「知らないうちに自分のアカウントでiPhone Xを買われ、代金が請求されていた」――NTTドコモが運営する、ドコモ契約者向けオンラインストア「ドコモオンラインショップ」がリスト型攻撃による不正ログインを受け、悪意のある第三者に「iPhone X」を不正購入される被害が約1000件発生していたことが8月13日までに分かった。ドコモは被害を受けたアカウントを停止してユーザーに連絡を取っており、購入代金の請求は止める方針だ。

ドコモオンラインショップのiPhone購入ページより

ドコモによると、リスト型攻撃を検知したのは7月末。不正ログインは約1800件あり、うち約1000件で「iPhone X」が不正購入されたという。8月5日以降、被害にあった顧客から問い合わせがあり発覚した。

不正購入されたiPhone Xのモデルや価格、契約形態など詳細についてドコモは「模倣犯防止のためコメントできない」としているが、オンラインショップでは一部の購入形態で、ID・パスワードでログインしただけで端末を購入できるケースがあり、それが悪用されたようだ。

ネット上では、「iPhone X 256GBをだまし取られた」「被害額13万円」「15万円近い被害」「割賦契約されていた」「IDとパスワードだけで10万円の割賦契約がされていた」「コンビニ受け取りになっていた」などの報告が出ている。

問題発覚後ドコモは、オンラインショップの仕様を変更し、同じ手口で不正購入できないようにしたという。どの部分の仕様を変えたのかなど、具体的な内容は「模倣犯防止のためコメントできない」としている。

リスト型攻撃は、他社などから流出したID・パスワードのリストを使って不正ログインする手法のため、被害を防ぐには、同じID・パスワードを使い回さないことが重要だ。またドコモは、「2段階認証を設定していれば、今回の被害は防げた」とし、ユーザーに対して改めて、2段階認証の設定を呼び掛けるとしている。

【更新：2018年8月14日午前8時：取材に基づく情報を追記しました。】