不審な[dアカウント]ログイン通知メールが来た時にすべきこと

この手のメールが来た場合に実際どのような対応をすべきか、僕が普段やっていることを書き留めておきます。悪質な第三者から自分の身を守れるよう、2重3重の対策をしていくことが重要です。

本メールはお客様にご確認頂きたいログインがあったため送信しています。

先日「[dアカウント]ログイン通知」というタイトルのメールが届きました。何やらドコモからのお知らせで、dアカウントへのログインがあった旨を伝えたメールのようです。

メールの全文(一部加工)は以下のとおりです。

本メールはお客様にご確認頂きたいログインがあったため送信しています。

[dアカウントのID]
xx*************@gmail.com

[ログイン日時]
2019/05/27 15:59:43(JST)

[国・地域]※推定
日本(xxx.xxx.xx.xx)

[ログイン先]
https://service.smt.docomo.ne.jp

[端末・ブラウザ]
他ブラウザ

[OS]
■パスワード変更
https://id.smt.docomo.ne.jp/cgi7/id/changepw?login_alert

■ログイン通知メールの利用停止
https://id.smt.docomo.ne.jp/cgi7/id/loginmlsendset?login_alert

※このメールは送信専用のため、返信はできません。

——————————–
株式会社NTTドコモ

このような場合に絶対にやってはいけないのが、脊髄反射でメールに記載のリンクをクリックするということです。

本物であれば特に問題ないのですが、これが詐欺メールだった場合、アクセス先が偽サイトになっており、そこからログイン情報をすっぱ抜かれる恐れがあるからです。

NTTドコモのdアカウントログイン画面にきわめて似ているウェブサイトにご注意ください 2018年2月5日 | dアカウント

この前書いたTwitterプレゼント詐欺の記事に対する反応を見るかぎり、残念ながら嘘を見抜く力がやや欠けているというか、警戒心の低い方が多く見受けられました。

DJ彩香(?)のプレゼント企画ツイートをRTしている人々を見て、ネットリテラシーについて改めて考えさせられた

ネットに潜む罠による被害を減らすため、少しでも自分にできることはしていこうかなと。

そんなわけで、この手のメールが来た場合に実際どのような対応をすべきか、僕が普段やっていることを書き留めておきます。

送信元アドレスを確認する

まずは送信元の確認です。大前提として「このメールが本当にドコモからのメールなのか」を疑います。

送信元アドレスは「info@wdy.docomo.ne.jp」となっていました。Gmailのセキュリティ確認で暗号化されてないという判断がされていたので若干警戒します。

ただこのアドレスは過去に自分がパスワード変更を行った際の通知のメール等でも使用されているため、おそらく本物かと推察します。

念の為に該当アドレスでググって情報収集。ドコモ公式サイト内では見つけられませんでしたが、Twitterでドコモ公式サポートアカウントによる言及を見かけました。

以上のことから、メールアドレス自体は本物であると仮定しました。

ちなみになんとか知恵袋とかの情報は、回答が雑過ぎて信憑性ゼロだと思ってます。きちんとソース提示して材料揃えてる人も極稀に居ますが…基本ストロングゼロなので。

メールに記載のURLを確認する

冒頭にもリンクを張りましたが、ドコモから偽サイトの注意喚起のお知らせが出ています。

NTTドコモのdアカウントログイン画面にきわめて似ているウェブサイトの存在が確認されています。 これらのウェブサイトにアクセスすると、dアカウントのID・パスワードを第三者に取られたり、不正決済を行われる恐れがあり危険ですのでご注意ください。

NTTドコモのdアカウントログイン画面にきわめて似ているウェブサイトにご注意ください 2018年2月5日 | dアカウント

こちらを見ると、ドコモのdアカウントログイン画面のアドレスには「smt.docomo.ne.jp/」が含まれているとの記載があります。検索しづらいのでスクショじゃなくてテキストで載せて欲しいですね…

画像引用:dアカウントからのお知らせ より

今回のメールに記載のURLには、いずれも「smt.docomo.ne.jp」というドメインが含まれていたため、リンク先も本物であると判断できます。リンク先でも接続の安全性や証明書の確認をしておくと、なおよろしいかと。

本当に第三者によるログインか確認する

メールが本物っぽいと判断したので、本文を見ていきます。[dアカウントのID]は受信したメールアドレスと同一のようなのでスルー。[ログイン日時]を見ましょう。

[ログイン日時]
2019/05/27 15:59:43(JST)

この時間は外出しており、dアカウントへログインした覚えはありません。また、家族もその場に全員居たため、少なくとも身内の誰かがdアカウントにログインした可能性は無い状態でした。

メールの受信時間とも一致してるので、ログインの試みと同時に送られたメールかと思われます。

dアカウントのログイン履歴を確認する

dアカウントのログイン履歴は、以下のリンクから参照できます。

https://id.smt.docomo.ne.jp/cgi7/id/histview

残念ながらdアカウントの利用履歴は即時反映されず、当日の履歴を確認するには翌日まで待たなければなりません。こちらは後日確認しました。

IPアドレスを確認する(まさかの自分説)

ログイン履歴には該当日時の記録はありませんでしたが(ログインが成功した場合にしか載らない?)、後述するメール受信直後に自分で行ったパスワード変更関連のログインIPアドレスが一致していました。

ドメイン/IPアドレス サーチ 【whois情報検索】

結論としては、ブラウザの別タブで開いていたドコモ系Webサイトがタブ切り替え時に反応したか、バックグラウンドで動いていたドコモ系アプリがログインを試みた形跡なのかな…?という感じです。

 普段利用しない環境からログインがあった場合には「ログイン通知メール」が送付されます。受信メールをご確認ください。
ログイン通知メールの詳細は以下のリンクからご確認ください。

誰かに不正にログインされていないか確認する方法はありますか? | よくあるご質問 | dアカウント

MoneyForwardなど外部サービスとアカウント連携している場合、定期的にログイン履歴に載ることがあります。ただ、これらはAWS経由のサービスが多いためIPアドレスは「アメリカ合衆国」となっていることが多いです。

ログイン履歴に海外のIPアドレスが載っていても、不正アクセスと限らないのが難しいところです。

パスワード変更をする

本メール受信時にログイン履歴の確認が取れなかったことや、外出中のために細かい裏とりができなかったこともあり、安全性を優先してその場でパスワード変更を行うことにしました。

そもそも2段階認証をかけているので、知らない端末からのログインがそのまま通ることはないはずですが、念には念を入れましょう。

ID/パスワードの確認・変更 | dアカウント

これを行うことでログイン履歴にその時のIPアドレスも残るので、先程のように外出先での自分のモバイル通信か否かの照合もできますからね。

2段階認証の信頼できる端末一覧の見直し

dアカウントメニューの「2段階認証の設定」を開き、信頼端末一覧の「確認する」から信頼できるとした登録端末一覧が確認できます。

もし見覚えのない端末が登録されていたら、解除するようにしましょう。

万が一の場合ですが…第三者からのログインで2段階認証コードを渡してしまい、さらに信頼できる端末として登録されてしまったらアクセスされ放題なので。

2段階認証、適正なパスワードの設定が重要

だいぶ長くなってしまいましたが、この手のメールが来た場合は、少なくともこれくらい警戒したほうが安全です。

dアカウントではログイン履歴は確認できても、特定端末をログアウトさせる仕組みがないため「2段階認証の設定」もしくは「適正なパスワードの設定」によるアカウント保護を行いましょう。

IDおよびパスワードの取り扱いに関するご注意とお願い | dアカウント

今回のようなログイン通知以外にも、キャリアからのメールを装ったメールや偽サイトは数多く存在します。

ドコモからのお知らせ : ドコモを装ったメール、ウェブサイトにご注意ください(2018年10月15日更新) | お知らせ | NTTドコモ

ドコモを装ったメールにご注意ください! | お知らせ | NTTドコモ

公式からのセキュリティ関連のお知らせは必ずチェックし、悪質な第三者から自分の身を守れるよう、2重3重の対策をしていくことが重要です。

星影

Tech Hunter代表。フリーランスエンジニア、ブロガー、ゲーマー。
ガジェット、アニメ、ゲーム、インターネットが好きなオタク。
レビューズ公認レビュアー。各種アンバサダー活動もしてます。

コメントを残す

メールアドレスが公開されることはありません。