DMMで不正アクセスされてエロ動画を4万2380円分落とされたけど、それで済んだわけと原因と対策を考えてみた
「やべー、どうしよう」と、ちょっとドキドキしましたが、酔っ払ってエロ動画でも見まくったわけもなく、どう考えても不正アクセスされて利用されたのでしょう。これまで、さまざまなサービスを利用してきましたが、不正アクセスされて被害にあったのは、これが初めての経験です。
▲クレジットカードの請求書にDMMで使った記憶のない金額のものが!
DMMの機転により即アカウント凍結
とりあえずDMMのアカウントでアクセスしてみることに。すると、「一時的にお客様の会員登録をご利用できない状態にさせていただきました」という旨のメッセージが。アカウントが凍結されている! どうやら被害金額が少なかったのは、DMMが不審なアクセスと判断して即停止状態にしたからのようです。このため、被害金額も少なく、メアドやパスワードを変更されることもなく済みました。なんという神対応!
あとからネットで調べたところ、DMMでは普段と違う行動をしていると認識すると、自動的に処理したり、サポートへ警告を出すそうです。今回、立て続けにエロ動画を購入したのと、普段と違うところからのアクセスだったため、不正アクセスと認識されたのではないかと思われます。
▲犯人が購入したエロ動画の数々。しっかり履歴として残っていた! 犯人の性癖がわかっても嬉しくはない。
なぜ、クレジットカードの請求書が来るまで気が付かなかったのかというと、このDMMのアカウントは、DMMモバイルで利用していたもので、そうそうログインすることはなかったこと。それから、登録に使ったメールアドレスも普段あまり使わないもので、届いたメールもろくに読まない状態だったことが原因です。
そのため、あとから気がついたのですが、DMMからアカウント停止した旨のメールが2月4日に届いていました。そのメアドは、メールソフトで読んでいたのですが、たまにアクセスしてメールを取り込んでいる感じだったため、完全にスルーしていたのです。
▲DMMからのメールは、不正利用された直後に送られてきていた。つまり、普段と違うアクセス、利用法だったため、すぐ凍結していたことになる。
とりあえず、サポートへ電話をしました。待たされることなくすぐに繋がると、男性のオペレーターが対応してくれました。不正利用されてアカウントが停止されている旨を伝えると、まず登録していたメールアドレスを聞かれ、その後、住所や電話番号、使用しているブラウザー、最後にいつアクセスしたかなど、本人確認と利用状況について聞かれました。さすがに最後にアクセスしたのがいつかなんて、まったく覚えていなかったので、およその感覚で答えましたが、とりあえず不正利用されたことは確認されました。
続いてアカウントを復活させるために、新しいメールアドレスを登録することに。別のメールアドレスを教えると、メールが届いたので、そこからパスワードを登録します。これで、アカウントは復活しました。不正利用され請求されたお金も全額払い戻されるとのこと。念のためクレジットカード会社に連絡してカード番号も変えたほうがいいと言われ、電話を切りました。
DMMより以前にYahoo!のアカウントがやられてた
さて、ではなぜ不正アクセスされてしまったのでしょう。ここからは推測を含めて考察してみました。まず、DMMのアカウントが復活したあとに、アクセス履歴を確認してみました。すると、不正アクセスがあったのは2月4日の1回限りでした。ログイン時にパスワードが何度か間違っていたかどうかは不明ですが、私が使っていたパスワードを一発で見抜くのは無理だと思われるので、DMMのログインIDとパスワードが漏えいしたのではと仮説できます。
▲DMMのログイン履歴を確認すると、2月4日の11時48分にアクセスされていることを確認。
ただ、DMMから個人情報漏えいしたという報道は、検索したところ小さいものはあったものの大々的なものはありません。ということで、ログインIDにメールアドレスを使っていたため、こちらのアクセス履歴を確認してみました。メールはYahoo! JAPANの無料メールアドレスを利用していました。
すると、こちらも不正アクセスの痕跡がありました。こちらは1月29日に一度アクセスがあり、被害にあった2月4日にもアクセスがありました。2月4日のアクセスは、DMMへアクセスする直前です。このことから、DMMのIDとパスワードが漏えいしたのではなく、Yahoo!のメアドとパスワードが漏えいした可能性が高くなりました。というのも、運悪くYahoo!のメアドのパスワードとDMMのアカウントのパスワードが同じだったからです。
▲IPアドレスは違いますが、同じ人物でしょう。2月4日は、DMMへアクセスする3分前の時間にログインしています。
先述のとおり、筆者はこのメアドを頻繁に使うものではなく、しかもウェブで閲覧するのではなく、メールソフトで確認していました。このため、メールサーバーからはメールソフトで受信すると削除されています。ただ、毎日チェックしていたわけでもなく、2月4日の時点で何件かのメールがメールサーバーに残っていた可能性が高いです。その中にDMMからのメールもあったものと思われます(2月2日、3日にメールが届いていたため)。そこから、DMMのIDにこのメールアドレスが利用されていることがわかります。
では、Yahoo!のアカウント情報がどうして漏れたのでしょう。こちらもネットで調べましたが、米国Yahoo!では昨年、5億、10億と立て続けにアカウント情報が漏えいしたことを公表しています。ただ、日本はサーバーも違うので漏えいしていないとのこと。となると、何かしらのサービスやサイトで登録した情報が漏れたのでしょうか(その際メアドと同じパスワードを使ったとか......)。そのあたりの真相はわかりませんが、自分では気をつけているつもりでいても、どこからか情報は漏れている可能性があるということなのでしょう。
2段階パスワードやワンタイムパスワードの導入を
この一件があり、セキュリティーに対して少し見直しました。まず、当たり前ですがパスワードの変更。さすがにすべてのサービスを違うパスワードというのは、無理があるので、メールサービスで使っているものとほかのサービスとで変えるなど、できる範囲で変更しました。ただランダムパスワードにしても覚えられないので、従来より複雑にしつつ覚えられる範囲のものにしています。もちろん、ブラウザーに覚えさせておくという手法もありますが、そのあたりは個々の判断で設定するといいと思います。
あと、少々面倒ですが、2段階パスワードやワンタイムパイワードが導入されているサービスは、それらを利用するように設定を変更しました。これにより、ログインされたこともわかりますし、不正アクセスしにくくなります。
▲Googleのアカウントは2段階パスワードが可能。3月20日に発覚したあと、すぐに変更した。
クレジットカード情報に関しては、必要なければ登録しない(頻繁に利用するところではなくたまにしか使わないところは登録しないとか)ようにしていますが、今回のDMMの場合は毎月の料金を払っているので登録せざるを得ません。もちろん、サーバーから情報が漏えいしたら大変ですが、4月に払い戻しも確認しており、DMMのような対応してくれれば筆者的には十分と感じています。
▲4月分の請求で、きちんと返金されました。連絡した3月20日付けで処理されています。
みなさんも、さまざまなサービスがネットにあふれ、いろいろなところに登録しているかと思います。今一度、放置しているものも含め、確認してみることをオススメします。被害に遭っていなくても、アクセス履歴を見ると不正アクセスの痕跡があるかもしれません。また、DMMのように1つのアカウントでさまざまなサービスが利用できるものもあり、DMMモバイルでは個人情報を取得する以外あまり意味はありませんが、動画サービスだと、ダウンロードして閲覧できてしまいます。ただ、DMMの動画はDRMで保護されているので、アカウントが停止された時点で見られなくなったはずなので、犯人はまったく得はしていないでしょうし、DMM的にも損害はなかったでしょう。今回の件で、よりセキュリティーの意識が高くなったいい機会であり、筆者的にはある意味ありがたかったと思っています。
