身に覚えのないdアカウントのセキュリティコード通知が届いた
本件については、NTTドコモの吉澤和弘社長から「海外からのリスト型攻撃が非常に増えているが、不正ログインは回避できている。お客さまにはIDとパスワードを見直してほしい」というコメントが出ている。
わたしのdアカウントのIDは携帯の電話番号(旧docomo ID)。パスワードはdアカウント専用のパスワード。そんな組み合わせはdアカウント以外に使っていない(他社から漏れた可能性は低い)。しかも、多数の被害者がいることから、ID、パスワードがリストとして漏れているのではないか?と疑ってしまった。
FOMA(iモード接続)契約で、dアカウントは毎月10日の利用料金を確認する時か、ドコモオンラインショップ、iPad用公式アプリ(My docomo、dポイントクラブ)にしか使っていない。ちょっと漏れる場所に心当たりがない。
→検証のため、dアカウントから「信頼できる端末(ブラウザ)」を全部削除したところ、ブラウザでID(電話番号)を入力した時点でセキュリティコードがFOMA端末に通知されました(パスワード入力前に届く!)。そして、わざと誤ったdアカウントのIDを入力すると「IDが誤っています。」と赤色のエラーメッセージが表示されました。このことから、今回電話番号でリスト攻撃をした人は、NTTドコモの有効な電話番号の一覧を取得した可能性が高いです。今後、SMSを使ったフィッシング攻撃が来るかもしれない。
手遅れだけれど、dアカウントのIDは電話番号から適当な文字列に変更しました。