iTunesアカウントを、乗っ取られました。(不正購入被害のお話)


- Old Counter



クリスマス前日(イブ)の週末の日、テレビの前でアメリカン・フットボールを見ながら、いつものようにiPhoneでPCメールを確認していると・・・

何度か見覚えのある「Apple iTunes」からのメール。
これまでにアプリや音楽を買ったことの無い「i-デバイス(iPhone、iPod Touch,iPod、iPadなど)」から既存の自分のアカウント(Eメール)で何か有料のアプリや音楽を買ったときに、警告のために送られるメールです。

 

「貴方のiTunes(Apple) IDで、xxxxというアプリをAppStoreからたった今、購入されましたが、購入したPC、または、デバイスは以前にこのアカウントで購入したことがありません。

自分で購入したのなら、このメールは無視してください。

自分が購入した記憶が無ければ、iforgot.apple.comにアクセスして、パスワードえお変更することをお勧めします。」

新しく購入したiPhoneやiPadで何か有料アプリや音楽を初めて購入すると、以前にもこのようなEメールが送られてきたので、今日は「おかしいな?」と思いながらそのままスルーしようとしたのですが・・・

よく見ると、メール本文の宛名は知らないアメリカ人の名前。
しかも、購入したと書かれているアプリはゲームで、自分がダウンロードしたことの無いアプリ名。


そこで、即時、PCでiTunesを起動し、

 

画面上部のメニューから「Store⇒マイアカウントを表示…(View My Account)」をクリックし、・・・
(この前に、サインインしている必要があります。)

 

パスワードを入力して、「アカウントを表示(View Account)」をクリックすると・・・

 

えっ?クレジットカード番号の下4桁が違う!?
えっ?名前が違う!?住所も違う!?
急いでパスワードを変えようと、「Apple IDの概要(Apple ID)」の右横の「編集(Edit)」をクリックします。

 

新しいパスワードを入力して、「完了(Done)」をクリックします。

 

ちなみに、新しいパスワードは、過去1年間に使われたものと同じものは使えません。

 

パスワードを変えると、支払い情報も再入力しないといけません。(カード番号などが同じ場合は、「セキュリティコード(Security Code)」だけ入力します。
今回の場合は、他人のカード番号や氏名・住所が入っていたので、全部入力し直しです。
入力したら、「完了(Done)」をクリックします。

 

アカウントサマリーページに戻ります。

 

支払い情報の変更がうまくいかなかった場合は、サマリーメニューから「お支払い情報(Payment Type)」の右横の「編集(Edit)」をクリックすれば、

 

カード情報だけを変更可能です。

 

さあ、ここまでで、何とか『これ以上』の悪用は(暫くは)されないと思います。

一息ついたところで、更なる状況の分析をしましょう。
そのために、アカウントサマリーページから「購入履歴(Purchase History)」の右横の「全て見る(See All)」をクリックすると、

 

ゲームソフト「Fruit Ninja v1.7.4」を2011年12月24日(本日)購入しています。
リスト中のその前のアイコンをクリックすると、購入の詳細が見れて・・・

 

ゲームソフト「Fruit Ninja v1.7.4」を2011年12月24日(本日)11:54PMに購入しています。

 

そして、その1分後の2011年12月24日(本日)11:55PMに$50のiTunesギフトカードをを購入して、「Amy」さんのメールアドレス「Amy@phucave.com」に送っているようです。ところが、これをチェックしたのは筆者の時刻で2011年12月24日10:47AM頃です。まだ午後にはなっていません!
午後11:55PMというのは、犯人が実際に使ったローカル時刻だと思います。
筆者にアップルから警告メールが不正購入直後に送られたとして、それが筆者に届いた2011年12月24日9:57AMとの時差、14時間を考慮すると、この不正購入はタイ、ベトナム、インドネシア辺りで行われたようです。

 

警告メールが、実際に購入が発生してから、どのくらい遅れてくるのかわかりません。
しかし、少なくとも、カード情報にあったオハイオ(OH)州で購入していないことは確実です。

ここで、犯人の目的が大体推測できます。

1.iTunesログイン名(Eメールアドレス)と、パスワードが判明したら、そのアカウントにiTunesでログインする。
2.支払い方法がiTunesカードで、残高が多ければ、儲けもの。そこからギフトカードを自分(犯人)のメールアドレスに送る。
3.支払い方法がクレジットカードの場合は、セキュリティコードが必要。
4.登録済みクレジットカードのセキュリティコードがわからない場合は、別なところで情報を盗んだクレジットカード情報(そのセキュリティコードを含む)を登録。
5.そのカードで安い有料アプリ(何でも良い)を買って、入力したクレジットカード情報が使えるかどうか確認のため、ダウンロードしてみる。(ちなみに、犯人がダウンロードしたアプリは、AppStoreのトップ25アプリの第3位だった。)
6.ダウンロードがうまく行ったら、高額(今回の場合)$50のギフトカードを自分のメールアドレスに送る。

幸い犯人は筆者のクレジットカードのセキュリティコードは知らなかったようなので、このギフトカードの$50と、$1.05のゲームのダウンロード料金は、筆者のクレジットカードにはチャージされなかったようです。(クレジットカードのオンラインページで、カードの現在の残高と、現在の使用可能金額(クレジット)でチェック。)
もし実際に筆者のカードが使用された場合は、カード会社のオンラインアカウントページに2~3日後には明細が載る筈です。
念のため、2~3日後に再度チェックが必要です。

このハイジャックで使用されたオハイオ州のAmy Ollisさんも、自分のクレジットカード情報を盗まれて勝手に使われた、犠牲者なのでしょう。
自分が過去にクレジットカードを不正利用された時も同じでしたが、不正利用者が手に入れるクレジットカード情報には電話番号が入っていないことが多く、電話番号はそれらしい(市外局番は合っているが)間違った(あるいは、適当な)番号を入力していることが多いです。

メールアドレス(アップルID)は筆者のIDを使い、クレジットカード情報は第三者の情報を使うという、回りくどい手口です。
 
 

ついでに、ギフトカードが送信されたと思われるメールアドレス「@phucave.com」のドメイン情報を調べてみると、・・・
6日前(2011年12月18日)にオーストラリアのメルボルンのドメイン名登録仲介会社を通じて登録されています。

 

そのドメイン名登録仲介会社で更に情報を調べると、ドメイン登録者はアメリカ合衆国ジョージア州の人間になっています。どうせ、これも偽名・偽住所の可能性は高いです。
テクニカル管理者にはアメリカのヤフーになっていますから、実際のサーバーはヤフーのレンタルサーバーでしょうか。

 

そのサーバーをブラウザーでアクセスすると、グーグルの「サイト(サーバー)認証サーティフィケート」らしきものが複数保存されているようです。
これは、他サイトから盗んできたものなのかなぁ?
何にするのだろう?

 
 

あと、iOS 5では、他のPCやiデバイスで同じアカウントで音楽やアプリやiBookをダウンロードすると、自動的に自分のiデバイスにも同時にその音楽やアプリやiBookをダウンロードできるように設定できます。

 


 


 

これを「ON」にしておくと、今回の場合でもすぐに自分のiTunesアカウントで、不正にダウンロードされたアプリが自分にもすぐにダウンロードされ、「おかしい」と分かります。

 

皆さんも、気をつけてください。











――<●>――
関連すると思われる記事: