シナプス・マガジン

AppleIDが乗っ取られアプリに28万課金された話

AppleIDが乗っ取られアプリに28万課金された話

これは、スタッフの家族が実際に体験した、AppleID乗っ取りについてのお話です。

三行でまとめると

  • シナプススタッフの家族、見知らぬ悪い人にAppleIDを乗っ取られてやってもいないソシャゲに28万の課金をされる
  • カード会社サポートとAppleサポートのおかげで無事全額戻ってくる
  • 乗っ取りの要因は2つあり、本人のセキュリティ意識の問題でもあった

です。

発覚

ある朝、日課の朝イチメールチェックをしたら…
※上の方が新着
!?

間に挟まっているIngressアンケートがいい味出してますが、とにかくこれは異常です。
前の晩確かに1回はアプリAに課金をしたので「なんかのエラーでメールがいっぱい来てるのかな」とか「1通は本物でそれ以外はAppleを装った迷惑メールかな」とか思ったものの開くと中身が…


11,800円????

昨晩の課金は800円ほどだったはずです。しかもこの請求メールは25通来ていて、最初の1通はその心当たりのあるアプリAの800円の請求でした。
でも残りの24通は、一度もやったことのない、ダウンロードすらしたこともないアプリBのアイテムが11,800円分買われている明細でした。
同じように11,800円の明細メールが合計24通なので一晩で283,200円の請求がきていることになります。
寝ぼけて間違えて買ったにしてもこれは何かおかしい!!
寝る前にもメールチェックをして、その時点では請求メールはありませんでした。
また、一人暮らしなので家族が勝手に…というパターンでもありません。
クレカは手元にあるので、紛失や盗難というセンでもありません。
事件は夜中に起きている!!!

現時点では漏れているのがAppleIDなのかクレカなのか定かではないので、どこまで何が漏れているのかを切り分けないといけません。

まずはカード会社に連絡した

どこに連絡すれば…と一瞬迷いましたが、Appleからの請求メールの前に

カード会社からのメールが来ていたのに気づきました。
内容は、不審な使い方が検知され第三者のカード利用の疑いがあるので、サポートに連絡をくださいというもの。
神システム…と思い急ぎメール本文中にあったサポート番号へ電話をかけ、覚えのない請求であることを伝えてカードを一時止めてもらいました。
この時点ではアプリ課金以外に不審な買い物はないようでした。

次にAppleに連絡…する前に発覚

Appleにはオンラインで手続きを取ると折り返し5分ほどで電話をかけてくれるサポートがあったので、その手続きをパソコンでやろうと思ってログイン後2ファクタ認証のコードが送られたことを確認し、SMSでコードを見ようと思っても、待てど暮らせどコードが届かず…

ん?2ファクタ認証???

2ファクタ認証とはApple IDを使って手続き、AppleIDパスワードだけでなく登録している携帯番号宛に送られたコードの入力も行わないと先に進めないという強固なセキュリティの仕組みです。
強固は強固だけどひと手間かかるという理由で確かオフにしていた気が…
コードを送信したと思しき携帯電話番号は***で隠されており、下2桁だけしか確認できないようになっていますが、その下2桁が知ってる番号と違う!!
ここでようやく気付きました。

AppleIDが乗っ取られてる~~~~~!!

設定で確認するとAppleIDに紐づけられている端末に見知らぬiPhoneが2台とWindowsPCが1台増えています。
んも~~~~~~~~!!!!

前の晩の行動を思い起こしてみます。
環境はiPhoneXR、FaceIDは設定してある状態です。
前の晩は、寝る前にアプリAに少額課金をするのにFaceIDを使いました。
そしてちょっと遊んで、アプリAを終わってさて寝るかーとなったときになんかAppleIDパスの入力画面がでたんです。
タイミングがヘンだけど課金時、AppStoreの規約が変わったときに再度パスワード入力を求められるアレか、それともOSのアップデートかなんかかなと思ってパスワードを入れた記憶がよみがえりました。
あの時か~~~~~~~~~!

メールを少しさかのぼると

なんかされてるログが…

Appleサポートに連絡

なんとなく全容が見えてきたのでここでAppleサポートに連絡。

  • AppleIDが乗っ取られている
  • 2ファクタ認証に知らない番号が使われている
  • 覚えのない課金がされている

以上3点をサポートにお伝えしました。
調査結果、第三者の乗っ取りが認められたので覚えのない分のアプリBに関する課金については返金に。そしてパスワードをリセット、2ファクタ認証を解除し自分の番号へ変更。マイページから、紐づけられている端末の中で覚えのないものを削除。

もう1度カード会社に連絡

カード不正使用の経緯について説明のためカード会社に再度連絡をし、カードについては現在のカードはもう使用不可した上に再発行の手続きを取りました。
とりあえずこれでひと段落です。ちなみに発覚からここまで2時間くらいです。

なんで乗っ取られたの

  • 2ファクタ認証をしていなかった
    2ファクタ認証を面倒くさがらず設定しておけば乗っ取られることもなかったので今後はちゃんと運用します。
  • ID(メールアドレス)とパスワードが漏れていたのに気づかず使いまわしていた
    そもそも2ファクタ認証の設定変更を行うためにはIDとパスワードが必要のはず…?
    というわけで以下のサイトで調べました。Firefox Monitor
    https://monitor.firefox.com/
    これはFirefoxのMozzilaが提供している自分のメールアドレスが漏れてないかを調べてくれるサービスです。
    自分のメアドを入れて調べると…
    ダダ漏れやないか~~~い!
    この2つのサービスで使っていたメアドとパスワードの組み合わせをAppleIDでも使っていたことが要因です。
    複数サービスでパスワードを使いまわすとこういうリスクを抱えるというのは頭では分かっていたのですが今回身をもって体験しました。

最後に

ソシャゲ課金は自分のお金でしましょう。

Facebookでコメント

Return Top