記事紹介、格安スマホの「死角」悪用
既に新聞報道されていますが・・・
以下は朝日新聞記事より。(4月8日朝刊)
ー格安スマホの「死角」悪用 メルカリなど被害 不正アカウント大量製造ー
スマートフォンの格安データ通信サービスで、メルカリやLINEなどの匿名のアカウントが不正に大量に作られ、 迷惑メールや偽ブランド品売買に使われる被害が相次いでいる・・・
要約
①過去、一部のSIMカードは未契約でもSMSだけは使える状態で出荷されていた。
②メルカリやLINEなどはSMSで本人認証しているので追跡不可能な悪事用アカウントが作られ転売されていた。(既に逮捕者あり)
③大手では既にNTTコミュニケーションズがSIMカードを回収、IIJがシステム変更で対応済みだが両社とも「不正は想定外だった」
SMS付SIM同封パッケージを売っている時期が数年前にはあった?
(OCNでは緑のパッケージ?)
知りませんでした。
未契約でSMSが使えるとかシステムが甘すぎる!
我らのmineoは大丈夫かな?
Aプランのプリペイドは、追加料金なしでSMSが使えるので・・・
使用者不明のLINE、twitter、その他アカウントとか怖すぎる。
ネットの闇は深いですね。皆さんの感想、ご意見をお聞かせください。
17 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
docomo回線のSMSは未契約でも使えるんですね!
おそらくSIMと回線の仕様の問題なので、mineo DプランのSMS付きSIMでも同じ問題があるのではないでしょうか?
auのSIMはどうなんでしょうね?
前半のアカウントが不正に大量に作られ というところまでは納得できるのですが、以降の 迷惑メールや偽ブランド品売買に使われる被害が相次いでいる というのがどこかの定型文を貼り付けたようで。
そもそもメルカリではメールは使いませんし、メールへの誘導が有った時点で変です。また、商品を受取評価しないと売り買いが成立しないので、最近は朝日の記事そのものを疑ってしまいます。
そこまで書くんだったら、被害を防ぐためこう対策しろ というのが新聞社の役目でしょ って。
mineoDプランプリペイドは、SMS使うのにSIM交換が必要なので、契約必須です(当然クレカ情報も)その心配は、ないでしょう。
Aプランプリペイドが心配ですね。SIM交換なし、SMS利用には申し込み必要なはずですが・・
申し込みしてないのにSMS使えるとかだと完全アウトですね。
メルカリは、早い段階でMVNO業界に対策を申し込みたかったが、業界団体がなく、断念したとの事。700社以上の会社に個別の対策を訴えたり、協議したりでは、時間がかかりすぎます。プリペイドSIM導入しているMVNOは、それほど多くなかったと記憶してますが・・
為に起きた問題です。
OCNモバイルONEやIIJmioのSMS機能付きのSIMで問題となった様です。
前者は販売方法を変更し、後者は契約しないとSMSが使えないようにシステムを
変更したみたいですね。
mineoさんの場合は、SIMを店頭において販売する手法を用いているのは、
SMS機能のないプリペイドパックのみで、その他は契約しないとSIMを渡さない
仕組みなので元々問題なかったのだと思います。
放置されたままだとSMS認証を採用しているマイネ王にも影響があった気がします。(^^ゞ
エントリーコードタイプが一般的になってきた理由は、それか~
SMSほど世界共通で低コストの認証方法は、他にないのも問題ですね。
なんか他にSMSに替わる認証システムはないでしょうか?
本当、朝日新聞は間違い報道しかしませんよね。
まぁ そこまで云っちゃうとテレビ欄何かもあるんで、、、。
ラテ欄世代にとって、受験にでる朝日新聞 天声人語 だったんですけどねェ。
情報があふれすぎちゃって、何が正しいのか判らないときが、ままあります。
SMSで本人確認が不要だったとしても、メルカリはアカウント作る時に免許証やら口座情報やらで本人確認に類する情報が必要なはずでは?
となると、SMSのセキュリティの穴があったところで、詐欺がしやすい環境だとは思えないんだけど、そこんところ、どうなんだろう。
SMSだけじゃなく、免許証とかの本人確認書類も偽造してるってことかな?
ここ1~2年でメルカリのルールも変更、対策されてきましたから、古い話かもしれません。対策されるまで報道できなかったでしょうし。
(ついでに言うと、そのパッケージがアクティベーションされるまでそのSIMの関連維持コストはMVNO側の持ち出し…)
今回、ここを悪用されたわけですが、申込後にSIM郵送の場合どうしてもレスポンスが悪くなる(すぐ使えない)って面もあるのが難しい所ですね、OCNとかIIJ、mineo、楽天あたりだとそこそこ店頭窓口もありますがキャリアのショップもう尾とは比べるべくもありませんし、SMS無しのデータSIMとSMS有のデータSIMはドコモ網の場合同一SIMでの乗換は普通出来ない上に、SMS無しのSIMでうまく動かない機種もありますから。
あと、そもそも売買系のサービスでSMS認証だけで本人確認やってたのであればそれはそのサービス事業者の不備というか怠慢の面が大きいとは思います、流石に他の登録方法も併用していたんでしょうし、この穴がそのうちの一つを無効化してしまった面はあるので対策は必要でしょうけど…
#個人的にはIIJが取った対策の中身が気になる
メルカリは、昨秋頃までは本人確認なしにアカウント作成が可能だった様です。
https://www.google.co.jp/amp/s/mercari-love.com/honnin-kakunin/amp/
なので組み合わせるといくらでもアカウント作れちゃってたのでしょうね。(^^;
その辺りは堂前さんがTwitterでコメントされています。(^^)
詳細が気になる方はチェックされると良いでしょう。
アカウント作り放題だったとしても、入金口座で身元が割れるはず。
ってことは、入金口座を闇で買って詐欺したって事になるような…。
それに、元々、ヤフオクとかネット個人売買はトラブルが多かったので、メルカリは「商品受け取り通知処理」をしないと、入金処理ができないはず。
ヤフオクはず先払いですが、メルカリは後払い的なシステムです。
となると、詐欺にあった人は(被害者ではあるけど)システムを適切に利用せず、品物に問題があったのに支払い処理をしちゃっている事になります。
被害者側が適切に利用したのか、その手続きも気になりますね。
(別にSMSの不備や詐欺を擁護したいわけではなく、どこにセキュリティの不備があるのか知りたいので)
犯罪者も分業化、効率化、合理化の時代なのだと感じます。
JPさん、しん@山形さん
私もここ最近の朝日新聞は、好きじゃないのですが・・・
妻が週1回の数独、パズル好きなので。
新聞やめて数独、パズルの本買えば?という単純な解決法はお気に召さないようです。
あと、新聞紙は生ゴミ包むのに便利!
なるほど。
軽くググりましたけど、SMSのアカウントを売る事自体が違法なので、メルカリの被害とは別の切り口でニュースになり得るって事なのかも知れませんね。
たしかに。