ヤフーメールの不正アクセスにより、私が利用していたポイントサイト2社(ハピタスとファンくる)のポイントが第3者によって勝手にアマゾンギフト券に交換されていたちょっとした事件がありました。私のセキュリティー対策の甘さを突かれたので、特に警察に相談するわけでなくこのまま闇に葬りたいと思っていますが、不正アクセスによって搾取されたポイントサイトの対応が各社によって異なりましたので一応紹介したいと思います。今後のポイントサイトの選び方にもなると思いますので、ご参考ください。
被害に合った時の記事
不正アクセスの経緯
- 私が普段ポイントサイトのメールアドレスに使用しているヤフーメールが海外からの不正アクセスにより勝手にログインされる
- 受信したメールに各種ポイントサイトのログインアカウントIDとパスワードが分かるメールがあり犯人に知らされる
- 各種ポイントサイトにアクセスを試みる。同じアカウントIDとパスワードでログイン出来るところがあった
- 秘密の質問の問い合わせを何処かのポイントサイトにしている(推測)
- 回答があった秘密の質問を別のポイントサイトで入力。アマゾンギフト券と交換
- 問い合わせしたメールは削除している(推測)
秘密の質問は本人しか知りないはずだが・・・
通常皆さん秘密の質問はどの項目にしていますでしょうか?おそらく自分に関係のある母方の旧姓だったり、出身小学校の名前にされている方が多いと思います。質問の設定に好きな食べ物であったり、好きな俳優さんの名前のところもありますがその日の気分によってカレーだったり、ラーメンだったりします。
秘密の質問は何故犯人が知り得ることができたか?
秘密の質問の回答は登録時メールではもらえません。記憶するしかない。ではどうすれば第3者が回答を得られるか?
一部のポイントサイトでは秘密の質問の入力が何回も出来ました。例えば旧姓の判断しやすい鈴木さんとか山田さんとかの場合、第3者が数打ちやれば回答が正解することも可能です。私の場合そこそこ有名な名字です。100回ぐらいやれば当たると思います。
今回被害にあったハピタスの場合、3回同じ日で間違えると翌日までアカウントロックが掛かり、交換できないようにしているとのことです。
ハピタスとファンくるに問い合わせした回答は秘密の質問を1回も間違えずに入力が出来ていたと回答ありました。犯人は私のアカウントでハピタスとファンくるにログインした際には既に私の秘密の質問を知っていたことになります。
秘密の質問を忘れてしまった時に問い合わせが出来る
ポイントサイトにはこの秘密の質問の回答がわからない場合(忘れてしまった場合)の為にお問合せフォームから回答を得ることができます。
とあるポイントサイトのアマゾンギフト券の交換画面
犯人はメールで問い合わせを行い、証拠を隠滅した?
ポイントサイトから秘密の質問の回答を貰ったメールを本人に把握される前に削除した。もしくは連絡用メールアドレスを違うのにして問い合わせしていた。おそらくどこかのログイン可能なポイントサイトの秘密の質問の問い合わせを行い、同じアカウントID、パスワード、秘密の質問のところを狙っています。
結果ポイントサイト2社から合計7,390円相当のポイントを搾取されました。他のポイントサイトもログイン試みたりしていたかもしれませんが、ポイントが少なかったり、アカウントID、パスワード、秘密の質問のどれかが合わず被害はありませんでした。
不正アクセスがあったポイントサイトの対応
ファンくるの場合
20,000p(2,000円相当)搾取。
パスワードと秘密の質問は定期的に変更してくださいねとアドバイスいただく
塩対応。
当たり前なんですけどね。
ハピタスの場合
5,390p(5,390円相当)搾取。
不正アクセスがあったと思われたためハピタス側で秘密の質問をリセット。アマゾンギフト券への交換手続きを保留。私からの不正アクセスの申し出があったため今回この手続きを中止してもらいました。パスワードと秘密の質問を変更。
搾取される予定だった5,390pは無事に戻ってきました。
神対応!!
今回の件でハピタスの対応がとても素晴らしかったです。メールの問い合わせも早く対応していただき不安要素を払拭してもらいました。不正アクセスに対してしっかり対応している感じがサイトからも見受けられました。
他のポイントサイトは不正アクセスに対してユーザーにアピールしている感じはサイト見ている限りではないです。案件のアピールはハピタスより派手ですが・・・
これからはカスタマーサポートの対応がよいポイントサイトを選んで利用していきたいと思います。ハピタスはココの対応が他よりいいと思います。
不正アクセスされないためにセキュリティー強化を!
ヤフーメールを不正ログインされることから始まっています。
- 海外からのログインを制限する
- ワンタイムパスワードを使う
- ログインアラートを設定する
- セキュリティーの強いGmailを利用する
前の記事セキュリティー強化について詳しく書きましたので、もし設定される方はそちらをご確認ください。
ポイントサイトからは登録している間メールマガジンがキャンセルできないところが多く、ヤフーメールで登録している方が多いと思います。今後もヤフーメール使用続ける方は絶対に1~3の項目は実施してください。
最後に
ポイントサイトのアカウントIDとパスワード、秘密の質問は同じものを使わないようにしましょう。もし被害にあった時に被害の金額が大きくなる場合があります。
今回ハピタスの神対応もあって搾取されたポイントの一部が戻ってきました。今後もハピタスは使っていこうと思います。まだハピタスに登録していないよという方は
↓こちらのバナーから登録できます。↓