『【緊急】dアカウントユーザー情報漏洩 2段階認証は必須』 の クチコミ掲示板

[Jailbird]

本来はdアカウントとdocomoオンラインショップの問題なので、スマートフォンはカテゴリー違いかもしれませんが、一番ユーザーが多いと予想出来るここに書きます。

【ドコモユーザー、勝手にiPhone Xを購入される。1億4千万円】2018年8月14日
https://smhn.info/201808-docomo-was-stolen-iphonex-256gb


【ドコモオンラインショップでiPhone不正購入被害? 考えうる被害と対策/2段階認証設定方法】
https://mvno.xsrv.jp/docomo/online-unauthorized-order/

docomoユーザーに限らずdアカウントの保持者となるので、他社契約でも可能性があります。

そもそもオンラインショップが利便性を追求し過ぎて、本人認証と受け取りがザル可してしまった事態ですので、ユーザー側の責任は薄いのですが、アカウントの管理はユーザー側に責任があります。

2段階認証の設定と確認はこちら
https://id.smt.docomo.ne.jp/src/utility/twostepauth.html

から行えます。

現時点で約1,000台のiPhoneXが不正取得されています。

docomo側はiPhoneXのコンビニ受け取りを停止し、この件の請求は行わない旨、アナウンスしていますが、巡りめぐってどこかで回収をするならば、ユーザーの不利益となるのであまり良い話ではないです。

書込番号：22030263　スマートフォンサイトからの書き込み

[infomax]

ドコモって親方日の丸体質抜けない
セキュリティざるなのは今に始まったことではないでしょう
他社に乗り換えを考える良い機会かも

書込番号：22030603　スマートフォンサイトからの書き込み

[まっちゃん2009]

先ほどドコモから不正アクセス対策のお願いが出ました。
https://www.nttdocomo.co.jp/info/notice/page/180814_00_m.html

書込番号：22030852　スマートフォンサイトからの書き込み

[P577Ph2m]

すでにドコモ側で対策を講じており、現状では危険はありません。
パニックになる必要はまったくありません。
http://www.itmedia.co.jp/news/articles/1808/13/news084.html

この手の不正アクセスは、ドコモサイトに限らず、どんなサイトでも起きますし、実際、起きています。
したがって、可能であれば2段階認証をした方が、セキュリティ上、好ましいのは確かですが、同時に使い勝手は落ちます。
この辺は悩ましいところです。

書込番号：22030928

[Jailbird]

2段階認証を掛けていないユーザーのdocomoオンラインショップ利用不可で、今回の詐欺案件は防げましたよね。

生まれもっての体質はもちろんですが、グループ内で縦割りの縄張り意識が悪い方に出たように思います。

dポイントは共通ポイント化され、契約ユーザーだけの話ではありませんが、今回は機種変更手続きの脆弱性(身分証提示を不要とした)を利用しているので、docomoユーザーだけの話になります。

KDDIもソフトバンクも共通ポイント化(ソフトバンクはTポイントに移行)していますが、何故docomoで起きてしまったのか。

グループ内運営会社がお互いに牽制しあうも、一体ではなくバラバラに動いていたのではないかと思っています。

もちろん2段階認証の無いユーザーもそうですが

・購買時の返信メールアドレスを自由に設定→ SMSオンリーにするべき

・支払いにドコモ払い(回線・端末と合算)可能→ クレジットカードならセキュリティーコードが最後の砦に

・登録住所以外、コンビニ受け取りが可能→ Amazon等でも採用済み、受け取り時の認証が必要です バーコード読めるから実用化可能でしょう

そもそも3ステップくらいで大した認証も通らず、14万円の買い物が出来るシステムがおかしいのであって、これはどこでも起こりうる案件だと思います。

他社へ乗り換えよは、便乗したアンチの発言でしょう。

しかし酷いね。

書込番号：22030940　スマートフォンサイトからの書き込み

[ユニコーンII]

HUAWEIの利用規約がOKなのに、
この程度の漏洩や悪用を気にしたり、
セキュリティ云々とおっしゃる方々の不思議さよ。

書込番号：22031001　スマートフォンサイトからの書き込み

[舞来餡銘]

docomoは基地局はHUAWEI製ですね

根っこは同じ様な問題

アカウントの2段階認証以前に基地局がHUAWEI、ZTE製だとその内アメリカから変更しろ、言われるかもね

書込番号：22031429　スマートフォンサイトからの書き込み

[マグドリ00]

情報ありがとうございます。
以前、 テレビのニュースでAmazonの大規模詐○事件を知り、「2段階認証」の重要性を知りました。
既にGoogle、Apple、Microsoft、Amazon、Yahoo!IDでは2段階認証を設定しておりスマホの認証アプリで2段階認証を行うため、強固なセキュリティだと思います。

私はドコモユーザーではありませんが、dカードを所有しておりdポイントクラブ会員でもあるのでdアカウントについても2段階認証の導入を検討します。

書込番号：22048775　スマートフォンサイトからの書き込み

[うみのねこ]

2段階認証したって、それに合わせて詐欺グループが考えて対応してくるからいたちごっこ。
最終的には本人のリテラシーが一番大きい。そこを上げないと同じことの繰り返し。
今のままじゃ、利便性を下げ・かつ複雑化しているので、ユーザーにとってもきついね。

書込番号：22048797　スマートフォンサイトからの書き込み

[マグドリ00]

＞うみのねこさん

2段階認証は危ないということでしょうか？
認証アプリで6桁の乱数コードを表示させ、1分以内に入力する必要がありますから、この僅かな時間内に犯人が盗み出すのは不可能だと思いますが？

書込番号：22048850　スマートフォンサイトからの書き込み

[Jailbird]

誰も触れていないHUAWEIの話になったので､放置しようと思いましたが続けますね。

ようは完全な防御を期待するのではなく、悪意のあるグループにとって面倒くさい相手になれということです。

SMS認証もモバイルネットワークへのクラックが可能な限り、完全ではありませんよね。
脅迫されているような状況でもない限り、一応の機能は確保出来ます。
Googleなどの乱数アプリも同じです。

で、区分しなくてはいけないのは使い回しでリスト攻撃された【dアカウント】と【オンラインショップ】の問題なので、dカード自体へは波及しません。
(問題は皆無ではないですがここへは届かないはず)

dアカウントがクラックされ､バレて困るのは主に次の3点

・携帯電話番号
・住所
・氏名/ 性別/ 年齢

勘の働く人なら判ると思いますけど､他サイトでID/Passの代替手段になり得る情報です。

あとは番号ばれで､特殊詐欺の加害者側に知らぬ間になっていても不思議ではないです。
まぁそんな直ぐに足が付く方法は行わないとは思いますけど。

少額詐欺を働く相手からみれば､解除に時間のかかる相手は嫌います。

完全な防御はまず無いでしょね。
そこの議論ではなく､出来る事を全部やるというのがベストです。

書込番号：22049608　スマートフォンサイトからの書き込み

[マグドリ00]

dアカウントの2段階認証を設定しました。
「dアカウント設定」アプリをiPhoneへインストールしました。
しかし2段階認証をする場面になってもアプリが起動しません。
dアカウントのメールアドレス宛に送られてくるセキュリティコードで認証できました。
https://id.smt.docomo.ne.jp/src/utility/twostepauth.html
ここの説明では

・アプリによる2段階認証をご利用頂ける端末は、dアカウント設定対応端末と同じとなりますが、以下の端末は対象外となります。
・ドコモのAndroid端末で型番が"F","G"（2015年夏モデル以前）の端末
・au/SoftbankのAndroid端末
・iPhone5C、iPad Air、iPadmini

となっており、手持ちのiPhoneはドコモ端末ではなくSIMフリーです。
またドコモ回線は持っておりません。
SIMフリーiPhone＋MVNO回線ではアプリによる2段階認証は使えないのでしょうか？

書込番号：22077765

[Jailbird]

マグドリ00さん

dアカウントはドコモユーザーでなくとも開放されたアカウントのはずですが、ここの仕様はドコモ回線ユーザー以外は別ルートとなるようです。

先のリンクページにありますが、セキュリティー途中解除となるケースに

--------------------------------------------------
【2段階認証の設定が自動で解除される場合】

"ドコモと回線の契約を解除するなど、特定の契約変更を行った場合、セキュリティコードなどが届かなくなり、ログインが出来なくなることから、自動で2段階認証の設定が解除されます。※
その場合、dアカウントの連絡先メールアドレスに、設定が解除された旨のメールが届きます。"

--------------------------------------------------

とありますので、SIMが異なる場合登録メールアドレスにコードを送る仕様みたいです。
登録番号に基づくSMSで十分だと思いますが、システムの怠慢、使えない仕様という事ではないでしょうか？

書込番号：22082210

[マグドリ00]

＞Jailbirdさん

ありがとうございます。
ドコモ回線がない場合の2段階認証は登録メールアドレスでのワンタイムパスワード認証になりアプリが使えないみたいですね。
いずれにせよ、2段階認証のほうがセキュリティ的には強固になるはずなのでこのまま使っていくことにします。

なお、dmenuのトップページに
https://smt.docomo.ne.jp/
「dポイントご利用時のお願い」
と言う赤文字のリンクが出来ていて、8月30日付けで
https://www.nttdocomo.co.jp/info/notice/page/180830_00.html
dポイントを安心してご利用いただくためのお願い
と言う告知がありました。
ポイントの利用履歴を定期的に確認する指示の他、2段階認証にも触れております。

書込番号：22082504　スマートフォンサイトからの書き込み

[マグドリ00]

dアカウント2段階認証

先ほど、dカードプリペイドで買い物をしてPCにてユーザーページにアクセスしようとしたら
https://d-card.jp/prepaid/
ここのページでログインしてdアカウント（登録メールアドレス）とパスワード入力すると2段階認証が作動しiPhoneに通知が届きました。
タップすると添付画面のように「はい」「いいえ」の選択肢が表示されました。
「はい」をタップするとPC画面が先に進んで生年月日入力画面となりユーザーページが表示できました。

SIMフリーiPhone＋MVNO（0sim)でもアプリによる2段階認証が正常に起動するようです。
前回起動しなかった原因は不明です。

書込番号：22088950

[Jailbird]

【追記 2018年9月12日】
先月あたりからdポイントカードの偽造(ポイントの不正利用)が止まっていない模様。二段階認証もドコモの仕様のせいで無力化されるようです。

見覚えの無い利用履歴など、管理ページから定期的にチェックした方がよさそうでね。

dポイントに集中させ溜め込んでいる方は、等価交換(手数料が発生する場合あり)の移動先を探すか、解決するまでdポイント自体を止める方法がいいと思います。

dポイントの停止申し込みは
0120-208-360
で行えます。

この不正利用の方法は裏の人間のみならず、一般人でもかなり簡単な手法で行えるようです。
※ セキュリティー仕様の杜撰さに、これ以上情報は示せません

書込番号：22103597　スマートフォンサイトからの書き込み

[マグドリ00]

> 二段階認証もドコモの仕様のせいで無力化されるようです。

dアカウントが乗っ取られるということでしょうか？
現在使っているdアカウントはメールアドレス形式でこのメールアドレスはこのdアカウント専用に使っており誰にも知らせておらず流出の可能性は低いと見ています。
仮にメールアドレスがバレても複雑なパスワード（アルファベットと数字と記号のランダムな組み合わせ）を使っており更にこれらがバレたとしても 二段階認証を設定しています。

この 二段階認証が無力化されるというのはどういうことでしょうか？

書込番号：22103982　スマートフォンサイトからの書き込み

[Jailbird]

マグドリ00さん

dカードというよりdポイントの不正利用が正しいと思います。
内容に関しては模倣を防ぐため、現時点でこのような場所に掲示する事は出来ません。

ドコモ(dポイント)側もこの件は把握しており
(8/30初掲載、9/10更新)
https://www.nttdocomo.co.jp/info/notice/page/180830_00.html

有効な対策が済めばまたアナウンスされると思います、が周知が徹底されていませんので差し障りの無い程度で追記しました。

中学生でもできる、といえば分かりますよね。

書込番号：22104217　スマートフォンサイトからの書き込み

[Jailbird]

昨日の既報分です
【ドコモの「dポイント」で不正利用、3万5000枚のカードで利用停止】
https://k-tai.watch.impress.co.jp/docs/news/1142716.html


ここでは経緯は示されていますが、最後の手口に触れていませんので
https://ameblo.jp/pointtoushi/entry-12403505705.html

印字部分をアスタリスクで埋めるのが普通だと思っていました。

書込番号：22105295

[sandbag]

＞Jailbirdさん
dポイントカードを家族で回線ごとに登録して共有してる人は多数いると思うので、他社のポイントに交換するか、最低限代表回線以外のポイント利用拒否設定したほうが良いでしょうね。

https://dpoint.jp/ctrw/web/instruction/pointuse_setting.html

書込番号：22105354　スマートフォンサイトからの書き込み

[Jailbird]

sandbagさん

単なる識別子(数字列）が認証に代わる仕組み、末端の加盟店の管理システムが性善説に基づくザル仕様…。
「無理ゲーだろコレ」 となりますよね。

家族単位とか、マイルの受け皿に指定しているユーザーは移動 or 停止が現時点では最善です。

ローソンに対してのリスト総攻撃→ ID/PW漏れから始まったようなのですが(ローソンはユーザーPWのリセットを実施済み・変更を呼び掛けた)
自己防衛が及ぶ範囲とそれ以外では意味が違いますもんね。

dポイント側では被害にあったIDの凍結と、ユーザーに対しての全ポイント補填(決定済み)を行っているようです。

Twitter界隈では裏が取れていない未確認情報が多いので、確証が取れる情報だけを得てください。

個人的には(やられたとしても)1千ポイント程度なので痛くはないのですが、気持ち悪い話ですよね。

書込番号：22105537

[マグドリ00]

リンク先拝見しました。
dアカウントが乗っ取られたわけではなく、dポイントカード番号が流出するだけでポイントが盗まれるので、dアカウント のパスワードや2段階認証は全く役に立たないのですね。

しかしバーコードを提示してポイントで買い物をするのはdポイントに限らず、他のポイントカードでも同じなのでポイントカード番号が盗まれると不正利用されてしまう恐れがありそうですね。
Tポイントや楽天スーパーポイント、Ponta、WAON POINTなどは大丈夫ですかね？

書込番号：22105649　スマートフォンサイトからの書き込み

[Jailbird]

マグドリ00さん

まだ判っていない部分も多いので推測は危険なのですが、なんとなく見えてきた部分を

・ dカードをアプリを介する(通常は非接点ICを経由、利用時はワンタイムパスワードでシェイク)利用では、加盟店従事者が悪意のある取得を行う場合以外は大丈夫(みたい)

・ プラ(紙？)のカードでバーコード読み取りを行った場合、認証がナンバー固定(しかも総当たりで推測可能）なので、リスクが大きくなる

・ 発端は(おそらく)ローソンサーバーの不正ログインだと思われる(← ニュースで加盟店側と表現、ローソンは即時全ユーザーのPWリセットを敢行、被害の最小化に努めた)

その他のポイント陣営は直接ローソンと乗り入れていませんので、おそらく今回の件では影響が及ばないと思います。
が、潜在的リスクがあるのか・無いのかは、こちらでは分かりませんし、分かったとしてもどうしようもないです。

今年の春時点でのポイント陣営の相関です
https://dime.jp/genre/526689/

図で示された上部の、ローソンを中心とした水平方向がやられたという事です。
※ Ponta≒リクルート、JALマイル、dポイントはチェックしておいた方がよさそう
https://twitter.com/tym_akira/status/1037320243691970560

カードにICを組み込めばもうちょっと何とかなったとは思います、今となってはあとの祭りですよね。

書込番号：22105745

[マグドリ00]

https://www.nikkei.com/article/DGXMZO35304710T10C18A9000000/
本件に関して日経xTECHで関連記事がありましたが、d POINT CLUBのユーザーページでは残高が表示されたので自分のdポイントは被害に逢ってないようです。
ただ、記事で気になるのは実際に買い物をすると「メッセージR」で通知されるとのことですが、ドコモ回線を持ってないので（契約回線はMVNOの0sim）メッセージRを受信できません。
万一不正利用されたとしても通知を受け取れないので気付くのが遅れてポイント残高の全額を盗まれるなど被害が拡大する恐れがありますね（泣）。
別スレにも書きましたが非ドコモユーザーを排除する姿勢は頂けません。

ただ、今回の問題は限定的なもの（約3万5000件）でdポイント利用者全体から見れば非常に少ない割合なので直ちに全体に波及するとは考えにくいです。
ユーザー側の防衛策としては

・カードの盗難には最大限の注意を払う
・他人にはdポイントカード番号を絶対に教えない

などを心掛ければ十分ではないでしょうか？
パニックになったり慌てて利用停止する必要は全くないでしょう。

書込番号：22107062

[マグドリ00]

> この不正利用の方法は裏の人間のみならず、一般人でもかなり簡単な手法で行えるようです。
> ※ セキュリティー仕様の杜撰さに、これ以上情報は示せません

今回の流出事件はあるdポイント加盟店のWebが攻撃されたことで流出し、ドコモでは既に対策したと言っています。
当然dポイント全加盟店に対しても対処し、犯人グループのWeb攻撃への対応は実施済みと思います。

「一般人でもかなり簡単な手法で行える」
と言うのはどういうことですか？
他人のdポイントカードを盗んだりしない限り不可能だと思いますが？

> dポイントに集中させ溜め込んでいる方は、等価交換(手数料が発生する場合あり)の移動先を探すか、解決するまでdポイント自体を止める方法がいいと思います。

まだ解決に至ってないということですか？
dポイントは積極的に溜めていて既に数万ポイントの残高があります。
私はまだdポイントの利用停止はしてませんが、今だに脅威が去っていないのなら直ちに利用停止したいと思います。

書込番号：22109415

[sengoku0]

＞マグドリ00さん

>ユーザー側の防衛策としては
>
>・カードの盗難には最大限の注意を払う
>・他人にはdポイントカード番号を絶対に教えない
>
>などを心掛ければ十分ではないでしょうか？

普通にレジでdポイントカードを提示する以外、他人には明にdポイントカード番号を教えていない状況でも
dポイントカード番号の利用停止措置の対象となりましたよ。

dポイントクラブには複数のdポイントカードを登録しており、
ドコモからdポイントカード番号の利用停止措置を行った旨のメールを受信したため
151へ連絡し停止措置の対象カードを確認しております。　
（3枚登録しその内普段普通に使用している1枚が停止措置対象でした）

書込番号：22109445

[マグドリ00]

＞sengoku0さん

お持ちの３枚のうち１枚で不正利用があったとのことですが、
https://k-tai.watch.impress.co.jp/docs/news/1142716.html
ここの記事に書かれている、
「とあるdポイント加盟店のWebサイトへ不正利用があった」
に該当するのではないですかね？
これに対してはドコモでは既に対策したとのことで今後同じ手口での不正は発生しないはずです。

その利用停止になった１枚の残高は全額が補償されたのでしょうか？

書込番号：22110462

[マグドリ00]

ローソンアプリ更新内容

> ・ 発端は(おそらく)ローソンサーバーの不正ログインだと思われる(← ニュースで加盟店側と表現、ローソンは即時全ユーザーのPWリセットを敢行、被害の最小化に努めた)

私もローソンIDを持っており、ローソンからパスワードリセットしたから再設定せよとのメールを9月10日(月) 14:37 に受信しております。
（以下、一部抜粋）
−−−−−−−−−−−−−−−−−−−−−−−−−−
昨今、悪意ある第三者によって他のサイトから不正取得したメールアドレスとパスワードを流用し、別の複数サイトでログインを試みるという、不正アクセス事例が多発しております。

ローソンIDサイトにおいても、先日来主に海外のIPアドレスから同様の手法にて断続的に不正ログインが試みられております。

今後も引き続きこのような不正アクセスが発生する可能性があることから、大変恐縮ではございますが、会員の皆様のパスワードを9月10日（月）14時をもってリセットさせていただきました。
お客様には大変お手数をおかけしますが、ログインいただく際にパスワードの再設定をお願い致します。
−−−−−−−−−−−−−−−−−−−−−−−−−−
この文面で気になるのは「海外のIPアドレス」と書かれており、（犯人グループは外人？）この総当たり攻撃が様々なサイトで行われているようです。
ローソンのサーバー自体に脆弱性があって流出したわけではないようですね。

> 単なる識別子(数字列）が認証に代わる仕組み、末端の加盟店の管理システムが性善説に基づくザル仕様…。
> 「無理ゲーだろコレ」 となりますよね。

おっしゃる通りですね。
加盟店のアルバイト店員などが不正にポイントカード番号を盗み取ることも考えられます。
気になったのはPontaの仕様で私の場合、自己防衛の為にプラスチックカードではなくAndroidのモバイルPontaを使ってます。
ロッピー端末にスマホをかざしてログインすると画面上にPonta会員番号の全てのケタが表示されていました。
これでは悪意のある人が後ろから覗き見して番号を全て覚えてしまうと怖いですね。
また、ローソンアプリでPontaのバーコードを表示させる場合もPonta会員番号の全てのケタが表示されるので悪意のある店員に番号を盗み取られる恐れがあります。
これらの脆弱性についてローソンのサポートセンターに問い合わせしてみます。

なお、ローソンアプリは最近更新され
「一時的にデジタルdポイントカードの表示機能を停止した」
とのこと。（添付写真参照）
つまりこれが意味するのはPontaのほうは流出事例がないが、dポイントのほうは流出後、未だ対策が万全ではないので解決までアプリでのバーコード表示を控えるということでしょうか？

書込番号：22110540

[マグドリ00]

https://www.lawson.co.jp/info/20180914_app.html
ローソンアプリでの「デジタルdポイントカードサービス」一時停止の理由が書かれてました。
どうやらdポイントカード不正利用はこのローソンアプリが原因みたいです。

https://k-tai.watch.impress.co.jp/docs/news/1142716.html
ケータイWatchの記事に書かれている、
「とあるdポイント加盟店のWebサイトへ不正利用があったようだ」
と言うこの加盟店と言うのはローソンでローソンIDサイトへのリスト型攻撃でローソンIDとパスワードでログインを試み、ローソンアプリでdポイントのバーコードを表示させてポイントを不正に利用したらしいです。

デジタルdポイントカードサービスの再開については、
「ローソングループの全てのサイトにおいて、パスワード強化対応等、セキュリティ向上を目的とした、様々な対策を講じた後」
と言うことなので、あくまでもローソン側での対策でドコモ側は既に対策は完了しているようです。
つまり現時点ではdポイントカードのシステムそのものの脅威は去っており、ドコモから利用停止措置の連絡を受けてない場合はそのまま使っても問題ないということでしょう。

なお、前回の書き込みで
「Pontaのほうは流出事例がない」
と書きましたがスレ主さんの書き込み番号[22105745]のリンク先にあるツイッターでPontaでの不正利用が報告されておりました。
これは恐らく犯人がローソンアプリを使ったPontaのバーコード決済でポイントを盗み取ったから？
しかし今回ローソンアプリで一時停止したのはdポイントのみでPontaのバーコード表示はそのまま使える状態です。
ローソン側の全サイトの対策がまだ途中なら完了までの間、Pontaのほうも一時停止すべきと思いますが一体何故？？？

ところで1年前の楽天ポイント不正利用事件では
http://www.tokyo-np.co.jp/article/national/list/201709/CK2017091902000222.html
犯人は中国人詐欺グループだったらしいです。
不正取得したメールアドレスとパスワードを使って複数サイトでログインを試みる「リスト型攻撃」を使う手口も似てますね。
今回の事件でも早く犯人を捕まえて欲しいですね。

書込番号：22113560

[Jailbird]

すみません

初めに戻って読んでいただきとありがたいのですが、今のところdポイントの切り離し(利用休止)しかないと思っています。
流出元と手口、規模は今となってはあまり意味を持たないのです。

dポイント→ Ponta間では等価となりますが、年2回まで、250pt手数料/回、ドコモ回線契約者のみ対象です。
dポイント→ JALマイルでは1：0.5となるのですが価値は同じですので実質等価、回線契約は不要です。

※どちらも現時点で信用度は落ちていると思っています

dアカウントとdポイント番号の紐付けを解除すればいい(店舗で利用は不可となるが、流れてくるポイントはdアカウントが受け止める)らしいのですが、ちょっと調べ中。
多分、このやり方で問題はないと思います。

書込番号：22115740

[マグドリ00]

ローソンアプリでdポイントカードを表示

ドコモからdポイントの利用停止の連絡を受けてない場合は安全だと思っているのですが、違うのでしょうか？
もし安全でないなら全てのdポイントを利用停止にするはずです。
それをしてないのは何故でしょうか？

私はローソンアプリに重大な脆弱性があり、これを利用してdポイントが不正利用されたと思っています。
現在ローソンアプリでdポイントのバーコードを表示しようとしてもできません。
（添付写真参照）

ローソンIDサイトへのリスト型攻撃によって第３者が他人のID、パスワードを使ってローソンアプリを立ち上げるとdポイントのバーコードが簡単に表示出来ます。（現在は停止中）
普段はPontaを使っているので先ほどアプリでdポイントに切り替えたところ、ワンタップで切り替わり残高も表示されました。
dアカウントのパスワードや2段階認証をすり抜けてしまいます。
つまり犯人はdアカウントやdポイントカード番号を一切知らなくてもローソンIDとパスワードのみ分かればローソンアプリにログインするだけでdポイントを使えてしまいます。

書込番号：22116015

[マグドリ00]

ドコモインフォメーションセンターに電話して確認しました。
ドコモから利用停止連絡を受けてない場合は大丈夫とのことです。
またdポイントカード番号が単独で流出してもそれを使って生成したバーコードでは使えないそうです。
これで安心しました。

スレ主さんの書き込み番号[22105295]で提示していただいたケータイWatch記事
https://k-tai.watch.impress.co.jp/docs/news/1142716.html
に書かれている、
「dポイントカード番号が他人の手に渡ってしまえば、ユーザーが知らないうちにポイントを使われる可能性があるということ。」
と言うのは間違いですね。
dポイントカード番号だけが他人の手に渡っても使われる心配はありません。
「使うにはdアカウントとパスワードが必要になります」
とドコモのオペレータの方が言ってました。
上記の記事に関してはインプレス社に事実関係を問い合わせてみます。

書込番号：22116068

[マグドリ00]

Pontaの話題ですが今回の事件に関連するのでここへ書きますね。

書込番号：22110540で申し上げたPontaの脆弱性に関してローソンのWebフォームで質問を送信したが回答がないため直接電話して聞きました。
Pontaの番号が悪意のある第三者に盗まれてもポイントを使うことは出来ないとのことです。
これには安心しましたが更に
「番号を入れるとバーコードを生成する他社製アプリがあるか使われる危険はないか？」
と言う質問をしたところ、即答出来ず
「しばらくお待ちください。」
と言われ、暫く待たされて（上司に確認しに行った？）
「すみません。他社製アプリに関しては調査中です」
と言われました。
これは残念です。

Tポイントのほうは公式サイトに「使えない」とはっきり書いてあるんです。
https://tsite.jp/r/app/
対象アプリはここに挙がってますが、「モバイルTカード」のマークの付いたアプリ以外は使えません。
対応アプリではTカード番号のみの入力では使えずYahoo!IDとの連携が必要です。
非対応アプリでは認証されないので生成されたバーコードを店頭で読み取っても使えない仕組みになっているようです。

Pontaのほうも同じような仕組みと思っていたのですがバーコードのセキュリティの規格が異なるのですかね？
仮に非対応アプリで買い物が出来てしまうと大問題です。
Ponta番号が盗まれただけで使われてしまうなら厳格に管理せねばならずロッピーやローソンアプリで表示されるPonta番号の一部をマスクするなどの対策が必要でしょう。

書込番号：22118683　スマートフォンサイトからの書き込み

[Jailbird]

ログインしていないのに二段階認証が複数回届いています

やはりどこかで完全に流れてしまっているように思えますね。

昨日からなのですがドコモアカウントのログインが、自分の関わりない場所で起こっているようです。

初めは一つのページ上にあったID/PW入力を、別のページとして(多分機械的に発行する使い捨てハッシユ値のようなものでつないで)切り替える作業があるので、そのせいかと思っていました。
(考えればわかりますけど、通常はサービスそのものを止めて設置します)

さすがに短時間でこれだけSMSが届くのはまともではないので、機械的なアタックが起きていると考えるのが自然です。

認証済みの端末からPWの変更を行って暫く様子を見ています。

ドコモアカウントで過去にこのような事は起こった事は無く、正直面食らっています。
二段階認証が無ければこの時点で中に入られているという事になりますね。

書込番号：22119780　スマートフォンサイトからの書き込み

[マグドリ00]

大変重要な情報ありがとうございます。

ドコモ回線保有者はSMSで届くのですね。
私はSMS無しデータSIMの為、SMSが使えませんが今のところdアカウント設定アプリによる2段階認証は正常に作動しています。
ローソンアプリで停止になったdポイントのバーコードはマクドナルドアプリでも使っているのを思い出し確認したらdポイントが認証エラーになっていたので再度ログインしたら2段階認証が実行されアプリの「はい」「いいえ」の選択肢が表示されました。
その後、バーコードは無事に表示されました。
マクドナルドアプリのdポイントのバーコードは問題ないみたいですね。

おっしゃるようにdアカウントのハッキングが多発しているのなら怖い話ですね。
今のところ2段階認証が勝手に起動することはないので無事みたいです。
しかし、2段階認証を設定してなければ今後やられる可能性が高いのでスレ主さんには感謝しております。

今回の事件を受けてdアカウントのパスワードは強固なものに変更しましたがどこかで漏れていたならいくら複雑なパスワードでも全く意味がないですね。
再度パスワードを別のものに変更して様子を見ようと思います。

書込番号：22119970

[マグドリ00]

dポイントカード裏の文面

dポイント加盟店で無料配布されているdポイントカードの裏に気になる文面があり、
「dポイントカード番号は本人以外に知られることのないよう大切に管理してください。」（添付写真参照）
と書かれており、dポイントカード番号が第三者に知られるとまずいように読み取れます。
これについてdポイントカスタマーセンターに確認したところ、

「dポイントカード番号が流出すると不正利用の恐れがあります。」

とのことでした（汗）。
カード裏に印字されているバーコードとdポイントカード番号は同じ数字だそうです。
つまりdポイントカードの仕様は最初からこのリスクを前提で作られたことになります。
これでは管理を厳格にしなければならず書き込み番号[22107062]で申し上げた通り、

・カードの盗難には最大限の注意を払う
・他人にはdポイントカード番号を絶対に教えない

を守る必要がありそうです。
また今回流出した3万5千件はローソンから流出したとサポセンの方は言ってました。
なお、ドコモのサーバーはハッキングに遭ってないとのこと。
今回わかったことは
・dポイントカード番号が流出すると不正利用される脆弱性は元々あり、それを承知で事業展開した。
・ドコモのサーバーはハッキングされていない
と言うことなので直ちにdポイントカードの利用停止する必要は全くないですね。
ドコモから利用停止連絡を受けてない限りは安全です。

書き込み番号[22116068]で申し上げた
「dポイントカード番号が単独で流出してもそれを使って生成したバーコードでは使えないそうです。」
と言うのは間違いでした。
申し訳ありませんでした。
もしかしたら聞き方が悪かったのかもしれません。
「使うにはdアカウントとパスワードが必要になります」
とオペレータの方が言ってたので、公式のデジタルdポイントカードアプリでの話ではと勘違いされてしまった可能性があります。

書込番号：22129416

[Jailbird]

唯一、磁気読み取りラベルを持つのがTポイントカードですが、モバイルQRコードへの切り替えを全体で薦めているようでした。
昨日、立ち寄った加盟店のレジに貼り紙がしてありました。

「モバイルアプリでのポイント利用支払いは、本体のTポイントカードを確認させていただきます」

ん、ん？？
これって本末転倒ですよね、財布がカードで占有されるのが嫌でアプリを使うのに…。
(Tポイントは加盟店によって読み取り方法がバラつくので、有るといえばありますが)

QRコードにはまだ隙間があるという、また(現時点で)修正は出来ないか、行っていないかでしょうね。

書込番号：22131040　スマートフォンサイトからの書き込み

[マグドリ00]

> 「モバイルアプリでのポイント利用支払いは、本体のTポイントカードを確認させていただきます」

http://bbs.kakaku.com/bbs/88050000101/SortID=22123940/
ここのスレに書きましたが、原本のTカード提示が義務つけられたのは最近で不正利用排除の為ですね。
私は同様のポップをウェルシアで確認しましたが、スレ主さんのお店はどこでしょうか？
もしかしたら
https://tsite.jp/r/mb-tcard/web/index.html
ここに出ている全てのモバイルTカード対応店舗で同様の措置が取られているのかもしれません。

あと、モバイルTカードはQRコードではなく普通のバーコードです。
（手元のiPhone版T-POINTアプリで確認）

書込番号：22131103

[マグドリ00]

昨日、モバイルTカード対応店舗の夢庵で会計をした際にレジの周りを確認したところ、不正利用に関するポップや張り紙はありませんでした。
iPhone版T POINTアプリでバーコードを表示させてTポイントを付けてもらいましたがTカード（プラスチックカード）の提示は求められませんでした。
全ての対応店舗で不正利用の排除が徹底されているわけではないようです。

なお、モバイルTカード（iPhoneアプリ版）は今回初めて使いましたが後で残高を確認したところポイントが付与されておりましたので正常に稼働しているようです。
ちなみに表示されたバーコードの番号と原本のTカード番号（YJカードに記載）は全く異なる番号でした。
Tポイントではdポイントと異なり、ポイント番号とバーコードの番号を変えることで不正利用しにくいシステムになっているようです。
楽天ポイントもプラスチックカードとモバイル版のバーコードの番号が異なるので不正利用防止に配慮していますね。

また、WAON POINTに関しても
http://bbs.kakaku.com/bbs/88050000111/SortID=22114399/
ここのスレに書いた通り、
「 バーコードの番号はWAON POINT番号とは異なる」
ため、不正利用しにくいシステムとなっています。

書込番号：22135912　スマートフォンサイトからの書き込み

[マグドリ00]

ローソンアプリが更新されました。
起動するとローソンIDがログアウトしており、2段階認証が導入されたようです。
登録メールアドレスに送られてくる認証コードを入れる必要があります。

ただ、ログインに成功してポイントカードを選択する場合、Pontaもdポイントも選んだだけで使えるようになります。
リクルートIDやdアカウントの入力を求められないのでローソンIDのみが流出しただけで（ リクルートIDやdアカウントを知らなくても）ログインされるリスクがあります。
ただ、今回2段階認証が導入されたことでセキュリティは強化されましたが、
「dアカウントやdアカウントの2段階認証をすり抜けてしまう」
と言う脆弱性は残ったままで不安が残ります。

なお、デジタルdポイントカードの表示機能は今回の更新でも復活してませんでした。
未だ対策が完了していないということですかね？

書込番号：22160493　スマートフォンサイトからの書き込み

[マグドリ00]

https://www.asahi.com/articles/ASLCD2TNDLCDUTIL002.html?iref=com_footer
ドコモオンラインショップでiPhone Xが不正購入された事件で中国籍の男４人が窃盗の疑いで逮捕されたようです。
これでこのスレに出てきた事件やポイント不正利用の問題はほぼ解決に向かいました。

dポイントの不正利用に関してはローソンから流出したようですが、その後、被害が拡大した話はないので収まったようですね。
Tポイントの不正利用に関しては
http://bbs.kakaku.com/bbs/88050000101/SortID=22123940/#22238698
ここのスレの書込番号：22238698に書いた通り、11月15日（木）14:00以降、モバイルTカード利用時、本人確認の為の入力が必須となります。

書込番号：22249379　スマートフォンサイトからの書き込み

[マグドリ00]

いつからかは不明ですが、ローソンのLoppi端末にログイン時、画面上に表示されるPonta会員番号は下数桁を除きマスクされておりました。
書込番号：22110540で申し上げたPontaの脆弱性（Ponta会員番号を肩越しに読み取られてPontaカードが偽造され不正利用される恐れ）への対策が進んだようです。
実際、ローソンのサポートセンターに何度もこの問題を報告してきたのでようやく対策に動いたようです。

不正利用でポイントが奪われる心配がまた一つ払しょくされました。
これはとても良いことです。

書込番号：22485020