この記事では、最近ニュースでも報道された、フィッシングで入手したキャリア決済のIDとパスワードを悪用されたという話を掘り下げ、キャリアの補償やキャリア決済を無効にする方法などについて記しています。
キャリア決済とは
スマートフォンの使用料金はそれがメジャーキャリアであれMVNOであれ、一般にはクレジットカードなどで支払います。
キャリア決済とは、スマートフォンを利用してECサイトでネットショッピングをするときに、クレジットカードで直接支払うのではなく、キャリアに登録したIDとパスワードだけで買い物ができ、代金はキャリアの使用料金と一緒に支払うというものです。
フィッシングでIDとパスワードを盗まれる
キャリア決済を悪用するには、キャリアのIDとパスワードが必要です。
それは多くの場合、フィッシングで盗まれてしまいます。手口などはNHKニュースサイトに載っていますのでご覧になってください。
こうして盗んだIDとパスワードを、温存するのではなくフィッシングだと気づいてパスワード変更される前に速攻で使ってしまうわけですね。
「ちょっと待てよ、なんか変だな」
と思った時にはもう遅いわけです。
キャリア決済には補償はない
クレジットカードでは、大抵は不正使用の検知システムを備えており、また万一の不正使用についてもカード所有者に落ち度がなければ、補償されるシステムが導入されています。
しかし、キャリア決済には不正使用の補償は一切ありません。
それは各社の約款を見ればわかります。
各社のキャリア決済規約
docomo (d払い)
第 3 条(認証)
d払い / ドコモ払い ご利用規則
<途中略>
2.d アカウントの ID/パスワードが入力された上で、本サービスが利用された場合、当社は、当該利用がお客さまによりなされたものとみなします。お客さまの d アカウントの ID/パスワードが入力された上で締結された売買契約等(随時決済による課金方法の場合には、d アカウントの ID/パスワードが入力された上で事前手続きがなされ、かつ、売買契約等の締結時に d払い加盟店が定める認証方法により認証がなされた売買契約等とします)に基づく商品等購入代金は、お客さまにお支払いいただきます。
au (かんたん決済)
第6条 (当社の免責等)
auかんたん決済会員規約
35.会員は、本サービスの利用に係る携帯電話端末やPC等、並びに自己の ID/パスワード等、その他支払サービスをご利用される際に入力するクレジットカード番号及びウェブマネー番号等を自らの責任において管理するものとします。また、当社は、会員以外の者が ID/パスワード等(第1項但書に基づき ID/パスワード等の入力を省略した場合を含みます。)又はクレジットカード番号若しくはウェブマネー番号等を使用して、商品等を取引した場合であっても、当該会員による使用、取引とみなして取り扱うことができるものとします。
SoftBank (ソフトバンクまとめて支払い)
第4条(回線認証等および暗証番号)
ソフトバンクまとめて支払いご利用規約①
<途中略>
2.回線認証等によるお客さまの認証に基づいて行われた対象商品等の購入、暗証番号の入力に基づいて、もしくは前項の規定により暗証番号を省略して行われた対象商品等の購入は、全てお客さまによって行われたものとみなします。なお、テザリングを利用し複数の機器から行われた対象商品等の購入および寄付についても、全てお客さまによって行われたものとみなします。
3大キャリアの規約にありますとおり、正しいIDやパスワードが入れられて決済されたものは、全てお客様(つまり貴方)によって行われたものとみなすので支払いなさい、ということです。
では、そうしたキャリア決済の不正利用についてクレジットカード会社が補償してくれるかというとそうではありません。
よく考えてください。
そのキャリア決済そのものはキャリアと利用者の間の契約に基づくもので、クレジットカード会社は直接関係ありません。まして正当な通信料金と一緒に請求されちゃうので内訳がわかるはずもありません。
不正利用を検知できるとしたら、キャリア決済を受け付けるキャリア側しかありません。
クレジットカード会社は長い歴史のなかで不正利用検知システムを開発し、また一定条件のもので不正利用の補償を行う制度を構築してきましたが、歴史が非常に浅いキャリア決済を行うキャリア側にはそのようなノウハウも溜まっていません。
今の所、キャリア側は不正利用の補償や検知などに動きを見せる気配は全くありません。
対策:
・キャリア決済の設定を変更して使えないようにしておくこと。
・キャリアのユーザーIDとパスワードは他のIDやパスワードとは全く異なるものであること、使い回し厳禁。
・ログイン通知設定をしておくこと。
・2段階認証は必ず有効にしておくこと。
キャリア決済を完全に無効にする方法(auの場合)
私が使っているのは、メインがau、サブはUQとiijmioなのでここではauでキャリア決済を無効にする方法を説明します。
UQはau系のインフラを使っているので、GUIは違いますが類似手順で対応できます。iijmioにはキャリア決済はありません。多くのMVNOはキャリア決済には非対応のようです。
前提条件:
キャリア決済をすべて解約するとそれに含まれる継続系サービス(ブックパスなど)はすべて解約になります。
au idにログイン
au idにログインします。URLがわからない場合は、”au id”で検索するとトップに出ます。
右上の「≡MENU」をタップします。
利用限度額変更
画面右側にメニューが出てきます。使用するのは赤枠で囲んだ三つ。
「利用限度額の変更」「利用制限設定」「メール配信設定」
まず、利用限度額の変更をタップすると、上の画面になりますので赤枠で囲んだラジオボタンを選んで金額欄に「0」を入れて「変更」ボタンをタップします。
利用制限設定
おわったら再び右上の「≡MENU」ボタンをタップしメニューを出して、今度は「利用制限設定」をタップします。
一番下の「auかんたん決済の利用をすべて制限する」をタップし「設定する」をタップして完了します。
注意書きにあるように、auスマートパスなどは全て解約となりますのでご注意ください。かんたん決済の利用を一部制限するを選択すると以下の選択肢が出てきます。
ブックパスなどのau純正継続系サービスだけを残すことはできないようです。
この際、キャリアの継続系サービスなんぞ捨てて、キャリア縛りから解かれるようにする良いチャンスです。キャリアの継続系サービスはユーザーを自社に縛り付けておく手段以外の何者でもありません。
キャリアの継続系サービスに変わるようなサービスはほとんど代替が効くものなので、MNPでのキャリア乗り換えが自由にできるように自分自身も環境を整えるべきですね。
メール配信設定
最後はメール配信の設定です。
かんたん決済利用時などにメールが配信されるサービスです。万一のときの備えということもあるので、必ず配信ありに設定しましょう。ありにしても別にうるさいDMがたくさん飛んでくるわけではありません。
上記のスクリーンショットでは、「配信先メールアドレス」を消していますが、実際にはau idに紐づけているインターネットメールのアドレスが表示されます。
au idとパスワード変更
最後の仕上げてパスワードを変更しておきます。可能ならidも変更しましょう。
2段階認証
auでは2段階認証は初期状態で有効になっており、初めての端末からのログインでは、SMSで契約番号あてに承認URLが飛んできます。
これを解除するには、オペレーターに電話してお願いするしかありません。
2段階認証は時にうっとおしいものですが、ID・PASSWORD盗用の被害から防ぐためには、これしかありません。
ログインもしていないのに、いきなり2段階認証のURLが飛んできたら、承認せずそのメールを削除し(謝って承認クリックしないために)、直ちに最低でもパスワードを変えます。可能ならau idも変更します。
まとめ
- キャリア決済には何一ついいことがない。キャリアの甘い言葉や目先ポイントなどにつられないこと。大切なのはセキュリティ確保と自分の財産保護です。ポイント紹介サイトなどではいいことばかり書かれているので乗ってはいけません。
- 何らかの理由で他人が自分のID・パスワードでキャリア決済ショッピングしてもキャリアはクレジットカード会社のように補償はしてくれない。利用規約上いかなる事情でも契約者に支払い義務が果たされている。
- キャリア決済の悪用はクレジットカード会社は補償しない。
- キャリア決済を悪用されないためには、フィッシングメールにひっかからないこと。
- キャリア決済は全て完全無効にし、利用限度額制限も0円にしておくこと。
- キャリアidでのログインの2段階認証を有効にし決して無効にはしないこと。
- 万一、心覚えのない2段階認証SMSなどが飛んできたら、ただちにIDとパスワードを変更すること。