不正利用被害に遭ったときアナタはどうしますか?

 

2016年5月に、僕は楽天ポイントの不正利用被害に遭いました。

楽天における不正利用事件というと、2014年の楽天ダウンロードにおけるドラクエ不正購入をご存知の方もいるでしょう。

今回僕が遭遇したのは、「楽天アプリのバーコードによる商品購入機能を利用したポイント不正利用」でした。最終的に、本来は補償の対象外だった楽天ポイントを返還していただくことができたのですが、事件への対応中は本当にパニック……。

そこで今回は、同じような事件に巻き込まれた人が、どのような対応をすべきか考えるための参考に、僕がやったことを出来る限り詳細に記事にしてみます。(念のため詳しい店舗名や楽天の担当者名はアルファベットで表記させて頂いております。)

 

ちなみに、メールのやり取りも全て記載しているので、ものすごく長文です。まとめ記事は以下になりますので、時間の無い方はコチラをどうぞ。

 

パスワード初期化連絡~事件発生まで

■2016/05/16 3:08
→「【楽●天】パスワード初期化のご連絡」メールが到着

 

■11:35
→上記のメールに気づく。楽天のページにログインしようとすると、再設定用の秘密の質問が中国語になっていると判明。すぐにパスワードを変更。クレジットカードの利用履歴と登録しているユーザー情報(住所など)に不審な点が無いことを確認。

 

■20:41
→「【楽天ポイントカード】楽天スーパーポイント利用のお知らせ」が3件到着。楽天にログインしてみると、たしかにポイントが減っている。メール文面を確認すると、「サンクス N5丁目店」というコンビニで利用されている模様。住所を調べると、東京の店舗と判明。

 

■20:45
→「サンクス N5丁目店」の電話番号を調べて、直接電話。メールに記載されていた楽天ポイントについて確認してもらうと、タブレットを利用して商品を購入していた事が判明。警察に届け出ることを伝えて、防犯カメラの映像を確保してもらうように依頼。

 

■21:11
→再度、「【楽天ポイントカード】楽天スーパーポイント利用のお知らせ」が到着。今度は、「サンクス H4丁目店」という別のコンビニ。住所を調べると同じく東京で、1店舗目とかなり近い立地。こちらについても、直接電話で確認したところ、中国系の女性がタブレットで商品を購入していたとのこと。同じく防犯カメラの映像の確保を依頼すると、了承を得たものの「保管期間が1週間しかない」と教えていただく。

(この直前に、すでに楽天への問い合わせを開始しているため、下記の時系列と若干の前後があります)

 

スポンサーリンク

楽天への問い合わせ開始

■21:07
→楽天に事の次第を報告したいが、そもそも、どこに連絡をすれば良いかが分からない。即時の対応ということで、電話での問い合わせ先を確認してみるも、時間外。クレジットカードについては大丈夫なのかを確認する必要もあると判断し、24時間対応の「楽天カードの紛失・盗難窓口」へ電話。
クレジットカードの利用履歴については、不審なところは無いので、本件は楽天ポイントの不正利用のみだろうとの予想。24時まで対応のチャットサービスで相談してはどうかとご提案いただく。

 

トラブル発生時、その時間帯ごとにまずはどこに連絡すべきかについては↓


■21:10
→楽天市場のチャットサービスへ事態を報告。担当部署から後日連絡する、という連絡のみ。対応までの時間についても質問してみるが、明確な回答は得ることができず。

 

■ 21:30
→そもそも、なぜ昼前にパスワードを変更したのにもかかわらず、ポイントを利用できたのか?もしかして、現在進行系でアカウントがハッキングされているのではないか?との不安から、再度、パスワードを変更。
ここで、「スマホやタブレットにおいて楽天アプリで一度ログインすると、パソコンでパスワードの変更をしても、スマホやタブレットのアプリ上ではログインしたままになる」という事実が判明。すぐに楽天のチャットサービスに連絡を入れるも、回線が混み合っているようでなかなか担当者につながらない……。

 

■22:20
→先に警察への連絡をいれるべきと考え、最寄りの警察署に連絡。15コールしても出ず。

 

■22:21
→もしかして夜間は連絡がつながらないのではないか、と勘違いして110番に連絡。(本当はやっちゃダメ!)
状況を説明すると、当直が居るがたくさんの人間が待機しているわけではないので、別の電話に出ていて対応できなかった可能性がある。出るまで鳴らし続けて欲しい、と教えていただく。

 

■22:22
→再度、最寄りの警察署へ電話。用件は伝えたが、当直の方では対応出来ないので、朝、もう一度かけて欲しい、とのこと。

 

■22:49
→楽天についても、呼び出しを続けていれば繋がるのではないかと、再度チャットサービスへ問い合わせ。約1時間後の23時43分にやっと接続。「利用中の端末全てについて、強制的にログアウトする方法が無いか」と問い合わせてみるが、担当部署から連絡します、の一点張り。
(この時点では、どこにも連絡がつながらないし、なんにも進展しないのでよりいっそうパニックに。楽天の担当者さんには、「被害が拡大する可能性を認識した上で待つしか無いという認識で大丈夫ですか?」とかなり詰めた問い合わせをしてしまいました……)

 

スポンサーリンク

警察への被害届の提出

■5月17日 9:00
→不正利用被害については都道府県のサイバー犯罪対策相談窓口へ、と楽天のヘルプページに掲載されていたので、電話番号を調べて問い合わせ。
該当の部署で調査は行うが、それは所轄の警察からの要請があって初めて動く、とのことで最寄りの警察へ被害届を提出して欲しい、と依頼を受ける。

 

■9:50
→最寄りの警察にて、被害届を提出。経緯の説明、および証拠品(楽天からのメールやログイン履歴)についての写真撮影を実施。

 

警察で教えてもらった詐欺事件の被害区分や、僕が提出した証拠品については↓

 

あとは、楽天からの連絡を待つことに。

 

楽天とのメールやり取り

ここからは、楽天とのメールのやり取りですが、「楽天市場のお客様サポートセンター」と「楽天ポイントのサポートセンター」からの連絡ということで、かなりややこしいやり取りになります。また、文章的には長文になりますので、抜粋にて記載させていただきます。

 

楽天:確認するからちょっと待ってね

2016年05月17日 14:49

日頃、楽天市場をご利用いただきましてありがとうございます。
楽天市場お客様サポートセンター S でございます。

この度は楽天市場のご利用につきまして、ご不安なお気持ちを与えることとなり、まことに申し訳ございません。

ご連絡いただいた内容をもとにお調べしたところ、以下の状況を確認いたしました。

—————————————————————–

【会員登録について】
ご登録の秘密の質問が5月16日に変更されておりました。
既にお客様ご自身でパスワードを再設定いただいているようでございますため、弊社でのパスワードの初期化は実施しておりません。

また、ご利用のメールアカウントが第三者に不正アクセスされている場合、お客様がご利用のメールアカウントにて第三者から再度パスワードの設定がおこなわれ、不正アクセスがおこなわれる可能性がございますので、ご利用のメールアカウントのパスワードにつきましても、変更を行っていただきますようお願い申し上げます。

くわえて、会員登録に登録されている秘密の質問が第三者に回答可能な状態となっている場合につきましても、同様にパスワードの再設定が行われる可能性がございますため、上記秘密の質問の変更にお心当たりがない場合、以下のページより秘密の質問につきましても再設定をお願いいたします。

【注文状況】
身に覚えのない楽天ポイントカードのご利用について、別途担当者へ申し伝えさせていただきました。

お急ぎのところ大変恐縮でございますが、担当者からの連絡を今しばらくお待ちくださいますようお願い申し上げます。


また、弊社といたしましてもいただいた内容をもとに調査や今後の対策を行い、再発防止に取り組みますが、セキュリティの関係上、お調べした情報の内容および具体的な対策についてはご案内いたしかねます。

そのため、ご注文のキャンセルやご請求の状況に関わらず、警察等の公的機関にお早めに相談いただくことをお勧めいたします

楽天市場といたしましても、警察などの公的機関からの公的文書に基づいた照会に対しましては、情報提供などの可能な限りの協力を行なっています。

また、現在ログインしている端末からの強制ログアウトにつきましては、弊社にてご対応できかねております。
まことに心苦しい限りではございますが、何とぞご理解いただけますようお願いいたします。

最後になりますが、ご利用の会員登録について楽天からのお願いです。

昨今の不正アクセスについては、無作為のアタックではなく既にユーザIDとパスワードを把握されていると思われる状況でのアクセス・ログインが非常に多くなっています。

そのため、下記の点にご注意いただければ幸いです。

・コンピューターウイルス等による保存/入力情報の漏えいを避けるため、セキュリティソフトの導入などセキュリティの強化をご検討ください。
・他のサイトなどと類似したIDやパスワードを避け、ユーザIDは、第三者に知られる事のないよう、メールアドレス以外のものに変更していただきますようお願いいたします。
・パスワードは誕生日や電話番号を避け、第三者に推測されにくいものを設定されることを強くお奨めいたします。
・ユーザID・パスワードを第三者に知られることのないよう、適切に管理していただくと共に、定期的なパスワードの変更を行なっていただきますようお願い申し上げます。

不審なログインを検知した場合の自動パスワード初期化や、ログインアラート機能など、弊社といたしましても、今までにいただいた情報を元に再発防止に取り組んでおりますが、引き続き対策強化を行っていく所存でございます。

楽天の様々な情報セキュリティの取り組みに関しては、下記のURLご参照頂ければ幸いです。

■情報セキュリティの取り組み
http://corp.rakuten.co.jp/security/

最後になりますがご心配をおかけしたことについて改めて楽天としてもお詫び申し上げます。

今後とも、楽天市場でのショッピングを楽しんでいただけるように努めてまいりますので、ご愛顧のほどよろしくお願い申し上げます。

 

僕:アプリが不正利用される状況のままなんですけど……

これに対して返信した内容は主に3点+α。

  • メールアカウントのパスワードは変更済み
  • 警察への被害届を提出
  • 上記のような時系列で事件について報告

特に気になったのが以下の部分。

また、現在ログインしている端末からの強制ログアウトにつきましては、弊社にてご対応できかねております。まことに心苦しい限りではございますが、何とぞご理解いただけますようお願いいたします。

じゃあ泣き寝入りしろということなのか!?と、さすがに理解できなかったので「パスワードを再設定した際に、ログイン端末を一度ログアウトさせる仕様でないため、今回の犯罪が可能となったのではないか?」とけっこう強めにツッコみました。

 

楽天:だから待ってって言ってるでしょ?

2016年05月17日 20:24

楽天市場お客様サポートセンター N と申します。
この度は詳細についてご返信いただき、ありがとうございます。

今回ご連絡いただきました「不正ログイン」につきましては、弊社にて詳細を確認し後日追ってご連絡をさせていただきたく存じます。

お急ぎのところ、まことに申し訳ございませんが、何とぞ、ご了承いただきますようお願い申し上げます。
なお、「楽天ポイントカードのご利用」につきましては、別途担当部署よりご案内させていただきますので、今しばらくお待ちいただけますと幸いでございます。

それでは一旦ご連絡のみにて失礼いたします。

→結局、「お待ち下さい」のみ……(´・ω・`)

 

楽天:ポイントカード使えないようにしたよ!

2016年05月17日 20:55

楽天ポイントカードお客様サポートセンター H でございます。

弊社サービスにおいて、お客様へご心配とご不快の念をおかけしておりますことを深くお詫び申し上げます。

現在、第三者の不正利用を防ぐため、弊社にて楽天ポイントカードの機能が使えないよう措置をしております。
※アプリをご利用されている場合にも、アプリバーコードは無効となっており、ご利用いただくことができないよう制限をしております。

なお、この度、第三者に不正に利用されたポイントにつきましては、社内で確認を行っております。

確認でき次第、追ってご連絡をさせていただきますので大変恐縮ではございますが、お待ちいただきますようお願い申し上げます。

取り急ぎご連絡にて失礼いたします。

 

僕:状況が分からないんですが……

正直、状況が全く分からない……

現在、第三者の不正利用を防ぐため、弊社にて楽天ポイントカードの機能が使えないよう措置をしております。

私はクレジットカード以外の楽天カードを所持していないのですが、このクレジットカードのポイント機能が使えなくなっている、ということですか?

また、アプリバーコードが無効になっている、とのことですが、アプリバーコードはアカウントに対して単一のものですか?
(本件が解決した場合、もとのバーコードが使えるようになる?)

もしその場合、これまでにも何度もお伝えしているとおり、すでにログインしている情報端末(タブレット等)について、ログアウトしないかぎり、利用され続けてしまい再犯を防ぐことが出来ないのではないかと不安なのですがいかがですか?強制的にログアウトとかできないんですか?

確認でき次第、追ってご連絡をさせていただきますので大変恐縮ではございますが、お待ちいただきますようお願い申し上げます。

コンビニの防犯カメラの映像は1週間しか保存されないんですが、スケジュール大丈夫ですか?

 

楽天:セキュリティの観点から詳細はお伝えしかねます

2016年05月18日 19:43

楽天市場お客様サポートセンター N と申します。
この度は再度ご連絡をいただくこととなり申し訳ございません。

ご質問いただいた内容につきまして、すでにご確認いただいておりましたらまことに恐れ入りますが、各ページへのログイン状況やログインした端末につきましては、以下のページよりご確認いただくことが可能でございます。

■ログイン履歴について
━━━━━━━━━━━━━━━━━━━━━
1. myRakutenにアクセス
■myRakuten
https://my.rakuten.co.jp/

2. 「会員情報サービス」内、「会員情報管理」の
「その他の情報を表示」内の「ログイン履歴」をクリック

3. 表示された項目から「ログイン履歴」をクリック

※ログイン履歴の見方については以下のQ&Aをご参照ください。

■ログイン履歴の見方
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/9376
━━━━━━━━━━━━━━━━━━━━━

しかしながら、セキュリティ保護の観点から上記ページの記載内容を超える詳細なご案内が出来かねますことをご理解いただけますと幸いでございます。

なお、この度発生した事象につきましては、担当部署においてシステムの詳細や強制ログアウトの可否を確認のうえ、ご案内させていただきたく存じます。

ご心配をおかけしておりますところ、まことに恐れ入りますが、今しばらくお待ちいただけますと幸いでございます。

それでは一旦ご連絡のみにて失礼いたします。

 

僕:質問の意図が伝わっていない……

私が知りたいのは、「ログインしたことが有る端末」ではなく、「現在ログインしている端末」を調べる方法です。
これは、何度もご連絡させて頂いております通り、一度、御社のアプリでログインが完了した端末は、設定でログアウトを選ばないかぎりログインしたままになる状況のため、本件の犯人にあたる人間がログインし続けた状態になっているかどうか判別できないか、を質問しているのです。

「セキュリティ保護」と記載がございますが、すでに私のアカウントのセキュリティが侵害されている状態をいかがお考えか、明確な回答をいただけますでしょうか?

 

楽天:一度アプリでログインしたら不正利用できる仕様となっております

2016年05月20日 18:12

楽天ポイントカードお客様サポートセンター H でございます。
弊社での確認にお時間をいただき申し訳ございません。

ご連絡いただきました件について社内で確認を行いました内容を以下のとおりご案内させていただきます。

楽天ポイントカード加盟店にて、高額のポイント利用が続いた場合など、不正と判断した場合にシステム上で停止を行う場合がございますが
ご連絡をいただき、停止する場合もございます。

この度、お客様におかれましては、5月16日に楽天ポイントカード加盟店にて不正にポイントの利用がされていることを確認しております。

弊社側では上記の5月16日に、楽天ポイントカード加盟店での連続した高額のポイント利用を検知し、楽天ポイントカード機能を停止する措置を実施しております。

弊社で楽天ポイントカード機能の停止措置以降は、楽天ポイントカード加盟店での不正なポイント利用は確認されておりませんことを、何とぞご理解賜りますよう

また、今回のポイントの不正利用は、アプリで行われているものとなり、第三者が、なんらかの方法でお客様の会員登録にアプリからログインを行い、不正利用を行った可能性がございます。

パスワードの再設定よりも早い時間に、第三者がログインを行っていた場合アプリを用いて不正利用されてしまう可能性がございます。

※楽天ポイントカードアプリは、お客様の利便性を考慮して、都度ログインを求める仕様ではなく、一定期間ログイン状態が継続され、すぐにアプリを利用することができる仕様となっております。

しかしながら、現在は楽天ポイントカード機能の停止が行われておりますため、第三者が楽天ポイントカード加盟店で、不正にポイントを利用することはできなくなっております。

この度不正に利用されたポイントにつきましては、現在も社内で確認しておりますので、確認でき次第、追ってご連絡させていただきます。

何度もご連絡をいただくお手数をおかけし、まことに申し訳ございませんが今しばらくお待ちいただきますようお願い申し上げます。

一旦、ご連絡のみにて失礼いたします。

※この記事を書くために改めて見返していると、「一度アプリでログインが完了してしまうと強制ログアウトができないので不正利用できるよ!」と楽天が認めていることに驚きました……。

 

楽天:アプリでログインしているかどうかは分からない仕様となっております

2016年05月20日 18:28

楽天市場お客様サポートセンター N と申します。
この度はご案内までにお時間を頂戴してしまい、申し訳ございません。

ご連絡をいただいております、「現在ログインしている端末」につきまして、弊社関係部署と連携し、調査が可能であるか確認いたしましたが、システム上、お調べすることが不可能との回答でございました。
また、強制的にログアウトできないかとの件につきましても、ご対応が難しくなっております。

せっかくお問い合わせをいただいたにも関わらず、ご期待に添うことができずまことに申し訳ございません。

また、秘密の質問の答えにつきましては、新しく設定いただいたとのことでございましたら、質問の答えは表示されておりませんので、設定されたお客様のみが知りえる情報となります。

今回、パスワードの初期化も行っていただいたとのことでございますので、パスワード情報が第三者に把握されていない限り、再度秘密の質問を変更されることは無いものかと存じます。
※秘密の質問の変更にはパスワードの入力が必要となります

しかしながら、現在第三者が現在もログイン状態である可能性につきましては私どもでもお調べできない内容でございましたので、もし、今後のこちらの会員登録をご利用いただくことにご不安を感じられる場合は、新しいメールアドレスをご用意いただいたうえで、新規会員登録をご検討いただくか、現在のご登録を退会後に、ご連絡のメールアドレスにて新規会員登録を行っていただきますようお願い申し上げます。

なお、大変恐縮ではございますが、ポイントの移行が出来なくなっていることから、現在お持ちのポイントは使い切っていただくことをお勧めいたします。
退会される場合は、楽天スーパーポイントや登録に紐づくすべての情報が削除されますので、ご了承のうえで退会手続きを行っていただきますようお願い申し上げます。

また、今後も、楽天カードの利用ポイントの付与をされたい場合は、一度楽天カードを退会し、再度ポイント付与希望の楽天会員登録を利用して、新たに楽天カードにお申し込みをご検討いただければと存じます。

※再申し込みの場合、新規入会特典となる2,000ポイントは付与されませんことをご了承ください。

楽天カードは、楽天グループの楽天カードが発行するカードとなりますので、まことにお手数をおかけいたしますが、解約・新規お申し込み手続き等のご質問がございましたら、楽天カードまで直接お問い合わせいただきますようお願い申し上げます。

お力添えできる範囲に限りがあり、まことに申し訳ございません。
何とぞご了承くださいますようお願い申し上げます。

至らない点もございますが、今後とも快適なインターネットショッピングを提供できるよう努めてまいりますので、これからも楽天市場をご愛顧ください。
それでは、失礼いたします。

 

僕:これまでに問い合わせしたことが回答されていないんですが……

担当者数名が入れ替わり立ち代りご連絡くださるので、チラホラと回答漏れが……

  • ポイントカード機能を凍結している、とのことですが、クレジットカード機能については問題なく利用できますか?
  • 本件解決までのおおよそのスケジュール感はどうなっていますか?

 

楽天:ポイント変換するからもう良いよね?

2016年05月23日 12:17

楽天ポイントカードお客様サポートセンター K でございます。
この度は、弊社サービスにおいて、ご心配をおかけしておりまことに申し訳ございません。

この度、第三者によって不正に利用されたポイントにつきましては、2016年6月15日に補填をさせていただきます。

確認にお時間をいただきまことに申し訳ございませんでした。

ポイントが補填されるまで、今しばらくお待ちくださいますようお願い申し上げます。

なお、現在、第三者による、楽天ポイントカード加盟店でのポイントの不正利用を防止するため、楽天ポイントカードの機能が使えないよう措置をしております。

※ログインは可能ですので、楽天ポイントカードの機能のみ制限を行っておりますことを何とぞご了承くださいますようお願いいたします。

この度は、弊社サービスにおいてご不快の念をおかけし、また、ご連絡をいただくお手数をおかけいたしましたことをお詫び申し上げます。

皆様に安心してお楽しみいただけますよう、サービス向上に努めてまいりますので今後とも楽天ポイントカードをご愛顧くださいますようお願いいたします。

数日時間が空いたな~と思ったら急に「ポイント返します」宣言。なんでしょう?めんどくさくなったんですかね……?

 

僕:ポイントはいくら返ってくるの?ちゃんと全部確認できてる??

ポイントを返します、と記載はあるものの、まだまだ不安な点が。

  • 補填されるポイントはいくらになりますか?
    本件では、計2箇所のコンビニで4件の不正利用が行われておりますが、すべての確認が完了している、という認識で間違いありませんか?
  • 楽天ポイントカードの利用停止解除について
    現在、ポイントカード機能が停止中、という旨は認識しておりますが、こちらを解除して、通常どおりの状態に戻すためには、どのような手続きが必要となりますか?
    (ご連絡頂いております補填日に、利用再開されるのでしょうか?

 

楽天:利用停止の解除?しないよ?安全のためだから

2016年05月23日 20:10

楽天ポイントカードお客様サポートセンター H でございます。
再度お問い合わせいただくお手数をおかけし申し訳ございません。

楽天ポイントカード機能の制限措置に関しましては、ご不便をおかけしておりまことに申し訳ございません。

現時点では停止の解除時期は未定となっておりますため、何とぞご了承くださいますようお願い申し上げます。

お客様にはご迷惑をおかけいたしますが、安全にご利用いただくための処置となりますため、何とぞご理解賜りますよう、お願い申し上げます。

また、この度の補填ポイント数につきましては、度々申し訳ございませんが、社内で確認を行っておりますため、弊社よりあらためてご連絡させていただきます。

まことに恐れ入りますが、今しばらくお待ちくださいようお願い申し上げます。

取り急ぎご連絡のみにて失礼いたします。

 

楽天:補填するポイント?分からないよ?

2016年05月24日 19:04

楽天ポイントカードお客様サポートセンター 木村 でございます。
弊社での確認にお時間をいただきまことに申し訳ございません。

この度の補填ポイント数につきましては、付与を行うタイミングまで変動する場合がございますので、明確に回答ができかねます。

まことに恐れ入りますが、補填日になりましたらポイント履歴にてご確認くださいますようお願い申し上げます。

続きまして、楽天ポイントカード機能の制限に関しましては楽天ポイントカード加盟店にてポイントの付与、利用ができないものとなります。

楽天カード(クレジットカード)ご利用によるポイント獲得について制限しているものではございませんことをご案内申し上げます。

今後とも、楽天ポイントカードをよろしくお願いいたします。

不正利用を確認した、と言っているのに、そのポイントを聞くと答えてくれない……なぜ???
いくら頑張って聞いても、明確な回答が来ないことに心が折れました。返ってくるポイント見てから考えよう、と。

 

楽天ポイントが返却される

6月15日にポイントを返却する、との話でしたが、なぜか6月10日には返却されてました。特に連絡もなく、その後の報告も無し。

なんだか寂しいけど、ポイント返ってきたからもう良いや……

 

楽天ポイント不正利用被害の事件の流れと楽天への問い合わせの全記録【まとめ】

細々と重箱の隅をつつくように質問を重ねたもので、きっと楽天さんはめんどくさくなったんでしょう(違うか)

 

今回の記事を書くために、あらためて当時のメールを見返してみると、自分がイライラしていて結構キツイ書き方をしまくってると分かり猛省しました。重箱の隅をつつくように、あれはどうなの?これはどうなったの?とまあ、細々と質問を重ねていること……

 

ちなみに、楽天のサポートはおそらく定形の回答を送っているだけため、「ちょっと違うんだけどな~」となることがしばしば……。あと、たくさんのユーザーが問い合わせを行っているのでしょう、「1日に1回反応があるかな?」程度の返信スピードです。

 

「もう嫌!」「めんどくさくなったから問い合わせやめるか……」となるのはもったいないので、冷静にのんびりと問い合わせするようにしましょう。

 

以上、TSUNJI(@tsunji1983)でした。

 

楽天ポイントの不正利用に関する記事