、怪しい動作として検出されなければ、突破されてしまう恐れもありそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.