dポイントカードって偽造できるの?被害が止まらないdポイントの不正利用・盗難の鍵はこの疑問を解くことから始まりそうだ。
巷を騒がしているdポイント不正利用の手口は凄い勢いで拡大している。NTTドコモが不正利用対策として推奨しているパスワードの変更や2段階認証も、犯人の巧妙な手口の前では無力と化している。
dポイントクラブに掲示されているドコモの警告文を読むと、あまり大きな問題になっているようには思えないが8月の下旬からこの瞬間までdポイントの不正利用の被害は関西方面を中心に拡がりを見せている。これは単独犯の仕業ではない、組織的犯罪グループが関与していると思われる。
犯人達はどんな手口でdポイントを不正利用しているのだろうか?
今回は続々と報告されるdポイントの盗難事件について、犯人グループの手順を可能な限り再現してみたい。この方法をご覧いただき、dポイントの不正利用防止策をすぐに実行してほしい。なぜなら…
自分のdポイントは自分で守るしかないからだ。
この記事ではdポイントの不正使用のために、どうやってdポイントカードが偽造されているのかを解説していこう。
目次
dポイントの不正利用による盗難はまだまだ拡大中
2018年8月下旬からdポイントの盗難事件と呼べる不正利用が急速に拡大している。
その勢いは9月に入ってから衰えるどころか加速を見せている。このブログでは読者の皆様に警告の意味も込めてdポイントの不正利用とその対策という記事を書いている。
あまりに危険な事態なのでツイッターでも拡散をお願いした。拡散して頂いた皆様に心から感謝している。
【拡散希望】dポイントの不正利用が拡大しています。コンビニ、家電量販店で身に覚えのない利用履歴が…
2段階認証も通り抜けるようなので一旦利用停止を掛けるのが良さそうです。
利用停止は0120-208-360からできます。少しでも被害拡大を防ぐために拡散願います。#dポイント
— hanyao@陸マイラー@テレワーク(*´꒳`*) (@hanyao10) September 6, 2018
この事態に気づいたのは僕だけではない。陸マイラ―ブロガーやケータイ乞食、ツイッタ―投資家など多くの人々が警鐘を鳴らしていた。にもかかわらず…
dポイントの盗不正利用・盗難被害はとどまることを知らずに拡大中だ。
ブロガーとして自分の力不足を感じざるを得ない、そんな心境に今立たされている。
本日もdポイントの不正利用・盗難被害が発生中
このブログを書いている今もdポイントの不正利用・盗難被害は多発している。
ケータイ乞食業界で有名なブロガーの「もにもにたさん」もdポイントの不正利用の実体験をブログで報告している。
この記事を読んでみて感じたことはさすが、もにもにたさん。仮説とは言え、犯罪グループがdポイントを不正利用する手口を推察している。そしてそれを読んだ僕はある疑問が湧いてきた。
dポイントの不正利用は裏社会に詳しくなくてもできるんじゃないか…?
その疑問を解決すべくdポイント不正使用の手口を実際に自分で試してみることにした。
え…dポイントカードって偽造できるの?衝撃の新事実
今回、dポイント不正利用方法の手口を再現することになったのはこのツイートがきっかけだ。
#dポイント #不正利用 で、防犯カメラの画像から、使用したアプリ判明です。(スマホの画面を見た感じの予想)
私もやってみたら、難しいことは何も無く、ポイント使用できました。#docomo
App名: Stocardhttps://t.co/OlrJxdQLSF
— あんず姫 (@anzu_1222) September 8, 2018
僕のような一般人には意味の分からないツイートだったのだが、もにたさんの記事を読んで衝撃が走った。
dポイントカードの偽造は簡単すぎる!
このアプリはかなり強烈なアプリ、開発者の意図は解らないが犯罪グループがdポイントの不正使用に使えてしまうではないか?
ここまで読んでも少し難しい…という人もいるだろう。それでは実際にdポイントを不正利用するための手口を再現してみよう。
dポイントカードの偽造は簡単5STEPで再現可能
それでは実際にdポイントカードの偽造を再現してみよう。
想像以上に簡単にできることに驚く方も多いと思う。僕は開いた口が塞がらなかった。
1.アプリをダウンロード
まずは「Stocard」というアプリをダウンロードする。
このアプリがあれば手動で任意の番号を持つdポイントカードを作成することができてしまう。ある意味秀逸な無料アプリと言えるだろう。
2.アプリ起動後、dポイントカードを選択する
アプリを起動すると様々なポイントカードを選択することができる。
ご覧いただけるように、たくさんの種類のポイントカードを一括管理できる機能のアプリになる。この中からdポイントを選択する。
3.スキャン画面からdポイント番号手入力画面へ移動
dポイントを選択するとカードのバーコードをスキャンする画面に遷移する。
ここで注目してほしいのは一番下に「手動で入力してください」という項目があることだ。犯人たちはここに目をつけてdポイントを不正使用できるようにしているのではないだろうか?
4.手動で15桁のdポイント会員番号を入力
dポイントカードをスキャンしなくても15桁の番号を手動で入力することができる。
コンビニなどの店頭に置いてあるdポイントカードの番号を予めメモを取っていたら…もしくは何等かの法則性を掴んでいるのならばdポイントカードの偽造は簡単できてしまうのだ。
5.あっという間に不正利用専用のdポイントカードが完成
ご覧いただいたように「超簡単5STEP」で偽造dポイントカードの完成だ。
犯人グループはこの画面を店頭で提示することで見知らぬ第三者のdポイントを自由に使うことができる。こんなふうにdポイントカードを作る方法があるなんて、世の中には全く知られていない。僕もこれを知った時には驚いたし、自分で作ってみてその簡単さに驚いた。
NTTドコモのdポイントクラブが不正利用・盗難に対応しきれていないのが原因
今回のdポイントの不正利用・盗難が急速に拡大していく背景についてドコモの対応が中途半端すぎるということが理由のひとつに挙げられる。
ドコモは8月30日付でdポイントクラブに小さくドコモからのお知らせという掲示を出した後、沈黙を保っている。そのお知らせの中ではdポイントの不正利用の存在に触れているが、具体的な対策については下記の2点のみ。
・2段階認証の設定
・適切なパスワードの設定と管理のお願い
dポイント不正利用による盗難へのドコモの最新情報
ついにドコモがdポイントの不正利用・盗難に対して動き始めた。
今回の被害に対してはドコモは不正利用されたポイントを返還すると回答をしたそうだ。下記のツイートの他にも何人かそう言っている人がいるので間違いないだろう。
たった今dポイントのセンターから連絡あり
不正利用されたポイントは全て返還されるとのこと
ついで?に、ココまでの自分の対応については伝えておいた
一番は不正利用した輩が取っ捕まってくれることなのだが…
ひとまず事態は動きました— Denney.K (@denney_k) September 8, 2018
ただし、dポイントの不正利用・盗難に対する抜本的な対策はまだ行われていない。加盟店への公式アナウンス等の情報は聞くことができないのが実情だ。読者の皆様にはひとまずdポイントの利用停止を強く勧めたい。連絡先は下記の通りになる。
<dポイントカード利用停止のお問合せ先>
dポイントカスタマーセンター
0120-208-360
受付時間:24時間 年中無休
余計な事件に巻き込まれないように…
「自分のdポイントは自分で守ってほしい」
僕は今まで幾つかの犯罪に巻き込まれてきた。例えばオレオレ詐欺の体験談と被害額なんかがそのひとつだ。これ以上、犯罪に巻き込まれる人を見たくないという思いが人より強い。
皆様が被害に遭わないように、心からそう願う。
JALやANAについて記事を書いています
当ブログにお越しいただきありがとうございます。このブログではJALやANA関連の記事を主に書いています。マイルのお得な貯め方や航空会社のトピックスなどよろしければ読んでやってください。
犯罪の手口を詳細に書いたら真似するのが出てきますよ。
犯罪者は我々よりずる賢いから、今更模倣するのは出ないだろう。
そもそも1次元バーコードなんて生成する自体は簡単だから、画面でもカード裏面のコピーでも、店員がスキャンしたらポイントを減算できる仕様が問題。
生成したバーコードをスクショで画像にできるし、公式アプリしか使えないとなったら、バーコード部分と合成してしまうのは明白。女子高生なら1分もあればできる。
hoge様
コメントありがとうございます。確かにその可能性はありますが、
今は手順の一部を仮説として公開して読者の皆様に「注意喚起」をすることを優先したいと思います。
実際に私はこれ以上、どうすればよいか分かりませんし、誰にでもダウンロードできるアプリです。
早くドコモが抜本的な対策を取ってくれることを切に願います。
自分はポンタポイントを盗まれました。
この手口は有効なカード番号さえ分かれば偽造できてしまうので、直近の対策としては店側がこれらのアプリでの支払いを断るしかないと思います。
真似される危険性については、有効なカード番号が分からないと手口だけ知っていても意味がないですから、あまり心配する必要はないと思います。
ポイントを盗んだ連中がどうやって有効なカード番号を知ったのかは不明ですが、どこかから流出したのか番号の法則性を突き止めたのか・・・
ふなむし様
コメントありがとうございます。
確か2017年にdポイントクラブ番号の流出事故があったと思います。
10万件くらいの流出だったかと…もちろん対策はされたと思うのですが、
その時のサンプルを利用して法則性を解明したのではないかという説が有力です。
いずれにしても早くちゃんとした対策がされることを願います。
ドコモ。
劣化中。
非常に参考になりました。
これが事実であれば、サービス提供主体のセキュリティ意識の低さは社会的にも強く非難されるべき事態だろうと思います。被害に対する補償も「やって当たり前」のレベルでしょう。
開示は避けるべきでは、という意見もあるようですが、この記事は利用者に向けた注意喚起として強い説得力があり、早期の公開には非常に価値があると思われます。
通常、脆弱性は解決策が提供されるまでは、悪用を避ける意味で不特定多数への開示を避けるのがルールとされていますが、今回のように、すでに悪用が始まっており、かつ、そのレベルが極めて低い(悪用者の爆発的な拡大が強く懸念される)ケースについては、利用者側での緊急避難が何より最優先であり、本記事のような公開に正当性があるだろうと考えます。
例えばこのアプリ(Stocard)作者が会員IDを収集している可能性だってありますよね。
以前、hanayao様のブルーオーシャンの記事に感動しリンクさせて頂いた者です。本日、ヤフーの記事の中に、本記事が紹介されていて改めて感動しました。
記事の内容にも感動しましたが、人の役に立つ記事を書き続ければ、この領域まで辿り着けるんですね。恐れ入りました。
私もdカードユーザーですが、確認してみます。そして、周りに注意喚起しておきます。
ありがとうございます。
はじめまして。”Tsuyoshi”と申します。
Googleニュースを見ていたら、ドコモdカードのポイントが第三者によって不正に利用されているというニュースを知り、貴サイトに辿り着きました。私は被害に遭っていませんが、dカードユーザーなので、ここで幾つか喋らせて頂きます。
調べた限りにおいて、Stocardというアプリ自体は悪いもののようには思えませんでした。会社名(Stocard GmbH)や所在地(Hafenstrasse 25 – 27 68159 Mannheim Germany)はきちんと明示していますし、このアプリは世界でも好評を得ています。あと、クレーム対応もきちんとしています。
Stocard : https://stocardapp.com/en/de
なので、アプリ作成者にそれほどの悪意は感じられません。
https://play.google.com/store/apps/details?id=de.stocard.stocard&hl=ja
この中で気になったのが
便利だけど電子カードとしての機能はほとんど無い。カードを所持しなくてもカード番号を呼び出す為のメモ代わりに使っています。あと機種変した時に同じアカウントが登録出来ない。
(Stocard GmbH)申し訳ありませんが私は日本語語が話せませんので、英語で書かせて頂くことをご容赦ください: Thanks for your feedback! If you want to transfer your cards to another device, you can simply register your account on your main device and log in to that account from your new device. That way, your cards will be available on both devices. Hopefully this will be useful to you.
機種変した時に、旧来使っていた機種をログアウトが不十分なまま中古リサイクルショップで売ってしまえば、その端末を買ったユーザーはそのアプリを以前のユーザーのログインで使うことができますよね。
これが全てではないにしても、原因の一つして考えることができないでしょうか。長文失礼しました。
バーコードは0、1を黒白の変化で表してるだけなのは理系やプログラマーからすれば周知の事実。そんなことで驚いている世間に驚く。それよりそんなドコモがでかい顔でまかり通ってる日本が変だよ。
そんな当たり前の話をいちいち取り上げて論じている人は、(少なくともここに書き込んでいる人の中には)居ませんよ。
論点を正しく捕らえるところから取り組まれてみては如何でしょう?
ああすみません、文脈が分かりづらいコメントになっていた、、
私の「2018-09-12 20:18」のコメントは、その上のそじんさんに対してです。
返信ボタンを押したうえで書いたのですが、Web上ではツリーやスレッド表示でなく、時系列なリスト表示になってしまうのですね。。
なるほど、最近の公式アプリ同様に存在する会員の画面を提示してポイントを利用する、案外単純な手口だったんですね。
被害ツイートを見ていたら、最初に安いものをポイントで買って(ポイント残高の確認?)、それから高額のものをポイントで買っているような気がしました。
私はdポイントは店舗では加算しかしたことがない(ポイント利用はロッピーかネット)のですが、ローソンで加算する時はバーコード読み取り9:磁気ストライプスキャン1の割合ですね。
たぶんポイント減算もバーコードでできるため、このような被害が出たのでしょうが、レジ処理の迅速化のために加算はバーコード読み取りでいいと思いますが、減算は磁気ストライプのみにするのが、今のところ簡単にできる対処方法だと思います(ロッピーはPontaバーコードでのクーポン発行だと生年月日など入力が必要)。