先日寝ていると突然朝ショートメールが入りました。
何事と思ってみてみると、ドコモの運営するポイントサービス、dポイントへのログインの検知のお知らせでした。朝5:47です。

一瞬詐欺サイトへの誘導かと思いましたが、ドコモの公式アカウントからのショートメールなので詐欺サイトへの誘導ではなさそうです。それでも寝ぼけていた私は頭が働かず、念の為dポイントのサイトを検索で見つけてアクセスしてみました。
幸いポイントは減ってはいませんでした。

このショートメールが来る時点でパスワードは合っている可能性があるため、念の為パスワードを変更することにしました。
せっかく複雑なパスワードにしていたのに・・・。と思いながら変更するのですが、登録を試みて不覚にもiPhoneに保存しているパスワードも変更してしまいました。通常なら登録はこれで終了なのですが、「不覚にも」というのが、何故か登録を失敗してしまったことです。iPhoneに保存してあるパスワードは変更されたのに、サイトのパスワードは元のままという状態になしました。
最悪なのがパスワードが上書きされてしまって元のパスワードがわからなくなってしまいました（＞＜）。というのも私はパスワードの数が多いため、覚えきれないのでiPhoneに覚えてもらっているからです。そのパスワードが上書きされてしまいました・・・。（実際のその場ではパスワードが合わないのが意味がわかりませんでした。誤って上書きしてしまったのがわかるのはもう少し後のことです・・・）
リセットしかないかと思いながらまだ寝ぼけた頭で逡巡していました。ふとiPadでパスワードが表示されないか試してみました。iPadで確認できるパスワードがiPhoneに登録しているものと違います・・。この時点でiPhoneに保存しているパスワードが上書きされてしまったことがわかりました。iPadに保存しているパスワードを使って再度dアカウントにアクセスしてパスワードの変更を試みました。幸運なことに変更できました。

今回被害がなかった理由・・

今回不正アクセスの通知が来ましたが、ポイントは奪われることなく実質的な問題はありませんでした。
何が良かったかというと二段階認証を有効にしていたことです。初めてアクセスするブラウザではショートメールで送られてくるワンタイムパスコードの入力が必要となります。不正アクセスではこのワンタイムパスワードがわからないためアクセスできないはずです。
２段階認証にしておいて良かったと思います。
（ただその場合にはワンタイムパスワードのショートメールが来るはずなのですが、今回は来ませんでした。理由がよくわかりませんね。もしかしたら不正アクセスできてしまって、ポイントを奪おうとするまでにパスワードが変更できたのかもしれませんが・・・）

いずれにしても実害がなくて良かったです。
（私の睡眠時間を返せ・・・。とも思いますが、幸いお休みの日だったのでちょっとゆっくり寝てましたので、その意味でも実害は０です）
良い経験をさせてもらったと思いたいと思います

クレジットカードやお金を扱うサイトは狙われやすいため、二段階認証のあるサイトは二段階認証を導入すべきだと思います。またFacebookやメールアカウントも、不正ログインでなりすましてメール配信する目的で狙われやすいため2段階認証がお勧めです。

ちなみに私はApple IDで不正ログインを受けてしまったことがあります。ログインしている端末にiPhone 8Plusがあり、家族誰も持っていないため不正ログインに気付いて慌ててログアウトさせてiPhoneに保存していたパスワードを全て変更しました。パスワードの変更に2、3時間かかったような気がします。パスワードが増えている今だと4、5時間はかかりそうです。Appleも2段階認証にしました。

何にしても朝からびっくりした話でした。