鳥のように高いところからの俯瞰はできませんが、ITのことをちょっと違った視線から

Apple IDの不正利用被害に!

»

 Apple IDを不正利用されてしまった。その顛末を記録しておく。

 ことの発端は、以下のようなメールを受け取ったところから始まった。

001apple

 「Apple ID と関連付けられたことのないコンピュータまたはデバイス上で App Store から 史上最強3D大海戦(パイレーツヒーロー) をダウンロードするために使用されました」とのこと。基本的にゲームはやらないので、こんなことはあり得ない。なんだこれ、と思い、iTunesを立ち上げ購買履歴を確認すると、このゲームともう1つ別なものをダウンロードしたことになっている。

001iTunes

 これを見ると、12日の午前4時台にこれらはダウンロードされている。上記のメールが来たのがその日の夜8時半ころ。なので、ずいぶんと時間が経ってからのアラートメールだ。まあ、明け方にアラートメールが来ても、気付くことはなかっただろうけど。このメールに気付いたのは、22日も終わろうというころのことだった。

 とりあえず、このiTunesの購買履歴のところから、「問題を報告する」のボタンを押しAppleに報告を入れた。ただこの時点では、ダウンロードされたのが無料のゲームだったこともあり、あまり深刻に捉えていなかった。とりあえず、気持ち悪いのですぐにパスワードの変更を行い、さらに秘密の質問なども更新した。

 で、なんで無償のゲームなんて、他人のアカウントでダウンロードするのかなと疑問に思っていた。その後、iPhoneを取り出しこのゲームが勝手にダウンロードされていないか確かめてみたり。iPhoneのApp Storeアプリを開いてみると、購入済みのところにこれらのゲームが出てくる。雲マークなので、クラウド上で管理されているけれど、この端末には自動でインストールされてはいなかったようだ。

<訂正:以下のアプリ内課金のくだりは、私の勘違いでした。不正に購入されたのではなく、これはアプリ内からこういうものが購入できますよというもののリストでしょうと指摘をもらいました。たしかにそのとおりで、これは購入した履歴ではありませんでした。

 これらを消してしまおうかとタップしてみると、ゲームの詳細に。そうしたら、なんと「App内での購入あり」という表示があるではないか。すぐにApp内での購入の確認ページを開くと、こんな状態になっていた。

IMG 1683

このキャプチャ画面は購入履歴ではありませんでした

 2つのアプリで、合計1万円以上もの購入がなされているではないか。これにはびっくり。すぐに対処しなければと焦る。Appleのページで電話連絡先を探すも、時間外。この時点で夜中の2時ころなので、そりゃ当たり前か。そもそも、技術的なサポート窓口はあっても、こういった課金関連の電話連絡先はどこか分からない。

 仕方がないので、とりあえずカード会社に連絡。こちらは深夜でもオペレータにつながった。で、事情を話すと、とりあえずカード側にはまだ購入の記録がないので、まずはApple側で対処してもらってくださいとのこと。そりゃそうだよね。とはいえ、おそらく返金になるはずだとの回答を得て一安心。

 そこで、Appleに戻ってメールフォームから連絡を入れることに。iTunes Storeの「購入、請求およびコード」の「未承認の購入」というところに、取引IDを入れ不正にアプリ内課金で購入されてしまったようだけどどうすればいいかと問い合わせを入れた。

 その晩は、これ以上この件でできることはない。とりあえず、お金に関連する他のサービスについて、IDとパスワードの変更をして廻ることにした。一部、Apple IDと同じメールアドレスを使っているし、パスワードも同じものがあったので。結果的には、さまざまなID、パスワードの組合せができてしまい、混乱状態に。とりあえず、紙にIDのヒントとパスワードのヒントを書いておくことにするなどで、夜は更けていった。

 翌日、朝、サポート窓口に電話をかけたが、つながらない。過去に不正利用された人は、Appleから課金されていないというような情報もあったので、もう、あせってもしょうがないかと電話は諦めることに。その後、14時にはAppleからメールの返信が。他に不正利用がないか確認しろとのこと。ある場合は、その取引IDを連絡してくれと。いや、だから、アプリ内課金が。でも、iPhoneのほうでは金額が表示されるが、iTunesの購買履歴にはこれがない。仕方がないので、前出のキャプチャ画面をメールに添付して送ることにした。

 これに対する返信は、翌日14日土曜日だった。メールによると、調べたけれどこれらのアプリ内課金の購入は、私のIDでは行われていないと。もし、それらの課金分がカード会社に請求されているようなら、それをカード会社い言って止めてもらってくださいとのことだった。たしかに、カード会社には請求はない。さらに、仮にアプリ内の課金でも、iTunesの購買履歴には表示されるし、購入直後にreceiptメールも飛ぶとのことだ。それらがないということは、私にチャージされていないというわけだ。ここまで明らかになり、とりあえず一安心。

 結局、この時点では安全のためにいったんIDがロックされたので、それを解除するためにIDセキュリティ担当に電話をしてロックを解除してもらってくれとのことに。電話をし、再びパスワードを変更し、アカウントを復活してもらう。しかし、それでロック解除できたかと思ったら、購買できるようにするためにもう一段階の処理が必要だったらしく、何度か電話でのやり取りをして無事に解決した。

 その過程でちょっとはずかしかったのが、秘密の質問と答えのやり取り。本人確認のために、これを電話口で担当者とやるのだけれど、なんとなく「秘密」の答えを告げるのがちょっと恥ずかしかったりも。「最初に飼ったペットの名前は?」「ポチです」みたいな。このあたり、何かトラブルがあると、実際に電話でやりとりすることもあるんだなと憶えておこう。

 IDを乗っ取り、まずは無料のゲームをダウンロード、そこからアプリ内課金というのはかなり姑息な手口のように思う。私のように、「なんで無償ゲームなんだろう?」と思うだけで、その先があることに気付くのが遅くれることもありそうだ。Appleの担当者によると、、結局この犯人はアプリ内課金で買い物をしようとして、クレジットカードのPINを訊かれ断念したようだとのこと。まさに、危機一髪だったということか。

 乗っ取られたIDのパスワードは簡単に推測できるものではないので、どこかからIDとパスワードのセットが漏れたのだと思われる。あるいは、Appleのところでクラックされたのか?一時期、特定のアプリで不正アクセスが多発なんてこともあったので、その可能性もゼロではないかもしれない。とはいえ、実際のところ何があったかは、よく分からない。

 安全のために、Appleのサイトにクレジットカードを登録するのはやめようかとも考えた。被害が大きくならないよう、iTunesカードを購入しそれを登録しておけばいいかと。が、逆に考えると、クレジットカードであれば補償され返金されるけど、iTunesカードのプリペイドぶんを使われたら、それは取り返せない。これは、どっちがいいのか悩ましいところだ。とにもかくにも、大きな被害にはならなかったので今回はラッキーだった。結果的には、あちこちのIDとパスワードを変えることになり、これからその管理に苦労することにはなりそうだ。

Comment(4)

コメント

やす

apple IDの不正利用についてはその通りでしょうが、「App内で購入あり」については谷川さんの解釈が違うと思います。これは、単純に「ゲーム内で購入ができますよ」を明記しているだけっぽいです。そして、App内での購入の確認ページに表示される、??金貨のリストは購入できる物の一覧でしょうね。私も無料ゲームをダウンロードして、ゲーム内の課金したことがあるのですが、そんなところに購入履歴は表示されなかったと思います。

たにかわ

やすさん、ご指摘ありがとうございます。アプリ内課金のところは、私の勘違いだったのですね。たしかに「App内での購入」とあるだけで、どれをいつどれだけ買ったかという記述にはなってませんでした。そもそも、ここに履歴があることは確かにおかしいですね。「App内での購入あり」という表記は、もう少し分かりやすい日本語に替えてもらいたいかもです。とはいえ、現状でも、ID不正利用とかされている情況でなければ誤解はしないのか。

TETSU

これは参考になった。
AppleやiTunesに限ったことではなく、ネットを使う上ではあり得ることですからね。自分もパスワードの使い回ししているところあるし・・・一度やり取りを想定しておくと、その時の対応に大きな違いがありますから(きっと自分だったら凄い取り乱し方しているw)

プリペイドについては、現在の仕様だとより危険ですよね。
今だとクレジットカードの方がより難しいです。新しいiPhoneを購入して使い始めた時にいろいろ手続きがあって面倒だったけど、安全の為には仕方のないことなんですよね。

たにかわ

TETSUさん、自分はどこかで大丈夫だろうと思っているところがあって、いざこういう場面に出くわすと焦りますね。使い回しはどうするかは悩みどころです。パスワードそのものを使い回すのではなく、パスワードの作り方をルール化して使い回すというのを検討しています。たとえば自分の年齢とキーワードとそのサービスの名前の組合せとか。で、誕生日が来たら数字を変えるとかで更新するなんてことを。

コメントを投稿する