大手携帯電話会社のKDDIが手がける「au」販売代理店の元従業員が、女性客のメールを転送して、自分の携帯電話でのぞき見していたとして警視庁に逮捕された。

警視庁の調べによると、容疑者は一昨年8月から9月にかけて、顧客の情報管理システムにアクセスして、20代女性のメールを自分の携帯電話に転送する設定をしたという。のぞき見したメールは1200通にも及び、また女性の写真を閲覧したり、女性の友人になりすまし、SNSにもアクセスしていたようだ。容疑者は「性的欲求を満たすためだった」と供述している。

このニュースを見て、「本当に携帯ショップ店員はメールをのぞき見できるのか」と不安に感じた人も多いだろう。

筆者は、警察発表資料だけでなく、KDDIやメディア関係者などを取材。ユーザーとショップ店員との信頼関係を揺るがす犯行の手口が浮かび上がってきた。

そもそも、ショップ店員は、顧客の情報管理システムにアクセスして、客のメールを転送するような設定ができてしまうのだろうか。複数のKDDI関係者に確認を取ったところ「窓口にある顧客情報管理システムのパソコンでは、そうした設定は一切できない。パソコンからは顧客の暗証番号すらわからない」という。

携帯電話の手続き中、ショップ店員が操作しているパソコンで、顧客の個人情報をいじり、簡単に設定できてしまう気がしたが、情報漏洩などの対策は取られているため、そうした不安はないようだ。

今回の事件は、実は「2つのメール転送」が容疑者によって行われていたという。まず一つ目が、Gmailだ。Gmailはグーグルが提供するメールサービスだが、Andoridスマホを設定するときに、一番最初に「グーグルアカウント」として、メールアドレスとパスワードを入力する必要がある。スマホを新規に購入したとき、グーグルアカウントを持っていれば、その場で入力するし、所有していなければ、アカウントを作らないといけない。　

おそらく容疑者は、被害者のスマホをショップの窓口で預かり、操作する際に、被害者からグーグルアカウントであるメールアドレスとパスワードを聞き出した可能性が高い。その2つを覚え、自分のスマホに設定することで、被害者が送受信したメールを盗み見したのではないか。

被害者の女性が、自分のスマホに知らない人のアドレスが登録されているのを不審に思い、警察に相談したことで、今回の事件が発覚した。容疑者が自分のスマホに保存していたアドレスデータと、被害者の女性のデータが連携してしまったようだ。

警察が詳しく調べたところ、2つめの転送メールが発見された。

2つめは、auが提供している「ezweb.ne.jp」というキャリアメールだ。

実は、auは、ガラケーのころから、ケータイ宛のメールをパソコンなどに転送できるサービスを提供している（ソフトバンクやNTTドコモのiモード／SPモードメールなどは非対応）。本来はケータイ宛のメールをパソコンでも確認できて便利な機能なのだが、これが悪用されてしまった。

この自動転送メールの設定も、auショップにある顧客管理システムのパソコンからは操作できない。

自動転送メールを設定するには、スマホやケータイからサイトにアクセスし、「メールの設定を変更・確認したい」という項目から、Eメール設定画面を選べばいい。ここで求められるのは契約時に設定した4桁の暗証番号のみとなる。

実は、auショップに行き、窓口で手続きをする際には、まず始めに本人確認をするために、携帯電話番号と暗証番号を、覆いで隠された電卓のような機器に入力することから始まる。

つまり、この段階で、容疑者は被害者が打ち込んだ4桁の暗証番号を盗み見し、覚えていたのではないか。

容疑者は、被害者からスマホを預かり、さも手続きをしている雰囲気を装いつつ、メール転送の設定画面にアクセスし、覚えておいた4桁の暗証番号を入力したのち、自分のアドレスを転送先に設定しておけば、女性宛に届いたezweb.ne.jpのメールは被害者の手元にも転送として届くようになるのだ。

この時、被害者にも当然、メールはきちんと届くので、転送されていると気がつくのはかなり困難だ。

被害を受けないよう、身を守ることはできるのか

我々は、ショップ店員に対し、全幅の信頼を置いて、契約手続きに対応してもらっている。本人確認のために免許証やパスポートをコピーさせるし、名前だけでなく、自宅の電話番号や誕生日、住所なども伝えるときがある。

今回の容疑者は、その信頼関係を根底から覆した。我々は、ショップにいけば番号札をひき、呼ばれれば、店員さんを選ぶことはできず、仕方なく、呼ばれた番号のカウンターに座って手続きをしなくてはならない。「この店員、怪しそうだから、この窓口は嫌だ」という拒否はできないのだ。

ただ、自分たちでできる防衛策としては、ショップ店員だからといって、気軽にグーグルアカウントやパスワードを教えてしまわないことだ。窓口で設定をする際、グーグルアカウントやパスワードを入力する画面が出てきたら、自分で入力する手間を惜しまないことだ。

ましてや、LINEなど他社サービスのIDとパスワードを、紙に書いて、ショップ店員に渡し「これで、新しい機種でもすべてのメールを使えるようにしておいて」と丸投げしてしまうのはナンセンスだ。

IDとパスワードだけは、自分でしっかりと管理したい。

また、暗証番号の入力を電卓のような端末に打ち込むときも、店員さんに見られないように、慎重に入力した方が良いだろう。

各携帯電話会社のショップは、携帯電話会社とは別の販売代理店が運営している。そのため、今回の事件も、販売代理店の店員が行った犯罪であり、KDDIも被害者と言える。しかし、客はauの看板を見て、契約をしに来るわけで、KDDIとしても、責任を持って、再発防止に全力を注ぐ必要があるだろう。

KDDIとしても、窓口にある端末からは個人情報を安易に改ざんしたり、不正な個人情報流出を防ぐ努力はしていた。しかし、4桁の暗証番号を暗記され、ユーザーのスマホを操作されてしまってはどうすることもできない。

今後、KDDIとしては、窓口で暗証番号を入力しても、ショップ店員が盗み見て、悪用されないような対策を練る必要があるだろう。