「iTunesアカウント、乗っ取られ」後日記。(不正購入被害『解決』のお話)
2日前に書いた
iTunesアカウントを、乗っ取られました。(不正購入被害のお話) – 2011年12月25日
の後日記です。
その前に、色々調べてみると、iTunesアカウントの不正利用は1年以上前から続いているようです。
Hacked iTunes Accounts: Apple’s Problem That Won’t Go Away – 2011年6月20日
Hacked iTunes accounts sold online – 2011年1月6日
Chinese auction site touts hacked iTunes accounts – 2011年1月7日
itunes credit card fraud – アップル・ディスカッション・フォーラム
「iTunes」不正利用が多発 - NHK – 2011年11月18日
不正利用のパターンは、3つ。
まず、iTunesのパスワードをハックして、不正ログオン。(この方法は、不明。アップル社内の内部に手助けする人間がいる、という推測もある。不正なアプリをユーザーにダウンロードさせ、それがユーザーにアップルIDとパスワードを入力させるような画面を持っている、という話もある。)
そして、そのアカウントにiTunesカードなどの残高がある場合は、それを使う。そのアカウントがクレジットカードで支払いしている場合は、既知の(別の手段で盗んだ)他人のクレジットカードや住所情報に置き換える。
パターンA: ハッカーはその残高やクレジットカードで、特定のゲームを購入する。
⇒ 購入後、ゲーム内で追加チャージをする。(例:ポーカーゲームの場合は、賭けるためのチップを買う。)
⇒ このチャージが、何らかの方法で犯人に渡る。(おそらく、アプリそのものが不正目的で開発されていて、アプリ開発者=ハッカーグループの一人であろう。)
パターンB: ハッカーはその残高やクレジットカードで安いゲームや曲を購入し、カードが使えるかどうかを確認する。
⇒カード情報の確認が出来たら、そのiTunes IDとパスワードを、ネットで$10などで販売する。
⇒購入者には、「このアカウントを購入したら、24時間以内にできるだけ多くの音楽を買いなさい。」と指示する。その理由は、もともとのID所有者が気が付いて、パスワードを変える恐れがあるから。
パターンC: ハッカーはその残高やクレジットカードで安いゲームを購入し、カードが使えるかどうかを確認する。
⇒カード情報の確認が出来たら、$50などの額面のiTunes ギフト・サーティフィケートを、事前に作成してある別のメールアドレス/iTunes IDに「ギフト(贈呈)」する。
⇒ギフト金額を、送信宛メールID/iTunes IDにロードする。
⇒この$50(例)、不正に残高がロードされた(事前に準備された)iTunes IDを、ネットで安く(例:$7)で売る。購入者には、「$7でその7倍の金額が使える。」と宣伝する。
さて、ここから筆者の実話に戻りますが・・・