容易に類推できるパスワード

以前に発生したdアカウントへの攻撃は、パスワードの脆弱性を狙われていた可能性が高い様です。

www.fukuishimbun.co.jp

　他人のＩＤやパスワードを使って不正アクセスし、携帯電話の決済システムを使ってインターネットで商品購入を繰り返したとして福井県警に逮捕された女が、名前や誕生日を示すアルファベットと数字を適当に組み合わせてＩＤやパスワードを探し当てていたことが９月１１日、福井地裁での初公判で分かった。全国に被害者がおり、福井地検は追起訴する方針。

（福井新聞記事より引用）

◆キタきつねの所感

現代人のパスワード管理は面倒である。それは事実ではありますが、アカウントに決済や、商品券交換など、金銭的な魅力があるものが紐づく場合、そこを狙ってくる人がいる事にもっと敏感でなければならないかと思います。

NTTドコモのｄアカウントは、今でこそ２段階認証が強く推奨されていますが、ｄアカウントが侵害されて、iPhoneXが大量に不正購入された事件があるまでは、単なるオプションにすぎませんでしたので、生体認証（FIDO認証）までオプションで使えたにも関わらず、多くのユーザは無防備であった事が露呈しました。

www.itmedia.co.jp

改めて記事を見ると、今回起訴された岐阜県の無職女性（２０歳）が犯行に及んだとされるのは、今年の４月までとなっています。　

起訴状によると２０１８年１２月～１９年４月、自分のスマートフォンからＮＴＴドコモの「ｄアカウント」に他人３人のＩＤで不正にログイン。この３人のキャリア決済を使い、フリーマーケットアプリ「メルカリ」などで計１３回にわたり商品や音楽データ約１２万６千円分を購入したとされる。３人と面識はなかった。

（福井新聞記事より引用）

つまりiPhoneXの不正購入問題（２０１８年８月頃）以降である事がわかります。違う見方をすれば、去年の不正購入問題がニュースを聞いたであろう犯人が、iPhoneX（新機種）購入ではなく、ｄアカウント払いという金銭的な「出口」を狙ってきたと言えるかも知れません。

この間NTTドコモはユーザ啓蒙で、２段階認証への誘導を盛んに行ってましたが、（ユーザ数が多いので仕方が無い面もありますが）ユーザ側が不作為でIDとパスワードのままにしている所を襲われた、そうした背景なのかと思います。

攻撃の中身を考えてみると、おそらくIDは携帯電話番号のままであった方、あるいは単純に名前を使っていた方が狙われたのかと思います。IDが簡単であった場合、２段階認証オプションを設定してないユーザは、パスワードしか「ｄアカウント」を守るものが無い事になる訳ですが、

　被告は、不正アクセス禁止法違反と電子計算機使用詐欺の罪に問われた岐阜県の無職女（２０）＝犯行当時（１９）。人の名前を示すアルファベットの文字列に続き、０１～１２と０１～３１を組み合わせた数字４桁を適当に入力し単純なＩＤ、パスワードを探し当てていた。

（福井新聞記事より引用）

数字の意図を書かない記者さんの配慮を、スルーして書いてしまいますが、被害を受けたユーザは、アルファベット＋生年月日（注：０１~１２が月、０１~３１が日）でパスワードを設定している、すなわち

セキュリティ意識は持ち合わせない、残念なｄアカウントユーザだった事を示唆しています。

もちろん、NTTドコモは以前から「生年月日をパスワードに使うのは止めてください」と説明はしています。 f:id:foxcafelate:20190914131359p:plain

ですが、システム上は出来てしまっていたのだと思います。NTTドコモが持つユーザの個人情報の中には、生年月日や住所情報も含まれています。難しいのかも知れませんが、パスワードに生年月日を設定するのを「遠慮して下さい」ではなく、システムで登録させない様にすることが必要なのではないでしょうか？

それが出来ないのであれば、折角２段階認証を早い段階から導入している訳ですから（※ドコモは生体認証＝FIDOの大規模実装をした先駆者です）、２段階認証（生体認証）をおすすめするレベルから一段階上げて、必須にする・・・その位の事をしても良い時期に来ているのではないでしょうか。

f:id:foxcafelate:20190914131928p:plain