https://www.yomiuri.co.jp/national/20180815-OYT1T50042.html
NTTドコモは14日、運営するインターネット通販サイトが不正アクセスを受け、利用者の知らないうちに高額なスマートフォンを不正に購入させられる被害が約1000件あったことを明らかにした。
不正アクセスを受けたのは、スマホなどを販売する「ドコモオンラインショップ」。7月下旬以降、何者かが不正に入手したドコモの会員ID「dアカウント」とパスワードを使い、機種変更の手続きを取って米アップルのスマホ「iPhone(アイフォーン)」の最上位機種「X(テン)」を購入した。
不正に購入された商品の一部は、ドコモショップやコンビニを受取場所に指定するなどして何者かが持ち去ったという。
うーん、まず問題はアカウントとパスワードがどこから漏れたのかということですね。一つ二つではないので、ドコモサイドから漏れたと考えるのが妥当ですが、不正アクセスによるものなのか、内部の人間によるものなのかがポイントになりますね。
もう一つは機種変更の際に本人確認手続きは要らないんでしたっけ? 店頭で機種変更した際には身分証(免許証や保険証など)の提示を求められましたが、今回の事例ではそういったものが用意されたとは思われないので、アカウントとパスワードだけで処理されたようです。
確かにアカウントとパスワードのセットで本人認証するというのが基本的な考え方なのかもしれませんが、やはり本人認証に関してはもうちょっとしっかりとしたチェックが必要だと思います。
また、受け取りの際も自宅以外を指定した場合、認印(三文判)があれば受取可能だと思いますが、ここも本人確認が甘いですね。
