iTunesアカウントを、乗っ取られました。(不正購入被害のお話)


- Old Counter



クリスマス前日(イブ)の週末の日、テレビの前でアメリカン・フットボールを見ながら、いつものようにiPhoneでPCメールを確認していると・・・

何度か見覚えのある「Apple iTunes」からのメール。
これまでにアプリや音楽を買ったことの無い「i-デバイス(iPhone、iPod Touch,iPod、iPadなど)」から既存の自分のアカウント(Eメール)で何か有料のアプリや音楽を買ったときに、警告のために送られるメールです。

 

「貴方のiTunes(Apple) IDで、xxxxというアプリをAppStoreからたった今、購入されましたが、購入したPC、または、デバイスは以前にこのアカウントで購入したことがありません。

自分で購入したのなら、このメールは無視してください。

自分が購入した記憶が無ければ、iforgot.apple.comにアクセスして、パスワードえお変更することをお勧めします。」

新しく購入したiPhoneやiPadで何か有料アプリや音楽を初めて購入すると、以前にもこのようなEメールが送られてきたので、今日は「おかしいな?」と思いながらそのままスルーしようとしたのですが・・・

よく見ると、メール本文の宛名は知らないアメリカ人の名前。
しかも、購入したと書かれているアプリはゲームで、自分がダウンロードしたことの無いアプリ名。


そこで、即時、PCでiTunesを起動し、

 

画面上部のメニューから「Store⇒マイアカウントを表示…(View My Account)」をクリックし、・・・
(この前に、サインインしている必要があります。)

 

パスワードを入力して、「アカウントを表示(View Account)」をクリックすると・・・

 

えっ?クレジットカード番号の下4桁が違う!?
えっ?名前が違う!?住所も違う!?
急いでパスワードを変えようと、「Apple IDの概要(Apple ID)」の右横の「編集(Edit)」をクリックします。

 

新しいパスワードを入力して、「完了(Done)」をクリックします。

 

ちなみに、新しいパスワードは、過去1年間に使われたものと同じものは使えません。

 

パスワードを変えると、支払い情報も再入力しないといけません。(カード番号などが同じ場合は、「セキュリティコード(Security Code)」だけ入力します。
今回の場合は、他人のカード番号や氏名・住所が入っていたので、全部入力し直しです。
入力したら、「完了(Done)」をクリックします。

 

アカウントサマリーページに戻ります。

 

支払い情報の変更がうまくいかなかった場合は、サマリーメニューから「お支払い情報(Payment Type)」の右横の「編集(Edit)」をクリックすれば、

 

カード情報だけを変更可能です。

 

さあ、ここまでで、何とか『これ以上』の悪用は(暫くは)されないと思います。

一息ついたところで、更なる状況の分析をしましょう。
そのために、アカウントサマリーページから「購入履歴(Purchase History)」の右横の「全て見る(See All)」をクリックすると、

 

ゲームソフト「Fruit Ninja v1.7.4」を2011年12月24日(本日)購入しています。
リスト中のその前のアイコンをクリックすると、購入の詳細が見れて・・・

 

ゲームソフト「Fruit Ninja v1.7.4」を2011年12月24日(本日)11:54PMに購入しています。

 

そして、その1分後の2011年12月24日(本日)11:55PMに$50のiTunesギフトカードをを購入して、「Amy」さんのメールアドレス「[email protected]」に送っているようです。ところが、これをチェックしたのは筆者の時刻で2011年12月24日10:47AM頃です。まだ午後にはなっていません!
午後11:55PMというのは、犯人が実際に使ったローカル時刻だと思います。
筆者にアップルから警告メールが不正購入直後に送られたとして、それが筆者に届いた2011年12月24日9:57AMとの時差、14時間を考慮すると、この不正購入はタイ、ベトナム、インドネシア辺りで行われたようです。

 

警告メールが、実際に購入が発生してから、どのくらい遅れてくるのかわかりません。
しかし、少なくとも、カード情報にあったオハイオ(OH)州で購入していないことは確実です。

ここで、犯人の目的が大体推測できます。

1.iTunesログイン名(Eメールアドレス)と、パスワードが判明したら、そのアカウントにiTunesでログインする。
2.支払い方法がiTunesカードで、残高が多ければ、儲けもの。そこからギフトカードを自分(犯人)のメールアドレスに送る。
3.支払い方法がクレジットカードの場合は、セキュリティコードが必要。
4.登録済みクレジットカードのセキュリティコードがわからない場合は、別なところで情報を盗んだクレジットカード情報(そのセキュリティコードを含む)を登録。
5.そのカードで安い有料アプリ(何でも良い)を買って、入力したクレジットカード情報が使えるかどうか確認のため、ダウンロードしてみる。(ちなみに、犯人がダウンロードしたアプリは、AppStoreのトップ25アプリの第3位だった。)
6.ダウンロードがうまく行ったら、高額(今回の場合)$50のギフトカードを自分のメールアドレスに送る。

幸い犯人は筆者のクレジットカードのセキュリティコードは知らなかったようなので、このギフトカードの$50と、$1.05のゲームのダウンロード料金は、筆者のクレジットカードにはチャージされなかったようです。(クレジットカードのオンラインページで、カードの現在の残高と、現在の使用可能金額(クレジット)でチェック。)
もし実際に筆者のカードが使用された場合は、カード会社のオンラインアカウントページに2~3日後には明細が載る筈です。
念のため、2~3日後に再度チェックが必要です。

このハイジャックで使用されたオハイオ州のAmy Ollisさんも、自分のクレジットカード情報を盗まれて勝手に使われた、犠牲者なのでしょう。
自分が過去にクレジットカードを不正利用された時も同じでしたが、不正利用者が手に入れるクレジットカード情報には電話番号が入っていないことが多く、電話番号はそれらしい(市外局番は合っているが)間違った(あるいは、適当な)番号を入力していることが多いです。

メールアドレス(アップルID)は筆者のIDを使い、クレジットカード情報は第三者の情報を使うという、回りくどい手口です。
 
 

ついでに、ギフトカードが送信されたと思われるメールアドレス「@phucave.com」のドメイン情報を調べてみると、・・・
6日前(2011年12月18日)にオーストラリアのメルボルンのドメイン名登録仲介会社を通じて登録されています。

 

そのドメイン名登録仲介会社で更に情報を調べると、ドメイン登録者はアメリカ合衆国ジョージア州の人間になっています。どうせ、これも偽名・偽住所の可能性は高いです。
テクニカル管理者にはアメリカのヤフーになっていますから、実際のサーバーはヤフーのレンタルサーバーでしょうか。

 

そのサーバーをブラウザーでアクセスすると、グーグルの「サイト(サーバー)認証サーティフィケート」らしきものが複数保存されているようです。
これは、他サイトから盗んできたものなのかなぁ?
何にするのだろう?

 
 

あと、iOS 5では、他のPCやiデバイスで同じアカウントで音楽やアプリやiBookをダウンロードすると、自動的に自分のiデバイスにも同時にその音楽やアプリやiBookをダウンロードできるように設定できます。

 


 


 

これを「ON」にしておくと、今回の場合でもすぐに自分のiTunesアカウントで、不正にダウンロードされたアプリが自分にもすぐにダウンロードされ、「おかしい」と分かります。

 

皆さんも、気をつけてください。



――<●>――
関連すると思われる記事:

「iTunesアカウントを、乗っ取られました。(不正購入被害のお話)」への4件のフィードバック

  1. 大変ですね。
    他人のカードを不正利用したなどと罪を被せられたりしないように状況がはっきりしているうちに
    メールなど証拠が残る形でアップルに報告をしておいた方がいいのではないかなと思いました。

    ところで、アカウントを盗まれた件についてですが、後学のために以下、記事に記載していただけましたら幸いです。

    1、パスワードは英数大文字小文字等複雑なものだったでしょうか。桁数等。
     それとも簡単か辞書アタックできそうなものでしょうか。

    2、自宅以外の他人のPCで利用したことがあるアカウントでしょうか?(キーロガーに読み取られた可能性等)

    3、その他、自宅外での利用など何か漏洩する心当たりはありますか?

    管理人 返信:

    iTunesには購入トランズアクション毎に「Report A Problem」リンクがあって、アップルにそれぞれ問題を報告できます。

    昨日、報告しようかと思いましたが、実際に決済が通っているかどうか不明だったので、待つことにしました。

    今朝起きたら、14時間弱遅れでiTunesレシートがメールで昨夜深夜近くに送られてきていて、その中に氏名・住所・クレジットカードの下4桁は、犠牲になったオハイオ州の女性の情報が載っていたので、「アップルに報告しておくべし」と同じことを思っています。
    ところが、クリスマスの朝の今、iTunesが非常に繋がりにくくなっています。
    クリスマスプレゼントにiPod TouchやiPadをもらった子供たちが、いっせいにアクセスしているのでしょう。
    したがって、少し時間を置いてアクセスしなおします。

    1.パスワードは、無意味な英数文字の組み合わせで、8桁です。辞書アタックでは推測できません。
    現在のiTunes IDは必ず大文字・小文字・数字をそれぞれひとつずつ入れることが必須になっていますが、私がiTunes IDを作った当時は「大文字と小文字それぞれひとつずつ」という条件は無かったので、英字部分は小文字だけです。

    2.出張・旅行や日本へ出かけるときも自分のPC、iPad、iPhoneなどを持って歩くので、他人や公共のPCを利用することはありません。あったとしても、何かにログインすることは、まずありません。

    3.一応、普通の対策は取っています。特に心当たりは無いです。

    もちろん、ハッカーのほうが筆者よりはハッカー技術は上なので、こちらが心当たりの無い行動を取っているつもりでも、ハッカーにとっては何らかの手立てがあるのでしょう。
    筆者はこういう不正利用を未然に防ぐと言うのは、不可能だと思っています。
    対策は、被害を最小限にして、再発を防ぐ。そのためには、被害を早く察知して、対処する。・・・くらいですね。
    幸い、クレジットカード会社も、アップル(iTunes)も、消費者のクレームを処理して、不正利用と判明したら返金する制度はありますから、手間と時間は掛かるものの、被害を早期察知すれば、金銭的被害は回収できます。

    筆者は過去に複数回、クレジットカードの不正購入被害にもあっており、自分のebayショップIDとリンクされている銀行口座から$1500を引き出されそうになったこともありますので、何年かに一回はこういう被害はある、と思っていたほうが良いです。

    クレジットカードなら新しく番号を変えてもらえば良い(それでも、クレジットカードから毎月自動引き落とししているようなものは、全て新しい番号を教えなければならないが、最近は面倒でも自動引き落としではなく、一回キリの支払いをするようにしている)ですが、iTunes IDは変更すると、これまでダウンロードしたアプリのアップデートが出来なくなるし、新規アカウントで有料アプリをまた新しく買うのはお金が掛かるので、出来るだけ変更したくないですね。

    iTunesの不正購入の報告は、ネットで検索すると、最近多く発生しているようです。
    特に、iTunesカードで支払いをしていた人たちは、アップルにクレームをしてもその金額が戻ってこないことがあるのではないでしょうか?
    皆さんも注意してください。

    一番良いのは、パスワードを定期的に変更することですが、オンラインアカウントが増えてくると、実際のところそれも大変です。
    一回しかアクセスしたことの無いサイトまで全て覚えておくのは、不可能に近いですね。

    ドン・ドッゴイヤー 返信:

    お忙しいところ大変丁寧な回答をいただきましてありがとうございました。
    とても参考になりました。

    巷で言われているような防衛をしていてもクラックされるというのは対応がかなり難しいですね。

    管理人 返信:

    クレジットカード情報の盗難は、内部犯罪が多いです。
    あとは、サーバーのデータベースをハックされるとか・・・SONYのプレステ・ゲーム・サーバーがハックされたと言うニュースが直近では大規模(2011年4月)で、記憶にも新しいと思いますが、聞いたことがありますか?

    だから、クレジットカード番号だけでなく、所有者の住所までしっかり合っています。
    電話番号は盗難情報には入っていないので、犯人が適当に入力していて、間違っていることが多いようですが・・・
    カードのスキミングだったら、住所までは分からないですよ。

    つまり、自分で幾ら対策をとっても、自分のコントロールの行き届かない所で情報がブリーチされたら、どうしようもないです。

    盗難されたクレジットカードのリストが、他の国で「何人分、幾ら」という風に売買されているようです。(中国とか・・・)

    ・・・と言うわけで、もちろん、自分も出来るだけの注意を払うことは必要ですが、どんなにお金と時間を掛けても100%は防げない。
    ならば、あまりパラノイヤアにならず、適度の対策を行い、あとは「被害の早期発見と再発防止⇒被害額回収」の方に力を入れたほうが、楽に生きられる・・・というのが、筆者の考えです。

コメントは受け付けていません。