パスワードを問答無用で0000で上書きするでない！

タイトルだけで、だいたい言いたいことは終わりました。

ドコモで契約してるスマホの、といえばいいのか、dアカウントの、というほうが適切なのかわかりませんが、今日それの「spモードパスワード」というやつを変更しようと思い立ったのですが、そもそも設定したおぼえがないので「パスワードリセット」というのをやれば結果として変更できるかなと思った次第。ふつう、パスワードリセットというのをやると、ワンタイムURLが発行されて新しいパスワードを設定する流れになるなどしますよね。それをイメージしたわけですが、My docomoのトップページで「iモード・spモードパスワードリセット」を叩いて、生体認証またはネットワーク暗証番号で確認画面を突破、するとパスワードリセットのフローに入ります。

このフローは3ステップあって、ステップ1で「注意事項を読んでパスワードリセットの実行に同意する」、ステップ2で「その確認画面」、ステップ3で「その完了画面」なんですが、ステップ1にてパスワードリセットを実行すると表示される確認画面がこちら。

なんということでしょう。問答無用で0000で上書きすることをパスワードリセットと呼んでいました。

リセット完了した直後から超脆弱。
（しかしゆーても所詮は数字4桁で、0000じゃなかったとしてもたかが知れてますかね？）

なお、パスワードを任意の数字4桁で設定するにはMy docomoのトップページで「設定(メール等)」を叩いて下のほうのリストにある「spモードパスワード」、これを叩くとアコーディオンになってて開くんですがその中にある「変更する」ボタンです。パスワードリセットが完了したら、可及的速やかにこのボタンを叩きに行くことをお勧めします。というより、そもそもspモードコンテンツ決済を停止したり、なんならspモード自体を停止したほうが安全かもしれないけど。いやspモード愛用者だとそういうわけにもいかないですが。ちなみに僕はこの後よくよく契約内容を確認したらspモード自体契約してなかった。契約してないのにパスワードリセットできるというの、じゃっかん怪しさがあるなあ……。

まあ今日のところはこれくらいで勘弁とします（謎）。