treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

ドコモから身に覚えのないセキュリティコードが届く

アカウントにアクセスがあったとき、二段階認証が設定されていると手間が増えますが、安心です。
しかし、二段階認証にもイロイロ種類があるようで…。
そんなdアカウントのご報告です。

深夜に突然やってくるSMS

夜、突然携帯にメール着信。
見てみると…、セキュリティコードが届いていました。
ん?セキュリティコード?

f:id:treedown:20191002004808p:plain
なにもセキュリティコードを要求されるような操作していないんですが…。
時間も時間なので、スマートフォンもPCも携帯電話も操作していませんでした。
にもかかわらず、セキュリティコードがSMSで届くのは…、これは怪しい。

ちょっと調べると…

すぐ調べてみることにしました。もしかしたら、といういやな感じも合ったことですし。

dアカウントとDoCoMoのサイトが引っ掛かりました。

■身に覚えのないdアカウントのセキュリティコード通知が届く事象についてhttps://id.smt.docomo.ne.jp/src/utility/notice_trouble20190719.html

■身に覚えのないdアカウントのセキュリティコード通知が届く事象についてhttps://www.nttdocomo.co.jp/info/notice/page/190719_00.html

結構最近(今年の7月19日)のリリースになっています。
内容は、簡単に読み取ったところでは、
外部から不正アクセスがあり、アカウントへのログイン試行が増えている⇒その一環で設定している人にセキュリティコード通知が届く、という動きがある
ということのようです。

ということは、dアカウントという攻撃対象も攻撃者にとって選択肢として増えたってことなのかな?と思いました。

さらにこのページでは、二段階認証の設定を「強(推奨)」に設定することをオススメされています。
ん?二段階認証は設定している(からこそセキュリティコードが届いている)のですが、「強(推奨)」なんて選択肢あったっけ?

さっそく、設定を確認してみることにしました。

設定画面

dアカウントの設定画面を開くと、メニューのセキュリティの項目に早速「2段階認証の設定」と言う項目を発見。クリックします。

f:id:treedown:20191002004910p:plain
クリックすると「2段階認証設定」という項目があるので、設定に確認にしろ設定変更にしろ、この画面を開くのでよさそうです。

f:id:treedown:20191002004930p:plain
早速開くと、

f:id:treedown:20191002004946p:plain

画面は設定し終わった後の画面

おお、「2段階認証の設定」という箇所には「強(推奨)」と「弱(標準)」の二種類がありました。
詳しくはコチラ、というリンク<https://id.smt.docomo.ne.jp/src/utility/twostepauth.html>を開くと詳細な説明が閲覧できます。

それによれば、
弱(標準)では、利用状況に合わせて、ドコモが最低限必要と判断した場合のみ2段階認証を要求する、って感じの記載があります。
ん?ドコモが最低限必要と判断、って…。ちなみに、
強(推奨)では信頼できない端末からアクセスがあった場合常に2段階認証が表示されるため、普段利用しているブラウザ環境を信頼できる端末に登録する以外の二段階認証省略の方法はない、という認証方式のようです。

これはいけません、さっそく「強(推奨)」に設定してしまいます。
とりあえず、信頼できる端末には自分の手持ちの環境しか登録されていないため、これでとりあえずは安心です。ようやく枕を高くして寝ることができそうです。

今後

とりあえず、dアカウントの二段階認証に「強(推奨)」と「弱(標準)」という段階があるのは知りませんでした。
昔、設定してそのまま、という場合は同じ二段階認証で安心するとしたら、やはり「強(推奨)」にしておくほうがよさそうに思えます。

さらにドコモのサイトでは
「dアカウントのIDおよびパスワードの変更も併せて実施」
というところも推奨事項としてあげられています。

この辺もそのうち(近いうち)やっていこうと思いました。なんといってもdアカウントが攻撃対象になっているわけですし。