農夫。旅に出る

地方都市在住。いつかハワイに行くのを夢見る初老がお得にマイルを貯めて旅するブログです。

ポイントサイト不正アクセスで7,390円分ポイントが消えた!

皆さん気をつけてください。他人ごとではありません。先日同じマイラーのでめさんの記事を拝見して、私も同じヤフーメールでポイントサイトの登録している人です。記事を読んだ時はまだ不正アクセスされてなく対岸の火事と思っていました(大変スイマセン)。けど不安、心配なので週末にセキュリティ強化しておこうかと思い、確認のため本日14日にポイントサイトのポイントを確認するとあるはずのポイントが極端に少なくなっていました。あれっとポイント交換履歴を見るとあの「Amazonギフト券」の文字が!やられた!!

f:id:tetsuyama2000:20171014180334p:plain

でめさんと同じ恨みのイラスト(女性バージョン)にしました

 

 

でめさんの記事

www.ana-mileage-shoes.net

 

でめさんはちょびリッチで不正アクセスされています。

この記事を読んですぐに対応しておけばよかったのですが、まずちょびリッチだけなのかなと思いこんでしまい、さらに私のちょびリッチポイントがそもそも少なかったので後回しにしてしまいました。

 

不正アクセスされたポイントサイト

私の不正アクセスされたポイントサイトはハピタスファンくるです。

ハピタス

f:id:tetsuyama2000:20171014181540p:plain

細かいところまでAmazonギフト券に交換されてます。5,390pt。悔しい!昨日ですよ。200pt残されてました。お情けの缶ビール代残しておいたよというメッセージですか?

 

ファンくる

f:id:tetsuyama2000:20171014181835p:plain

こちらも昨日。ファンくるは20,000p=2,000円相当なので2,000円分Amazonギフトコードに交換されています。つい先日友人紹介キャンペーンで入った分と覆面調査した串カツ田◯の謝礼がなくなりました。悔しすぎます 涙。こちらも200円分ぐらいのポイントが残されていました。おそらく全部搾取すると気付かれやすいから残しておくorお情けのトリスハイボール代残しておいたよの心遣いでしょうか。

 

他のポイントサイト

何故か無事でした。アカウントはサイトによって違うところがありますが、パスワードは一緒でした。ポイントインカムはEPARKリラクの案件で獲得した大量のポイントがあったのですが、今回合言葉をちょうど変更中で変更後は72時間交換できない状態だったので免れたのかもしれません。搾取されたサイトと被害を免れたサイトは何が違ったのかは今後調べていきたいと思います。

 

何故に不正アクセスされたか

でめさんの記事によるとヤフーメールの不正アクセスからとなっています。私もこの不正アクセスされるまでヤフーメールのセキュリティなんて全くしていなかった物です。第三者がヤフーメールにログインされてしまうと各種ポイントサイトのアカウントとパスワードを盗み取ることはできます。

f:id:tetsuyama2000:20171014183317p:plain

「ポイントサイト名とパスワード」と検索すれば誰でも出てくる内容です。ポイントサイトからくるメールの1番最初にパスワード付いてます。誰でも簡単に探せます。

 

ヤフーメールのログイン履歴という画面がありましたので確認してみました。

f:id:tetsuyama2000:20171014183617p:plain

がっつりやられてます。犯人は何人いるんでしょうか?今日も私も以外の人がログインして個人情報覗きまくっていた事になります。私前にもフェイスブックのメッセージ機能MessengerのアカウントのっとりがありAmazonギフト券買ってきて〜メールを一斉に送って痛い思いしている身でその時はどこから漏れたかわからずじまいでしたが、ヤフーメールからだと今日確信しました。

 

ここは推測ですが、

アジア中華圏で公衆Wi-Fiでヤフーメールを見たもしくはヤフーのログインをした

今年はマカオ、香港、台湾、上海に滞在歴あります。ヤフー見ていると思います。

ヤフーメールのIDとパスワードが漏れる

特にセキュリティかけていませんでした。

ヤフーメールにログインし、ポイントサイトのメールを検索する

パスワードがわかれば未登録のデバイスからでも閲覧可能でした。

パスワードがあるメールからポイントサイトへアクセス

ヤフーメールにはポイントサイトからの初期登録からのメールが大量にありました。

ポイントサイトからAmazonギフトコードへポイント交換する

交換する際に必要な秘密の質問「母親の旧姓は?」の問いかけはAmazonギフトコード交換には無いのでしょうか?

 

主な対策

ヤフーメールの強化

海外ログイン制限

海外からのログインを制限するためにまずこちら

f:id:tetsuyama2000:20171016151949p:plain

先程のメールソフトログイン履歴の画面から海外アクセスの制限が出来ます。まずこちらを設定。

 

ヤフーログイン時のセキュリティ強化

ワンタイムパスワードの設定

デバイスからログインする際にワンタイムパスワードの入力を求める。一度入力成功したデバイスはワンタイムパスワードの入力を省く事ができる。

ログインアラートのお知らせ

特に注意が必要な場合に登録済みのメールアドレスにメール認証が来るようになる。

シークレットIDでログイン

シークレットIDのみログイン出来る。理由は既にアカウントは流出済みと考え、アカウントを捨てるわけではなくログイン時のみシークレットIDを使う。

パスワードの変更

これは当然ですね。パスワードはポイントサイトと共通のものが多いのです。今後どうするべきか悩みます。お金に関することなのでしっかり検討していきたいと思います。

 

ポイントサイトのパスワード・メールアドレスの変更

まずはパスワードの変更しました。さらにヤフーメールのセキュリティは強化しましたが、今後のために別のメールアドレスへ変更しました。

 

ポイントサイトへの要望

今回の不正アクセスは自分のセキュリティの甘さから招いた物で100%私が悪いです。今回の7,390円分のポイントは痛い勉強代と思っています。ただ一言だけ言いたいのは、ポイントサイト(今回で言えばハピタスとファンくる)から別のポイントサイト(PEXなど)の交換する際には細かく秘密の質問(母親の旧姓や出身小学校の名前)を聞いてくるはずなのに、Amazonギフトコードへの交換の場合は無かったのでしょうか?不正アクセスした人が私の母親の旧姓や出身小学校の名前を知っていると思いません。秘密の質問は私しか知らないはずなのにまたメールにも回答があるわけでもないので、今回不正アクセスされた際に秘密の質問が無かったかなと思います。私自身Amazonギフトコードへの交換はしたことがないので交換する際の手順がわかりませんが、Amazonギフトコードの交換する際にも必ず秘密の質問を付けていただきたいと思います。

※2017/10/26追記 アマゾンギフト券の交換の際にも秘密の質問があります。