2014年3月のある朝、突然「楽天ダウンロード」から購入お知らせ通知が届きました。私も家族も眠っていた時間。何者かが私のIDとパスワードで楽天市場に不正にログインし、登録されているカードでドラゴンクエストXを不正に購入した事件です。
ここでは、その経緯と対応を細かくまとめて残しています。自分が経験して初めて実感するネット社会の負の側面。その後も同様の被害が続いているようですので参考にしていただければと思います。
被害発生の「認知」から「初期対応」
「会員情報変更のお知らせ」の通知
休日の朝6時、家族もまだ起きていない時間帯に突然携帯電話のメール着信が連続して鳴り出しました。格安SIM導入でスマートフォンに変えたことにより、パソコンのメールがすぐに確認できるようになったのが幸いでした。見てみると、寝ていた時間にもかかわらず、『会員情報の変更』って一体なんだろう・・・。この時はまだ自分が不正アクセスの被害に遭っているとは気づかず、まずは朝食をとることにしました。
「購入確認のご確認」の通知
事態がただ事ではないと気付いたのはその次のメールです。見てみると、
『【楽天ダウンロード】購入確認のご確認』
というものが5件。最初はよくわかりませんでしたが、最初に目に飛び込んできた文面が、「お客様の購入情報が楽天のサーバーに到着した…」というもの。
え????なにこれ!俺が買ったということ?しかも同じソフトを5本も!!
血の気が引くというのはこういう感覚なのかな。なんでこんなことが起こったのか、これから何が起こるのか。1秒でも早く可能な対策を取らないともっとひどいことが起こるのではないか。そんな恐怖が我が家を襲いました。メール受信の時間を見ると会員情報変更のお知らせが6:53、その後立て続けに購入されています。
購入されたのは『ドラゴンクエストX』
不安になり、楽天ダウンロードにログインして購入履歴を確認すると・・・ドラゴンクエストX 目覚めし五つの種族 オンライン / 販売元:株式会社スクウェア・エニックスが6つも並んでいるではありませんか。やっぱり、私が購入したことになってる!これは大変なことになっているぞ。
目覚めたのは私。五つの種族ではなく、五つの不正購入。ギャグを言っている場合ではありませんが、明らかに購入済みの状態です。まだ子どもが乳幼児でしたので家族ではないと即結論付けましたが、小学校中学年以上であれば問いただすことになりそうです。
初期対応で「二次被害対策」
パスワード・メルアド変更
幸いログインできていますので、パスワードやメールアドレスを即変更、2次被害の発生を防ぐ手立てをとりました。ポイントが相当貯まっていたので、それを根こそぎ使われたら・・・。いや、それよりも証拠隠滅として勝手に退会されていたら・・・。メルアドやパスワードを変更して完全に乗っ取られていたら・・・。いろいろ最悪の事態は考えられますが、今のところそこまでは至っていません。不幸中の幸いです。しかし、この時点ではわからないことだらけです。
1、どうやってIDとパスワードを入手したのか。
2、購入時に入れるカードのパスワードがなぜわかったのか。
メールと購入履歴、ログイン履歴をプリントアウト
警察に行く際の証拠資料としてメールと購入履歴の画面、ログイン履歴の画面をプリントアウトしました。ログイン履歴には不正購入者と思われる謎のIPアドレスもありました。
念のためのウイルスチェック
IDとパスワードを使わなければ購入できないはずなのにそれが分かってしまったという恐怖。念のためウイルス対策ソフトで検索をしましたが特に異常は認められませんでした。
最寄りの警察署「生活安全課」へ
資料ということで購入された商品やメール、相手のIPアドレスなど分かる限りの情報を印刷して最寄りの警察署へ。犯人を特定することが難しいとは思いつつ、とにかくすばやく手を打たねば。その一心で、少々面倒ではありましたが行ってきました。おまわりさんが言うには、「不正ログイン」か「詐欺」かどちらかで捜査を進めることになるのではないかなと。ただ、どちらにしても休日で専門的な職員が不在なので、明日以降に連絡します!と・・・
しかし、待てど暮らせど警察からの連絡はなし。悲しいことですが、このような事件ではやはり真剣には動いていただけないようです。いや、動けないのでしょうか。それを知ってか、同じような犯罪を繰り返す犯人。残念でなりません。確かに、IPアドレスからパソコンが特定されても、それが個人の住宅などでなければ、犯人を特定することは難しいでしょう。さらに時間が経てば経つほど難しくなります。だからこそ、大急ぎで相談に行ったのですが・・・。結局、警察からは3カ月経ってから話を聞かせてほしいと連絡がきました。
カード会社は即対応し「補償」へ。
翌日、すぐにカード会社に連絡しました。確かに私のカードが使用されていることがわかりました。購入するときにパスワードの入力が必要でしたが、そのパスワードも楽天のものとほとんど同じ。ちょっとずつ変えてみて一致してしまった・・・といっても不思議ではありません。ログインしてから購入まで時間があったのも、ひょっとしたらそれを試していた時間だったのかもしれません。
カード凍結&再発行手続き
犯人がカード番号を入手している可能性があるので、カード会社はすぐにカードを凍結して再発行の手続きをしてくれました。そして、使用されてしまった15,000円も補償していただけることになりました。本当にありがたいです・・・。
拒否から一転!楽天ポイント返還へ
キャンセル不可&対応拒否のメール
不正購入とダウンロードがあったということをメールしたところ、下記のようなメールが返ってきました。(番号と下線は追記しました。)
楽天ダウンロードでございます。
この度は、ご不安なお気持ちの中お問い合わせをいただき、誠に恐縮でございます。ご連絡の注文を確認いたしましたところ、ご申告いただいたとおり購入履歴がございました。
注文番号:16059089/16059090/16059090/16059093/16059094 製品名 :ドラゴンクエストX 目覚めし五つの種族 オンライン 楽天ダウンロードでのご注文には、ユーザID・パスワードを入力していただく必要がございます。
また、この度のご注文につきましては、クレジットカードの本人認証サービスを導入しているセキュリティの高い決済方法でご購入されております。従いまして、今回の購入につきましては、本人認証サービスの認証が通っております。クレジットカード情報を知る方が、パスワードを事前登録し、購入したものと存じます。
また、本人認証サービスにつきましては、楽天ダウンロードのサービスではなく、各クレジットカード会社のサービスとなり、決済時のトラブル(身に覚えがないなど)につきましては、クレジットカード会社へご相談いただいております。
この度の状況ですと、①ご本人さまの申告のため、弊社では第三者の利用と判断することができず対応が行えません。第三者がログインしている可能性がある場合は、②即時にユーザID・パスワードの変更をお願いしております。この度は、パスワード変更のお手続き、恐縮でございます。クレジットカードが利用されている場合や、ご請求の有無につきましては、お早めにクレジットカード会社へご相談ください。この度の事案につきましては、楽天ダウンロードからの個人情報の流出の事実はございませんでした。
③第三者によって製品の購入が行なわれた場合においても、申し訳ないのですが、弊社にてキャンセルを行なっておりません。ご了承ください。
お読みいただいて分かるように誠意が感じられない文面です。
①本人以外の誰が申告するのか教えてほしい。
②下線の文、つながりがおかしいですよね。定型文の組み合わせだから仕方がないとも取れますが、パスワードを変えてください→変えてくれて恐縮です。続けて書く内容ではないですよね。担当者は定型文をつなぐ能力しかないのでしょうか。
③ここもおかしい。おかしすぎる!第三者の利用と判断することができない。だから対応できない。そして、第三者の利用でもキャンセルを行っていません。なんじゃそれ?判断できないから対応できないんじゃなくて、何があっても対応しないと言っているんじゃないの。
少額訴訟でもするか…と動き始めたところ
このページを見てメールを送って下さった方と、「管理が甘くないか?集団で少額訴訟だ!」と訴訟の準備を始めました。そして、次のようなメールを送ったところ(以下、送信したメールの抜粋) …
使用された楽天ポイントにつきましては、当方の被害と考えています。こちらは、少額訴訟での被害の回復を考えています。 その際、御社の法人登記が必要になると思いますが、少額訴訟の相手方となる法人は下記でよろしいでしょうか。
http://corp.rakuten.co.jp/about/overview.html
違う場合は正しい相手方をご提示ください。 御社は最初の問い合わせでも楽天、楽天ダウンロードと担当を使い分け、未だにこの件に関する窓口となる担当者もはっきり示されていません。早期解決のためにも正確な情報をご提示ください。
態度が一変、「不正利用だから返します」
つい先日、「第三者によって製品の購入が行なわれた場合においても、申し訳ないのですが、弊社にてキャンセルを行なっておりません。」と返答したにも関わらず、本件につきまして、サービス運営の母体である楽天市場より、クレジットカード会社から不正利用の確認が取れた場合は、楽天スーパーポイントを返還するのが望ましいとの申し伝えがございました。話が大きくなってきて、本社が動いたのか、最初は担当者が勝手に対応していたのかはわかりません。今までそんなことひとつも言っていませんでしたよね。ただ、ポイント返還の判断はカード会社の判断が基準ということなのです。ちょっと突っ込ませてもらえば、自分たちの運営するサイトがどう利用されているかを検証して対応できないんですよ。あんな不自然な利用を防ぐことができない、そう言われても仕方がない状況なのに。カード会社が楽天に問い合わせて即日不正利用と判断できるようなものを、他社の判断にゆだねているのです。結果的には以下のようなメールが届きポイントは返還されました。
楽天ダウンロードでございます。
この度は、長らくお待たせしてしまい大変申し訳ございません。 注文番号:16059089/16059090/16059092/16059093/16059094 製品名 :ドラゴンクエストX 目覚めし五つの種族 オンライン
クレジットカード会社からの確認結果を参考とさせていただき、今回のご購入につきましては、 利用された楽天スーパーポイントの返還を行なわせていただきたく存じます。
返還ポイント:5000pt
また、この度は楽天ダウンロードでの利用となりますが、楽天スーパーポイントの付与にあたり「ポイント利用・獲得履歴」のサービス欄にはブックスと表示され、 詳細に「楽天ダウンロード】ポイントの返還」と表示されます。 あらかじめご了承ください。
訴訟は関係ないからね!
さらに以下のような内容も、メールの返信に書いてありました。
なお、訴訟のご検討につきまして、恐れ入りますが、この度のご連絡文言と全く同内容でのお問い合わせを頂戴しております。ポイント返還におきましては、訴訟のご検討に左右されることはございませんので、ご承知ください。
そりゃそうです。被害者で一緒に送ったもの・・・気づけよ。というか、おそらくそれで焦ったのではないでしょうか。団結されると厄介ですからね。
「楽天」は悪くはないかもしれない。しかし責任は?
確かに不正アクセスに関しては「楽天」は悪くないですよね。悪いのは勝手に購入した犯人。そして、IDとパスワードを使いまわした私にも若干の非はあります。勝手に購入されたとしても関係ないという楽天の最初の言い分もごもっとです。ただ、通常1つ購入すればよいゲームを複数購入できるシステムにしている点はどうなんでしょうか。仮に誤って購入ボタンを複数押してもキャンセルできないということですよね。1つは残して他の4つはキャンセルが可能とか、そもそも続けて申し込みができないシステムにしていたら誠意は感じられるのですが。
本来、「不正アクセスだからポイント返せよ」というのは半ば強引な言い分なんです。補償してくれるというのだからありがたくいただくとして、それならなぜ最初からカード会社に補償してもらった段階でポイント返還の話をしてこないのかなとも思うのです。そう考えると、「ポイントは返すからもうこれでいいだろう。」と捉えたくなります。
▶ スポンサードリンク
毎日新聞でも取り上げてもらえました。
なまら北海道だべさのサイトを見て、朝日新聞の記者の方がメールで連絡してきました。そして、実際に電話での取材を受け、6月7日付けの朝日新聞に『ドラクエ最新作、勝手に大量購入 楽天に不正アクセス』という記事で世間にも知られることとなります。
被害は数年前からあった
この記事で分かったことですが、事件は私が被害に遭う半年前から起きていました。記事によると、2013年9月の発売後しばらくしてから、「ドラゴンクエスト(ドラクエ)」の最新作が楽天への不正アクセスによって大量に購入(ダウンロード)される被害がかなり発生しているというではありませんか。被害は、1回につき数本~十数本。代金は全て正規利用者名義のクレジットカードで決済されていたといいます。
「1月」にはシステム変更済みだというが
記事によると、記者の問い合わせに対し楽天広報部は「被害の総数や総額は把握できていないが、『身に覚えがない商品を買ったとするメールが届いた』という問い合わせが数多く寄せられている」と認め、2014年1月以降は1人につきソフト1本しかダウンロードできないシステムに変更したと説明しているそうです。私がメールを送った時の返信メールがすでに定型文のようだったのも、前例がたくさんあったからなんですね。
1月から1本しかダウンロードできないようにしたとありますが、私が被害に遭ったのは3月。それなのに、計5本のソフトをダウンロードされてしまいました。これも嘘っぽいですよね。追及したらさらにボロがでそうです。楽天側は「理由は分からない」としているようですが、ダウンロード販売という業種の性質上、この段階で「分からない」で済む話ではないと思います。
犯人の目的は何?3つの可能性とは
なぜ、最新作のドラクエⅩが狙われたのか。それは犯人にしかわかりません。さらに、犯人は一人なのか複数なのか。それとも組織なのか…全く分かりません。それでも、考えられることとしてこの記事では3つの可能性が挙げられていました。
①転売目的
まず考えられるのは人気ゲームソフトの「第三者への転売」です。現時点では、不正にダウンロードされたドラクエⅩのソフトがネット上に出回っている形跡はないようですが、個人間で市場価格より安く売買されている可能性があるそうです。
②リアル・マネー・トレード(RMT)
ほかの多くのオンラインゲームと同じように、ドラクエⅩもプレーヤー同士がネットでつながって同時に遊べます。そして、それぞれがプレー中に手にする通貨や武器といったアイテムを自由に交換できます。ソフトを大量にダウンロードし、プレーする権利を多く持っていれば、交換できるアイテムも増え、それを現金で売買する「リアル・マネー・トレード(RMT)」と呼ばれものが行われているそうです。
③遊ぶ権利の「保険」
実は、RMTは「犯罪の温床になりかねない」として禁止されていて、関与が発覚すればプレーヤーは遊ぶ権利を失うそうです。スクウェア・エニックスによると毎月4千人前後の権利を無効にしているらしいです。「毎月」って驚きますね。だから、RMTが発覚して権利を失った後も続けて遊べるようにするための新手の不正行為の可能性もあるとのことです。
いや、確かに毎月4000人ってかなりの数字ですよね。正規に商品を買ってドラクエを楽しむゲーマーの数ではないことが明らかですよね。これだけの権利が停止されていれば補うために権利を手に入れる…。うーん、RMTが絡んだ事件なのかな。いや、本当に自分のことしか考えていない非常に腹立たしい限りです。
マスコミが動いたら警察も動いた!
記者の方に警察署にも相談したという話をしたこともあってか、半年近くたった頃に警察署から電話があり、調書を作りたいとのこと。職場まで来てもらい1時間ほどいろいろ質問されました。この順番で連絡がきたことは事実なので、「マスコミが動くことにより、警察も仕方がなく動いた」と言われても仕方がないですよね。しかし、警察はそこまででした。動いているのかどうかもわかりません。その後、1年以上経っていますが何も進展はありません。未だに同様の被害が出ているようです。このことには強い非常に憤りを覚えます。
パスワードの使いまわしは反省
事件前は正直様々なところで同じIDとパスワードを使用していました。「使いまわしはよくない」ということは知っていてもまさか自分が被害に遭うとは思っていませんでした。今回の事例も「楽天のIDとパスワード」が漏れたのかどうかはわかりません。他のサービスで登録したものが漏れて、試しに楽天に入力したらログインできたというものかもしれません。それでも、誰かが不正にアクセスし、私のお金とポイントを使って商品を購入し持ち去ったのですから立派な犯罪のです。
今回購入されたものは、
ドラゴンクエストX 目覚めし五つの種族 オンライン / 販売元:株式会社スクウェア・エニックス
です。みなさん、本当に気をつけましょう。もう、このタイトルを見ると腹立たしくて仕方がありません!!ドラクエは悪くないんですけどね。
これをきっかけに、いろいろなサービスで使っているIDやパスワードを全て見直し、ものによっては2段階認証も利用するようにしました。ちょうど携帯をスマホにかえたのもあって、こういうものもやりやすくなりました。悔しいけど、これで済んでよかった。今後の被害がなければそう思えそうです。その後交渉によりポイントが返還されましたが、今回の件でひとり儲かっているのは犯人。楽天も最初は対応する気なし。物さえ売れればいいのか?もう、本当に許しがたいですね。
セキュリティソフトの強化
最後に、今回はウイルス感染の形跡は見られませんでしたが検出されていないだけかもしれませんので有料版の対策ソフトを導入することにしました。様々なクチコミを比較した結果、性能・値段ともにバランスがよさそうなESETセキュリティソフトにしました。まとめ買いがお得でしたので3年分で購入しました。