piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

d払い不正使用発覚後の問合せ対応についてまとめてみた

7月20日の記事でまとめたd払いの不正使用投稿について、フィッシングサイトに誤って入力してしまった後やキャリア決済の不正使用被害を受けた後に行われた関係する組織への問合せ対応について、ここでは関連する情報をまとめます。

dアカウントのフィッシング被害に気付いた場合

  1. dアカウントのパスワードを変更する
  2. d払い等キャリア決済サービスをすぐに使用停止する
  • キャリア決済サービスを即停止するのは不正使用者のAmazonアカウントにd払いを登録された場合の対応。
  • 第三者によりAmazonへの登録が既に行われてしまった場合パスワード変更後も再認証なしに継続してd払いが利用可能なため*1
  • 自身のアカウントがAmazonへ登録された場合、「【d払い】ご利用承諾メール」という件名のメールが届く他、利用明細の継続課金一覧に「AMAZON.CO.JP」と表示される。
    f:id:piyokango:20190730111636p:plain
  • d払いの利用は決済後に届くレシートメールで確認ができる。ただしAmazonの場合、発注直後には届かない。*2
  • 第三者によりパスワード変更される可能性もあり、その場合は電話かショップを通じて連絡。
  • 取引先に直接連絡を行い取引をキャンセルしてもらい実害を免れたケースもある。*3
  • 一部のショップでは案内が不十分であったという報告がある。相談時にキャリア決済の停止についての言及がなく、その後被害に遭ったというもの。

不正使用被害者による相談、問い合わせの状況

被害を受け関係先へ問い合わせを行った結果について投稿されたTwitterでの報告は次の通り。
フィッシング等、利用者に起因しd払いを不正利用されてしまった場合、NTTドコモ、Amazonによる救済措置は行われない。

(1)NTTドコモ
  • NTTドコモ側も被害者である。
  • Amazon側の請求が取り消されない限り利用者に支払ってもらう。
  • 商品などの購入代金はいかなる場合であっても支払っていただく。*4
  • 利用料の支払いがなければ電話番号が止まる。*5

以下参考としてNTTドコモの利用規約より。

  • 偽通知に騙され入力した場合も規約上利用者の責任。損失補償は行わない。*6
  • 規約上も第三者が入力した場合であっても顧客本人の行為とみなすと記述されている。

f:id:piyokango:20190730062322p:plain
(d払い利用規約 第 3 条(認証)より)
f:id:piyokango:20190730062654p:plain
f:id:piyokango:20190730062842p:plain
dアカウント利用規約 第1章より)

(2)Amazon
  • 契約は乗っ取り犯とAmazonの間で交わされており、代金の決済先が問合せ者。
  • 例えれば当人が家族にdアカウントの情報を伝え、家族が利用したケースと同じ。
  • そのため立場上問合せした人は第三者であり、キャンセルも情報開示にもこたえられない。
  • dアカウントの不正利用の補償はNTTドコモに問い合わせしてほしい。
(3)警察
  • 不正アクセス禁止法違反の容疑として捜査は行う。
  • 被害者はNTTドコモ、Amazonであり相談者から被害届を出すことはできない。(相談という形で記録を残すことは可能。)
  • これまでAmazon側へ要望はしたことがあったが、対応してもらえたことはない。*7
(4)消費者生活センター
  • キャリア決済の不正使用に関する相談が増えている。
  • キャリア決済には補償制度がないため被害後は泣き寝入りするしかないのが現状。*8

大手3社の対応

  • キャリア決済の不正使用を取材した西日本新聞社によればNTTドコモ、KDDI、ソフトバンクの大手3社は利用者に起因するキャリア決済の不正使用について補償を行っていない。


更新履歴

  • 2019年7月30日 AM 新規作成
  • 2019年7月30日 AM Amazonが登録された場合の確認方法を追記修正しました。(@Shirayuki_Chocoさんありがとうございます。)

*1:手持ちのアカウントでもパスワード変更後に再認証なく発注できたことを確認した。規約にもその旨の記述がある。「1.お客さまが本サービスを利用される際には、d アカウントの ID/パスワードによる認証が必要となります。認証ができない場合には、お客さまは d払いをご利用いただけない場合があります。また、随時決済による課金方法の場合、随時決済の利用に係る事前手続きに限り、d アカウントの ID/パスワードによる認証が必要となり、売買契約等の締結又は解約の際には、d払い加盟店が定める認証方法による認証が求められます(当該認証に関して当社は一切責任を負わず、当該認証に関する紛争は、お客さまとd払い加盟店において解決するものとします)。」

*2:数度利用した限りではメールが届くまで数時間から半日程度の遅れがある。

*3:https://twitter.com/arminmin/status/1155598395534274560

*4:https://twitter.com/No1837/status/1155437777502105606

*5:https://twitter.com/likeflame1/status/1154001910237523969

*6:https://twitter.com/likeflame1/status/1154547312288358400

*7:https://twitter.com/likeflame1/status/1153824412237467648

*8:https://twitter.com/tatsuyanakamura/status/1155764433567662080