Walmart.comのオンラインアカウントが不正利用された。
以前、iTunesのアカウントがハッキングされた件を報告しました。
iTunesアカウントを、乗っ取られました。(不正購入被害のお話) – 2011年12月25日
「iTunesアカウント、乗っ取られ」後日記。(不正購入被害『解決』のお話) – 2011年12月27日
今日は、Walmart.comのオンラインアカウントがハッキングされました。
今朝、午前6時31分の時刻で、Walmart.comから「アカウント情報(Eメールアドレス、パスワード、名前)が変更されました、Eメールアドレスが変更されている場合には、セキュリティーのため、新旧両方のEメールアドレスにこの通知メールが送られています。もし変更した覚えが無い場合には、すぐに1-800-966-6546に電話してください。」と言う内容のEメールが送られてきました。
たまたま今日は運良く午前6時42分に目覚め、ベッドの中でiPhoneでEメールをチェックしてこのEメールを知り、「これはやばい」と思い、すぐにベッドから出ました。
1.まず、PCでWalmart.comにログインしてみました。
http://www.walmart.comのログイン画面にアクセスしてみると、最後に買い物したのは2週間前の4月20日なので、自分の名前が表示されたままになっています。しかし、ログイン画面へ行くと、知らないEメールアドレス「[email protected]」が表示されます。明らかに適当に作ったyahoo.comのEメールアカウントです。
多分、ハッカーが私のEメールアカウントをこのEメールアドレスに変更したのだと思います。
自分が設定したはずのパスワードでもログインできません。
Eメールアドレスを登録したはずのEメールアドレスに戻して、パスワードを入力しても、ログインできません。
どうやら、ハッカーがEメールアドレスとパスワードを変更したのは、間違い無いようです。
2.次に、このWalmart.comに登録してあったクレジットカードのオンラインページにアクセスすると、使用可能金額が少し($100くらい)減っているように思えます。まだ購入履歴詳細にはトランズアクションは反映されていません。このカード会社は、オンラインに購入詳細記録が反映されるまで2日くらいかかります。
3.これは偽Eメールではなく(時々ありますね、「あなたのアカウント情報が変えられました/アカウントがブロックされました。身に覚えが無い場合には、ここをクリックして情報を入力してください。」というようなフィッシングEメールが。)、確かにハッカーがWalmart.comの筆者のアカウントを乗っ取ったと確信し、Eメールに書いてある電話番号に午前6時55分ころ電話しました。
録音アナウンスが済んで、カスタマーサービスに接続する番号を押すと、「オフィスアワーは、セントラルタイムの午前8時から・・・までです。またあとで電話してください。」ということで、あと5分待たないといけない(筆者の住んでいる地域はマウンテインタイム。)
午前7時を過ぎてもう一度電話して、カスタマーサービスに電話。「個人情報を変えたというEメールを受信したが、自分はしていない。オンライン・アカウントがハックされたようだ。」と手短に事情を説明すると、電話番号を聞かれ(多分、クレジットカードの登録電話番号)、住所・氏名(これも、多分、クレジットカード情報)を確認され、調べてもらうと、4つの「購入トランズアクション」が行われている、ということ。カスタマーサービス担当者はすぐにそのトランズアクションをキャンセルしてくれました。「ひとつは、$98の商品の購入だ」ということでした。
割と本人確認が簡単だったのには、拍子抜けしました。逆にこういうときに本人確認で手間と時間をかけていると、注文が通ってしまって、カード決済を戻すのに手間がかかるから、キャンセル手順を重視するんでしょうかね。間違って本人の正当な注文もキャンセルしたら、もう一度注文すれば良いだけだから・・・
オンラインサイトって、複数のクレジットカードが登録できるじゃあないですか?
筆者は被害を少なくするために、なるべく登録は必要最小限枚数だけにしているのですが、walmart.comには何枚登録していたか忘れたので、カスタマーサービスに聞くと、「1枚だけだ、カード末尾4桁番号はxxxx。」と教えてくれました。
これで、発生したとしてもカード被害や手間は最小限であることが確認されて、良かったです。逆に言うと、カード情報は変更されていなかったので、ハッカーの目的は筆者のカードを支払いに使うことだったと考えられます。
このあとアカウントはすぐに凍結され、調査班に回され、1ヵ月後に必要があればまたカスタマーサービスに電話すれば、アカウントをリセットして同じアカウントで使用できるそうです。
またはそれを待たずに、まったく別のEメールアドレスで新しいアカウントを作成しても良いそうです。
以前にBestBuy.comのアカウントも不正利用されていた。
実は報告していませんが、1年ほど前(あとで調べた結果、2012年6月11日と判明)だったと思いますが、BestBuy.comのアカウントも不正利用されていました。
このときは身に覚えの無い注文確認Eメールを2件続けて筆者はiPhoneのEメールアプリで受信し、すぐ(注文から10分以内)にPCでBestBuy.comにアクセスし、注文をキャンセルしました。そして、アカウントのパスワードを変更しました。
不正に注文されたのは、EメールでPIN番号だけ送信する、オンラインゲーム(ソニーのプレステ・ネットワーク)アカウント用のリフィルカード(プリペイドカード)、額面$50分が2回でした。
Eメールを受信してすぐに気が付いたので、リフィルカードのPIN番号がハッカーに配信される前に注文をキャンセルすることができました。
あとでカード会社の明細を見ると、一度注文を課金されましたが、すぐに返金(リファンド)されていたと思います。
思うに、もともと「ログイン情報(Eメールアドレス)/パスワード」が盗まれたサイトは、別のサイトだと思います。
ハッカーはこれらの不正入手した情報をいろんなサイトで試して、自分に都合の良い品物を購入しようとしているのでしょう。
以前にたった一度切りの注文のために作ったサイトはいくつもありますが、いちいち自分でも覚えていられませんね。筆者も当時はそういうサイトはほとんど同じEメールアドレス/パスワードの組合せでアカウントを作っていたことは、事実です。ただ、そういうサイトは販売している商品が特殊商品なので、多分、ハッカーには魅力は無いと思います。また、そういうサイトに登録しているクレジットカード情報は、カードの有効期限年月日情報は古すぎて、もう使えないでしょう。
iTunes、Amazon.com、Walmart.com、BestBuy.com、Target.comというよな何でも買えるサイト、あるいは、音楽/アプリやプリペイドカードのPIN番号などのようにオンラインで商品が配信されてしまうようなサイトは、要注意ですね。
iTunes/BestBuy.comの不正利用被害の後、頻繁に商品を買うようなサイトのパスワードは変更していたつもりでしたが、Walmart.comはそれほど頻繁には利用しないので、変えていなかったのは失敗でした。
こういう不正利用被害が起こったからと言って、それでオンラインショッピングをすべて止めてしまうのはネット時代の「便利さ」を放棄することなので、どうかと思います。
それよりも、不審なことが起こったら、すぐに対処することが大事です。
アメリカのクレジットカード会社は、大体過去6ヶ月以内の不審な不正利用は、理由があればちゃんと返金(チャージバック)してくれるシステムになっていますから、早めに気が付けば被害は最小限に食いとどめられます。しかし、カード番号を変更すると面倒だし、新しいカードが来るまでの1-2週間は使えないし、前のオンラインアカウントにはアクセス出来なくなって過去の購買詳細がオンラインで検索できなくなることがあります。迅速に対処すれば、カード番号を変えずに終わることもあります。