読者です 読者をやめる 読者になる 読者になる

道ログ2

群馬県在住のおじさんがブログを書く

auショップ店員が女性客のメールを自分のケータイに勝手に転送する事案

時事 ケータイ

 重大事件です。
 

大手携帯電話会社のKDDIが手がける「au」の販売代理店の元従業員が、勤務していた当時、会社の顧客情報の管理システムを悪用して女性客のメールを転送して、のぞき見していたとして、警視庁に逮捕されました。
逮捕されたのは、埼玉県内にある「auショップ」の元従業員で、さいたま市南区に住む中村淳一容疑者(31)です。
警視庁の調べによりますと、中村容疑者は勤務していたおととし8月から9月にかけて、会社の顧客情報の管理システムにアクセスし、この店で携帯電話を契約した20代の女性客2人がやり取りしたメールを自分の携帯電話に転送するようにしたとして、私電磁的記録不正作出・供用の疑いが持たれています。
これまでの調べで、中村容疑者は、女性から携帯電話の修理を依頼されたように装ってシステムを操作していたということで、のぞき見したメールはおよそ1200通に上るということです。
警視庁によりますと、調べに対して中村容疑者は容疑を認め、「好みの女性のメールをのぞき見したかった」などと供述しているということです。
警視庁は、供述から、同じ手口でほかの女性のメールものぞき見していたとみて調べています。
KDDIは、「auショップで元店員による不正行為があったことは遺憾で、お客様にご心配とご迷惑をおかけして、誠に申し訳ございません。再発防止に努めます」とコメントしています。

http://www3.nhk.or.jp/news/html/20160114/k10010370721000.html

 いくつか見たけどこのNHKのニュースが一番わかりやすい。
 俺はもう大昔のことしかわからないので詳しいコメントはできないんですけど、率直な感想として「そんなことできるのか?」です。
 いくつかの疑問点。

  • 「顧客情報の管理システム」を悪用して、メールの「自動転送」設定ができるのか。

 顧客情報の管理システム、が何を指すのかわかりませんけど、店頭カウンターでショップのスタッフが操作しているあの端末のネットワークであるなら、それは無理だと思うんですよいくらなんでも。昔はできなかった。
 もちろん、今は色々な事ができるようになっているんだなあ、とは手続きのたびに感心するんですが、個別のユーザーのメール設定まで変更できるのか? という点です。おそらく直接あの端末をカチャカチャ操作してできるものじゃあない。

  • 「修理依頼」を装った。あとあるのだが。

 おそらく、この部分が「管理システムを悪用した」ことになるんだと思うんですよ。多分、メールの自動転送設定なんて、端末をいじらないとできないんじゃないかと思うんです。最初はなんらかの手続きの際、たとえばこの場合は新規契約をした方が被害にあっているようなので、新規契約をして開通、引き渡しまでの間に、「すぐに使えるように設定しておきます」とか言って、Eメールの設定もして、そこで自動転送の設定までしてしまう、っていう。
 それが一番簡単な方法だと思うんですよね。新規で開通した時っておそらくauIDの設定も一瞬でできるし、暗証番号も把握できてしまう。
 
 でも逆に、それだとわざわざ情報管理システムを悪用する必要がないんですよね。ましてや修理依頼を偽る必要などない。
 ということは、引き渡し後後日、何らかの方法で修理の手続きを勝手にして、そこで操作した、ということになるのだろうか。
 しかし、それだと自分の手元に回線がやってきてしまって、その間被害者がケータイを使えない時間が発生するよなー。と。そもそも修理はあくまで端末を預かるものであって、SIMの回線を切り替える必要などないはずだし。

 となるとやっぱりなんらかの方法で、店頭のシステムからEメール設定が変更できる、ということになるのだろうか。いや、それはさすがに、ないんじゃないかと思うんですけれど。。。

  • Gメール?

 別の記事なんですけど

捜査関係者によると、3人とは別の女性が昨年8月、メールに知らない連絡先が入っていることに気付き、警視庁に相談。この女性のGメールにも中村容疑者が不正アクセスしたとみられる。

 という記載があるんです。
 おそらくこの女性が警察に相談して捜査、発覚、逮捕、じゃないかと思うんです、最初の被害者であろう、容疑者の知人女性やその後の2人の後の被害者と思われます。
「Gメールに知らない連絡先が入っていることに気付き」
 とあるので、もしかすると容疑者、自分のケータイなどからこの女性のGメールに不正アクセスした際に端末と同期してしまって、連絡先ががっつり抜かれたんじゃないか、と思うんですよ。だとしたらまことに情けないオチなんですけどね。さいたま県警ではなくて警視庁に相談したのは彼女が都民だからなのか機転が効くからなのかわかりませんけど、それにしても痛恨のミスでしたでしょう。
 で、あっさり特定されて事情聞かれて、というか証拠をしっっかりとつきつけられて容疑を認めて、余罪についてもぼちぼち話したというとこでしょうかね。なぜGメールなのかについてはこの後考えてみます

  • 手口はともかく、どういうことなのか考えてみる

 おそらくこの容疑者が最初に犯行に及んだのは、知人女性のEメール自動転送を勝手にやったことだと思うんです。単なるストーカー的な。
 この段階では、店、というかauのシステムを悪用するまでもなく、「設定までやっといてあげるよ」ってことで、機種変更かなにかの際にEメール自動転送設定にしれっと自分のアドレスを打ち込んだんじゃないんですかね。もちろん犯罪ですよ。
 そしたら異様に興奮したんでしょう。他の女性のものも見てみたくなった。
 そして好みの女性が契約に来て、その人たちのメールも見たくなった。で、なんとかして見られないものかと、修理の登録を入れるかなにかして、自動転送設定を行った。

 しかしその方法は手間がかかる上にリスクも大きい。そうして彼はGメールを見ればいいじゃないかと考える。
 同じく契約時に「設定までやっておきます」と言って、Gメールの設定までやっておく。そうすればアカウントとパスワードが手に入る。その後はどの端末からでもGメールにアクセスして見放題、ということになります。
 その方法のほうがはるかに簡単なんじゃないかと思うんですよ。
 ただ、連絡先を同期しちゃったがゆえに盛大にバレてしまったということにはなったのでしょうが。

 もちろんそんなのは全部犯罪です。「不正アクセス」です。違法行為です。
 しかし方法としては可能なのです。

 1200通のメールを盗み見た、という数字に驚かされそうですが、複数人のメールを数ヶ月分ですから、決して多くない数字でしょう。メルマガや迷惑メールなども含めればあっという間に数百通のメールは受信ボックスに溜まります。
 問題は、600枚の画像を持っていたという点で、これがメールに添付されていたアニメーションなども含めない、女性たちのプライベート写真だったとなると、余罪は遥かに膨れ上がるでしょうね。
 メール添付だけでそんなにたくさんの写真は溜まらないと思います。
 となれば、なんらかのSNSにも不正アクセスして、それをのぞき見ていた可能性が大きいのではないでしょうか。
 Eメール同様「ツイッターすぐにつぶやけるようにしておきますね」とか「facebook使えるようにしておきますね」と言って設定する。その時に「パスワードはこれでいいですか? とか言って設定してしまえば、いくらでもアクセスできてしまうからです。
あれ? 待てよ。auクラウドサービスもあったよね。あれはケータイ以外の端末からでも見られるのかな? auIDとパスワードがわかれば、パソコンからでも見られる? 写真を撮影したら自動でクラウドに保存するような設定にしておいて、auIDでログインすれば、それも見れてしまうし、もちろん保存もできてしまうか。そっちの方法もありますね。

 もちろん、一から十まで俺の個人的な推測ですが、もしそうだとすると、管理システムを悪用することより、悪意を持ってIDとパスワードを巧みに入手する行為そのものこそが危険だ、ということになると思います。
 IDとパスワードは自分でしっかり管理をして、定期的に変更しましょう、としか言いようがない事件じゃあないでしょうか。

 ただ、一番気になるのは自動転送の設定をどうやったのか、です。「情報管理システム」、いわゆるパスカルと呼ばれるシステムが、どこまでのことができるようになっているのか、気になります。