おすすめ記事ピックアップ
先日、私の妻の楽天アカウントも乗っ取りされて不正利用されました。また管理している売上の小さい楽天のお店にも、短い期間で3件~4件ぐらい不正利用の連絡がありました。
楽天はなぜ、アカウント乗っ取りや不正ログイン等による不正利用被害が多いのか。その理由を考えてみました。
この問題がややこしいのは、各モール(楽天等)から確実に流出したわけではなく、どこからか漏れた(もしくは推測された?)IDとパスワードが利用されている点です。各モールからの流出ではないので、モール側では事前に確実な対応はできないところにあるのだと思います。
2015年4月に約500万人分のショッピングサイトなどのIDとパスワードの流出が確認され、約6万人のアカウントが実際にログインされていたという事件がありました。
このニュースの怖いところは2つあります。一つは、中継サーバーを通すことで海外からのアクセスも国内のアクセスのように見えるため、海外からのアクセスを禁止しても不正なログインを防げないことです。
もう一つが恐ろしく、流出元が不明な約500万人分のIDとパスワードがあったことです。約500万人分ということは、インターネット利用者6000万人~5000万人ですから、約1割のIDとパスワードが漏れているわけです。
不正利用されていなくても、高い確率で流出している可能性があります。私の妻の楽天アカウントは、たぶんこれに該当していたのかなと思います。
未だに約500万人分のIDとパスワードがどこから流出したのか不明なのです。不明ってことは、今後も同じように流出、もしくは常に流出しているであろうということです。
アカウントに不正にアクセスしたら、メールアドレスの変更を行い、商品を購入して、自分の住所もしくは、その商品を受取る窓口となる住所へ発送します。手口は他にもあるでしょうけど、そのパターンがよくある手口です。下記の記事がわかりやすいと思います。昔から今も継続している手口です。
不正利用されたアカウント本人は、かなり守られているので、本当の被害者はクレジットカード会社もしくは店舗になります。一見被害者に見えるアカウント本人は、ほとんど不正利用による被害を受けることはないと思います。
もし不正を理由に被害者が訴えても、中継サーバーで偽装されていたり海外からのアクセスだったりすると、捜査しようが無いでしょう。
そして荷物の受取人を捕まえようとしても、その人が犯罪と関係しているか証明することは、実質不可能でしょう。関係が無く荷物が送られてきたのかもしれませんし、言い逃れる方法はいくらでもあります。
以上から個別の犯罪としては摘発しようがないので、放置(未然に防ぐ対応を重視)している現状なのだと思います。ある意味で不正利用やり放題というところでしょう。不正利用するためにしっかりと準備している人や組織なら、不正利用するリスクもほとんど無いでしょう。
仕事のようにせっせと不正利用を続けているのだと思います。不正利用で入手した商品の受け取り先を組織的に準備することも比較的簡単にできるでしょう。
ちなみにお店側も3Dセキュア(クレジットカードのパス)や、保険に入れば、不正利用の補填を受けることが可能ですが、3Dセキュアを掛けたら、ほとんどの人が3Dセキュアのパスなんて知らないので決済できないなど、デメリットが多く実際には導入が難しいでしょう。
掛け捨てのような保証制度も参加すれば、被害にあう金額より高くなるなんてこともあります。要は不正利用があったらお店側が泣くしかないのです。
不正に購入された商品の発送先に使われている住所のリストがあります。楽天店舗運営者は、運営マニュアルから振込詐欺などを含む不正利用の送付先と思われる住所のデータを見ることができます。楽天と警察とクレジットカード会社の情報などが一緒になったもののようです。
国内に約5000箇所、海外に約5000箇所ぐらいあります。疑いがある住所なので、短期で住んでいた人が、不正に使っただけの住所もあるでしょうし、常時使われている住所もあるでしょう。もちろんこの住所にないところもあるはずです。まあ至るところに受け取り先があるようです。
このリストは、よーーーーーく探さないと見つかりません。さすが楽天です。一見分からない場所にあります。見たところで、対応しようがないのですが、興味ある人は探してみてください。検索から下記タイトルを入れると見つかると思います。
このような不正利用住所の名寄せや、推測ですが不正のアルゴリズム(例えば、メールアドレスの変更後に、異なる住所へ発送で購入しているなど)なども、存在しているはずです。それらに該当すると、クレジットカードの決済がしなかったり、各モールの運営側で注文を止めたりしているのでしょう。
クレジットカードNGでも、オーソリーNGとしてお店に注文情報が到着するので、アナログで処理しているお店は、間違って出荷してしまうこともあります。あと単純に利用者が多いというのもあるでしょう。楽天を狙って不正利用するのが、効率よく不正できるのだと思います。
あと楽天利用者のメールアドレスを、楽天出品者は確認できない(楽天のアドレスに変換される)ので、怪しいyahoo等のアドレスで注文が来ていても気がつけません。
この3つの理由から、楽天で不正利用するのが、商品の不正入手ができる可能性がもっとも高いと考えるはずです。実際には他のモール等も、楽天と同じ頻度で不正利用があるのかもしれませんが楽天は不正が成功しなくても、お店に不正購入のメールがしょっちゅう届くため、不正利用が多く感じます。
不正を目論んでいる人は、働く感じで日本時間の深夜にでも、入手したIDとパスワードで不正ログインして、メールアドレスを変更したあと、換金できそうな商品を探し購入し、受け取り用の住所に変更して注文を繰り返せば、例えば100件に1件とか、実際に商品が届いてしまうのだと思います。
それが3万円ぐらいの商品で2万円ぐらいの現金にできるなら、十分条件の良い仕事になるのでしょう。
いずれも楽天と違って、不正利用があっても、お店側には注文情報がほとんど届かない仕組みになっています。
Amazon場合は、不正利用されても、たぶんお店側もユーザーも保護されます。お店もユーザーもAmazonと取引してる感じで、決済もAmazonを通しているため、検知できない不正利用があってもAmazonがかぶっていると思います。yahooはちょっとわかりませんけども。
ちなみに楽天は、不正利用の注文があると、楽天より不正の疑いがある注文がありますよ電話がかかってきます。電話でただ連絡が来るだけです。
http://itea40.jp/web/information/security-topics/troubleshooting/rakuten-passcode-initialization/
http://matome.naver.jp/odai/2139695346515666801
http://taokiton.exblog.jp/21894414
http://akiueo.hatenablog.com/entry/rakuten-login-security-201409
http://xn--eckwa3d3b3a2j.net/post-524/
楽天への出品者としてですが、オーソリーNGの注文を通したり、楽天edyの決済が強制適用されるのをやめてもらいたいものです。毎回面倒くさくてたまりません。
楽天はなぜ、アカウント乗っ取りや不正ログイン等による不正利用被害が多いのか。その理由を考えてみました。
この問題がややこしいのは、各モール(楽天等)から確実に流出したわけではなく、どこからか漏れた(もしくは推測された?)IDとパスワードが利用されている点です。各モールからの流出ではないので、モール側では事前に確実な対応はできないところにあるのだと思います。
2015年4月に約500万人分のショッピングサイトなどのIDとパスワードの流出が確認され、約6万人のアカウントが実際にログインされていたという事件がありました。
警視庁が都内プロキシサーバ業者の中継サーバから506万人分のIDとパスワードを発見
http://rik.skr.jp/archives/2015/04/post-21372.htmlhttp://www.yomiuri.co.jp/it/security/goshinjyutsu/20141121-OYT8T50176.htmlhttp://www.sankei.com/affairs/news/150417/afr1504170035-n1.html
このニュースの怖いところは2つあります。一つは、中継サーバーを通すことで海外からのアクセスも国内のアクセスのように見えるため、海外からのアクセスを禁止しても不正なログインを防げないことです。
もう一つが恐ろしく、流出元が不明な約500万人分のIDとパスワードがあったことです。約500万人分ということは、インターネット利用者6000万人~5000万人ですから、約1割のIDとパスワードが漏れているわけです。
不正利用されていなくても、高い確率で流出している可能性があります。私の妻の楽天アカウントは、たぶんこれに該当していたのかなと思います。
未だに約500万人分のIDとパスワードがどこから流出したのか不明なのです。不明ってことは、今後も同じように流出、もしくは常に流出しているであろうということです。
よくある不正利用の手口
各モールの個人アカウントに不正ログインして、アカウント本人の住所に購入した商品を送るだけでは、ただのイタズラになってしまいます。アカウントに不正にアクセスしたら、メールアドレスの変更を行い、商品を購入して、自分の住所もしくは、その商品を受取る窓口となる住所へ発送します。手口は他にもあるでしょうけど、そのパターンがよくある手口です。下記の記事がわかりやすいと思います。昔から今も継続している手口です。
【追跡ネット犯罪(2)】俺の楽天アカウントを乗っ取ったヤツが購入した商品とは? 発送先も電話番号も判明!
http://rocketnews24.com/2012/02/13/182250/
【追跡ネット犯罪(3)】警察に相談してみたら「あなたは被害者ではない」「住所が分かっていても動けない」
http://rocketnews24.com/2012/02/14/182468/
不正利用されたアカウント本人は、かなり守られているので、本当の被害者はクレジットカード会社もしくは店舗になります。一見被害者に見えるアカウント本人は、ほとんど不正利用による被害を受けることはないと思います。
もし不正を理由に被害者が訴えても、中継サーバーで偽装されていたり海外からのアクセスだったりすると、捜査しようが無いでしょう。
そして荷物の受取人を捕まえようとしても、その人が犯罪と関係しているか証明することは、実質不可能でしょう。関係が無く荷物が送られてきたのかもしれませんし、言い逃れる方法はいくらでもあります。
以上から個別の犯罪としては摘発しようがないので、放置(未然に防ぐ対応を重視)している現状なのだと思います。ある意味で不正利用やり放題というところでしょう。不正利用するためにしっかりと準備している人や組織なら、不正利用するリスクもほとんど無いでしょう。
仕事のようにせっせと不正利用を続けているのだと思います。不正利用で入手した商品の受け取り先を組織的に準備することも比較的簡単にできるでしょう。
ちなみにお店側も3Dセキュア(クレジットカードのパス)や、保険に入れば、不正利用の補填を受けることが可能ですが、3Dセキュアを掛けたら、ほとんどの人が3Dセキュアのパスなんて知らないので決済できないなど、デメリットが多く実際には導入が難しいでしょう。
掛け捨てのような保証制度も参加すれば、被害にあう金額より高くなるなんてこともあります。要は不正利用があったらお店側が泣くしかないのです。
カードの不正利用はお店負担!? ネットショップオーナーが知っておきたい「チャージバック」とは
http://eczine.jp/article/detail/348
不正利用の商品発送先は10000箇所
そうみると、お店側がガンガン被害にあいそうですが、各モールやクレジットカード会社や警察も、そこは連携して事前に情報を共有し、不正利用があった場合は、事前に利用されない枠組み作りをしっかり進めているように見えますし、ほとんどは水際で阻止されていると思います。不正に購入された商品の発送先に使われている住所のリストがあります。楽天店舗運営者は、運営マニュアルから振込詐欺などを含む不正利用の送付先と思われる住所のデータを見ることができます。楽天と警察とクレジットカード会社の情報などが一緒になったもののようです。
国内に約5000箇所、海外に約5000箇所ぐらいあります。疑いがある住所なので、短期で住んでいた人が、不正に使っただけの住所もあるでしょうし、常時使われている住所もあるでしょう。もちろんこの住所にないところもあるはずです。まあ至るところに受け取り先があるようです。
このリストは、よーーーーーく探さないと見つかりません。さすが楽天です。一見分からない場所にあります。見たところで、対応しようがないのですが、興味ある人は探してみてください。検索から下記タイトルを入れると見つかると思います。
このような不正利用住所の名寄せや、推測ですが不正のアルゴリズム(例えば、メールアドレスの変更後に、異なる住所へ発送で購入しているなど)なども、存在しているはずです。それらに該当すると、クレジットカードの決済がしなかったり、各モールの運営側で注文を止めたりしているのでしょう。
楽天は不正の被害が多い理由
前置きが長くなりましたが、楽天が不正利用の被害が多い理由は。楽天に不正ログインできれば、メールアドレスを変更しても利用者が気が付きにくいため、利用者による停止作業が遅れます。また当日出荷する店を狙いクレジットカードが通れば、即荷物が届きます。クレジットカードNGでも、オーソリーNGとしてお店に注文情報が到着するので、アナログで処理しているお店は、間違って出荷してしまうこともあります。あと単純に利用者が多いというのもあるでしょう。楽天を狙って不正利用するのが、効率よく不正できるのだと思います。
あと楽天利用者のメールアドレスを、楽天出品者は確認できない(楽天のアドレスに変換される)ので、怪しいyahoo等のアドレスで注文が来ていても気がつけません。
理由1-楽天は、メールアドレス変更のお知らせメールに気が付きにくい。
楽天は、スパムのように営業メールが来るので、メールアドレスの変更のお知らせが来ても、見逃しやすいです。そしてメールアドレスで認証しなくても、ログインしていればメールアドレスが変更されてしまいます。変更があったという連絡だけ来る形です。見逃しやすいし、深夜に変更すれば、翌朝気がつかない可能性も高いです。メールで埋もれる仕様なので。理由2-楽天は、クレジットカードNG(オーソリーNG)でも注文情報がお店に届く。
楽天は、クレジットカードがNGの場合も、オーソリーNGとして、注文者情報をお店に届けます。クレジットカードが使えなくても、注文情報を店に届けて、お店側でどうにかしろ(催促するならキャンセルするなり)という仕組みになっています。理由3-楽天は、出荷を急がないとペナルティがある。
配送サービスである今日ツク、明日ツク利用にはペナルティがあります。楽天出品者で、今日ツク(注文した荷物が当日つく)、明日ツク(荷物が翌日つく)を利用すると、検索で優位に表示されますし、購入者も買いやすいため利用が推奨されています。もし指定された日時に出荷出来ない場合は、5%のペナルティが付く仕組みになっています。お店側も必死で、当日出荷を行います。注文が来たらとにかく急いで出荷します。この3つの理由から、楽天で不正利用するのが、商品の不正入手ができる可能性がもっとも高いと考えるはずです。実際には他のモール等も、楽天と同じ頻度で不正利用があるのかもしれませんが楽天は不正が成功しなくても、お店に不正購入のメールがしょっちゅう届くため、不正利用が多く感じます。
不正を目論んでいる人は、働く感じで日本時間の深夜にでも、入手したIDとパスワードで不正ログインして、メールアドレスを変更したあと、換金できそうな商品を探し購入し、受け取り用の住所に変更して注文を繰り返せば、例えば100件に1件とか、実際に商品が届いてしまうのだと思います。
それが3万円ぐらいの商品で2万円ぐらいの現金にできるなら、十分条件の良い仕事になるのでしょう。
Amazonはお店側もしっかり保護してくれる
Amazonやyahooなどは、クレジットカードがNGの場合、お店側にそもそも注文が来ません。またAmazonの場合は、メールをチェックしている人が多いでしょうから不正利用されても気が付きやすいのでしょう。yahooはちょっとわかりませんけども。いずれも楽天と違って、不正利用があっても、お店側には注文情報がほとんど届かない仕組みになっています。
Amazon場合は、不正利用されても、たぶんお店側もユーザーも保護されます。お店もユーザーもAmazonと取引してる感じで、決済もAmazonを通しているため、検知できない不正利用があってもAmazonがかぶっていると思います。yahooはちょっとわかりませんけども。
ちなみに楽天は、不正利用の注文があると、楽天より不正の疑いがある注文がありますよ電話がかかってきます。電話でただ連絡が来るだけです。
楽天アカウント乗っ取りなど、検索をするとごろごろ出てきます。
http://komatta-blog.com/illegal-access/http://itea40.jp/web/information/security-topics/troubleshooting/rakuten-passcode-initialization/
http://matome.naver.jp/odai/2139695346515666801
http://taokiton.exblog.jp/21894414
http://akiueo.hatenablog.com/entry/rakuten-login-security-201409
http://xn--eckwa3d3b3a2j.net/post-524/
楽天への出品者としてですが、オーソリーNGの注文を通したり、楽天edyの決済が強制適用されるのをやめてもらいたいものです。毎回面倒くさくてたまりません。