悪夢再び。iTunesでクレジットカードを不正利用されて21万2400円請求された顛末
今度はiTunesから大量の請求が
昨年に続いての不正請求で、かなりのショックを受けている筆者です。「ぜんぜん教訓が生かされてないじゃん」と思われるかもしませんが、前回の記事でも書きましたが2段階認証ができるアカウントは、すべてそのような対応をとりましたし、いつもと違う機器でのログインがあったときにメールが飛んでくる設定にもしています。もちろん、PCにはセキュリティーソフトも入れてますし、フィッシング詐欺に対しても最善の注意を払ったつもりです。
さて、今回はどういうことが起きてしまったのでしょう。前回のDMMの件は、Yahoo!のアカウント情報がなんらかの要因で流出し不正利用され、メールに届いていたDMMのメールを見てDMMのアカウントを不正利用され、アダルト動画を購入されていました。敗因はパスワードが同じだったことです。これを期に極力パスワードを変えるようにしましたが、今回の件はまったく違いました。
気がついたのは、前回同様クレジットカードの利用明細です。たまたま(このあたりは前回の経験が生かされていないですね。反省)ネット上で確認したところ、いつもの月より請求額が高いことに気が付きました。内容を確認したところ、身に覚えのない「BILL ITUNES COM」の羅列が。しかも利用金額がすべて同じ「1万1800円」。3月13日から始まり、3月24日、25日を除き3月30日まで、計16回も不正利用がありました。
▲クレジットカードの請求書のcsv出力。BILL ITUNES COMが並ぶ
まず考えられたのが、筆者のApple IDが乗っ取られたこと。しかし、2段階認証などセキュリティー対策は施しており、特に知らないところからのアクセス通知はありませんでした。もちろん、購入履歴を見ても自分で利用したもの以外の履歴はありません。
▲iPhoneで購入履歴を確認するには、「設定」の「iTunes StoreとApp Store」で、いちばん上にあるAppleIDをタップ。「AppleIDを表示」を選択し「購入履歴」をタップすると確認できる
そのため、何らかの要因で筆者の個人情報が流出し、その中にはクレジットカードの情報も含まれていた模様です。犯人はその情報を何らかの手段で入手し、犯人のApple IDの支払い先として、筆者のクレジットカードを登録して不正利用していたと考えられます。
クレジットカード情報が抜かれ不正利用。カード会社へ連絡
この事実が発覚したのが4月に入ってからの夜中のこと。とりあえずカード会社へ連絡をとってみました。不正利用に関する問い合わせをしたかったのですが、夜間はやっておらず、紛失盗難に関する問い合わせのみ24時間対応でしたので、とりあえずそちらへかけてみました。
すると、不正利用されたかどうかの確認はできず(担当者は利用履歴とかは見られない模様)、カードを止めるか否かしか対応してくれません。もっとも本来なら、カードを不正利用されているので、まず止めることが重要なのですが、実はこのカードはメインのカードで、自動引き落としなどにも利用されているもの。このため一度止めてしまうと非常に面倒なため、かなり躊躇していました。
しかしながら、結局カードを再発行しなければまだ利用される可能性が高いのと、再発行には時間がかかるので、少しでも早く新しいカードが届くよう、止める決断をしました。カード再発行には1週間から10日間はかかるとのこと。その間に自動引落しに引っかからなければいいのですが......。
翌日昼前に、再びカード会社の一般問い合わせへ連絡。本人確認のあと、不正利用の旨を伝えると、iTunesを利用するアカウントが乗っ取られていないか聞かれたため、乗っ取られていない旨を伝えました。すると「では調査依頼をしますか?」と聞かれました。これは、本当に不正利用されたものなのか、カード会社が調査するというものだそうで、調査には時間がかかるそうです。そして、「ではお願いします」と気軽に言えないのが、調査依頼するために注意事項などを伝えられるのと、途中で止めるのも面倒なこと。特に費用はかからないのですが、そんなこんなで時間が取られるのもいやです。
「Appleに連絡は取られましたか?」と聞かれ、まだですと告げると「Apple側にまず連絡して、どう対応すべきか伺い、その上でこちらで対応したほうがいいのであれば、そのとき調査依頼してもいいと思います」とのこと。「あ、Apple側で対応できるんだ」とその時気付かされ、調査依頼はAppleに聞いてみてからすることにしました。自分のApple IDの不正利用じゃなければ対応できないと勝手に思ってました。
Appleのサポートへ連絡。不正利用が確認される
すぐにAppleのサポート電話へ連絡。不正利用の旨を伝えると、本人確認とともにApple IDやファミリー会員がいるか、自分ではなく家族が使っていないかなど聞かれ、「使っていない」と答えると、専門の部署へ回されました。担当者も変わり実際にApple IDの利用状況を調べるようです。筆者のApple IDに紐付けられたクレジットカードと同じだったのですが、「Apple IDに登録されているカード情報と同じですか?」の一言だけで、クレジットカード情報は伝えずに調査が開始されました。調査には10分近くかかりましたが、筆者のではないApple IDに筆者のクレジットカード情報が紐付けられていることが確認されました。
不正利用が確定したことで、まずAppleは、このApple IDの凍結とクレジットカード番号利用の凍結を実行。そのうえで、筆者は正確に不正利用された日時と金額を伝えました。すると「4月はありませんか?」と聞かれました。カード会社の利用明細には、まだ始まったばかりである4月の情報は掲載されていません。そのため、カード会社へ聞かないとわからないため、再度カード会社へ連絡することに。この時点で、Appleが不正利用されたぶんの払い戻しをするとのことだったので、その件も伝えるべく、カード会社へ電話しました。Appleサポートとのやりとりはおよそ30分でした。
ちなみにAppleは、引き続き同じ内容の問い合わせをする際、問い合わせ番号が発行されます。これでサポートの誰が受けてもそれまでの状況が共有されるしくみです。何度も説明せずに済むのでいいサービスですね。
カード会社へ連絡して、4月の利用明細を確認したところ、すでに2回使われていることが判明。うーん、トータル18回で21万2400円の不正利用です。カード会社の方では、特に問い合わせ番号などは発行されませんでしたが、不正利用で問い合わせたという情報はしっかり共有されていて、すんなり話が進みました。これはこれですばらしいですね。
そして、再びAppleサポートへ電話。最初の自動応対で受付番号を入力し、サポート担当者につながると、過去のやり取りを読み出して把握。4月分の2回不正利用があった旨を伝えると、また専門の部署へ回され、さらに数分間調べた後、全額返金するとのこと。のちほどメールで別の担当者からAppleIDに登録されたメールアドレスあてに連絡が届くと言われて、通話は終了です。最後に「申し訳ありませんでした」とサポート担当者に言われましたが、Appleも被害者であるのに、なんだか複雑な心境です。
数時間後に、メールが届きました。クレジットカード会社経由で返金する旨が書かれ、1ヵ月から2ヵ月ほどかかるとのこと。不正利用があった場合、クレジットカード会社の処理が確定していると、変更できないので一旦支払わなければなりません。前回もそうでした。そのため、21万2400円+自分で利用した金額が引き落とされてしまいます(正確には今回の場合、2回分は5月の請求になるので、2万3600円分は次月払い)。こういったとき、預貯金に余裕がない人はどうなっちゃうんでしょう? いい迷惑です。
▲Appleから届いたメール
犯人は1万1800円で何を買ったのか?
さて今回の件ですが、一体犯人は何に使っていたんでしょう。いろいろとネットで調べてみたところ、1万1800円という金額はポケモンGOの最大課金額と一致しているとのこと。確かに1万円+消費税というわけでもなくキリがいい割には中途半端な額で、かつ毎日同じ額を利用していることを考えると、合点がいきます。たとえ、Apple IDが停止されたとしてもポケモンGOのアカウントは違うため、また新しいApple IDを作れば痛くも痒くもないことになります。ただ、このあとAppleがどういう行動をとるのかわかりませんが、Apple側は何で利用されたのか、IPアドレスやGPSでの位置情報などはあるわけで、その情報を基にポケモンGOアカウントを停止させ、警察へ通報も可能でしょう。
▲「ポケモンGO」のポケコイン購入画面。最大は1万1800円だ
Apple IDにクレジットカードを紐づけするには、名義とカード番号、有効年月、セキュリティーコードが必要です。つまり、今回の件でセキュリティーコードは何も意味をなさないことになります。携帯電話会社払いの場合はSMSへコードが送られ、それを入力しなければなりませんが、クレジットカードの場合は特に本人確認などはありません。せめて、セキュリティーコードはクレジットカード会社のサーバーで別途入力するとか、クレジットカード会社独自に設定したパスワードを入力するとか、入力フォームが1ヵ所にならないようにしてほしいものです。そうすれば、すべての情報を入手するのは困難になるのではないでしょうか。
前回のDMMでの不正利用時は、いつもとは違う使い方をしているということで、DMMの自動判断でアカウントが即停止されました。これは被害を最小限に留めるかなり優秀なシステムだと思ったのですが、今回の件もAppleやカード会社にも導入されていれば、登録メールアドレスへ確認が行くことになり、より早く気がついたことでしょう。また、クレジットカードを登録する際、面倒にはなりますが、もっと厳格な本人チェックをすべきなのかもしれません。もしくは、カードが利用されるたびにクレジットカード会社から登録メールアドレスへメールが届くとかでも、より安全になると思います。
今回の教訓として、個人情報、特にクレジットカード情報のネットでの登録は、セキュアな状況であっても必要最小限にし、どうしてもというときはプリペイド式クレジットカードやPayPalを利用するなどして対策することだと思いました。個人的にはPayPalが、利用時にメールで通知が来るので。不正利用されてもすぐにわかりますし、いつも使っているクレジットカードを支払いに使えるのでとても便利です。また、プリペイド式は利用金額が少ないとこなら、使い捨てにもできるので、手数料は少々掛かりますが、安心して利用できるでしょう。
▲Paypalだと、購入時に利用明細がメールで届く。このため、メアドを書き換えられていない限り不正利用されたら気がつく
「2度あることは3度ある」にならいよう、最善の注意を払いつつ、信用できないところでどうしても支払いが発生するときは、プリペイド式かPayPalを利用していこうと思っています。あと、みなさん必ずカードの明細は確認しましょう。今回のように大胆に利用しないケースもあります。少額だと結構気づきにくいのではないでしょうか。何に使ったのかしっかり把握し、利用した覚えのない請求があったときは、すぐにカード会社へ連絡するか、利用された先が分かれば、そちらへ連絡するか対応しましょう。ちなみにカードは1週間待たずに届き、カード引き落とししているものは、ほとんど変更しました。紙で提出する案件以外は......面倒......。
