楽天ダウンロードで不正購入された話
いろいろまだ不可解なことがあります.
まずは事実を.
最初に気づいたのは楽天ダウンロードからのメール.
From: download@rakuten.co.jp
Subject: 【楽天ダウンロード】購入内容ご確────────────────────────────────
この度は楽天ダウンロードをご利用いただきまして誠にありがとうございます。
・ご注文番号 16046115
・ご注文日時 2014-02-22 23:33:51
- -
・商品名 ドラゴンクエストX 目覚めし五つの種族 オンライン / 販売元:株式会社スクウェア・エニックス
・商品コード 801497727
・価格 3800 円
・消費税 190 円
・ご注文金額合計 3990 円
・ポイント利用(一部) -100(円)
・ご請求額 3890 円
・お支払方法 クレジットカード決済一括払い
このような「ドラゴンクエストX 目覚めし五つの種族 オンライン / 販売元:株式会社スクウェア・エニックス」を購入したというメールが立て続けに3通.
見に覚えが無いどころか,3ライセンスも購入するのも理解できませんし,後述のようにアクセスの仕方から言っても異常としか思えません.
次に,次のような情報量のないメールが立て続けに2通.
From: myinfo@rakuten.co.jp
Subject: [楽●天]会員情報変更のお知らせ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【楽●天】会員情報変更のお知らせ
https://member.id.rakuten.co.jp/rms/nid/menufwd
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
*このメールは楽天をご利用いただく際の重要な情報を記載しておりま
すので大切に保存いただきますようお願いいたします。
────────────────────────────────楽天会員情報を変更いたしましたので、お知らせいたします。
このメールは会員情報の変更時に、確認のため送信させて頂いております。また、メールアドレスが変更された場合は変更前のメールアドレスにも
このメールを送信させていただいておりますのでご了承ください。
何の会員情報が変更されたのかは,全く分かりません.
とりあえずログインできたので,ログインパスワードを変更しました.
楽天ダウンロードのサイトに行って購入履歴を見ると,確かに「ドラゴンクエストX 目覚めし五つの種族 オンライン / 販売元:株式会社スクウェア・エニックス」が3つも買われたことになっています.
この謎の不正アクセスは,昨年の秋冬と,今年の今頃に起こっているらしく,ネットでも相当量の同様の事象が報告されています.
分のクレカで楽天ダウンロードからドラクエ10を3つ買ってることになってた。
https://twitter.com/motabom/status/4344654279099269122013年11月21日 不正アクセスによる被害についての報告。
http://blog.livedoor.jp/suoh/archives/53008959.html楽天ダウンロードから身に覚えのない購入履歴のメールが。ドラゴンクエストの同じの3回分。
https://twitter.com/takeitakeru/status/436271840260919296楽天ダウンロードから買ってもないドラクエXの購入完了メールが来た…。
https://twitter.com/crimsonrose00/status/389806944539918336楽天アカウントを不正アクセスされ、ダウンロード版ドラクエX買われたなう。
https://twitter.com/karumire/status/389728610522652672
しかし,調べ始めると,色々と不可解なことが分かってきます.
一番不思議なのは,楽天の回答によると
この度の商品につきましては、3Dセキュアと呼ばれる本人認証サービスを導入している商品でございます。
このサービスは、カード発行会社にあらかじめ登録したパスワードをご入力いただくことにより、
本人認証を行うサービスのことです。本件商品につきましては購入後、本人認証の為のパスワード入力がございます為、
楽天IDにログインされたのみではご購入が出来ない商品となっています。本製品は、本人認証サービスを利用した決済方法でご購入されております。
従って、今回の購入につきましては、本人認証サービスの認証が通っております。
クレジットカード情報を知る方が、パスワードを事前登録し、購入したものと
存じます。
私が正規に使用しているクレジットカードは紛失・他人に見せる・他人に貸すということはないので,スキミングでもされない限りあり得ません.
それ以上に,楽天ダウンロードでは,「お買い物で通常使うカード」が使われるようなのですが,私が楽天に登録している3枚のクレジットカードのうち,「お買い物で通常使うカード」は無効なカードなのです.なので,普通に楽天ダウンロードで商品を購入しようとすると,次のようなエラー画面が出ます.具体的には,このクレジットカードは紛失したもので,再発行してもらっており既に存在しないカード番号なのです.
試しに普通に楽天ダウンロードで購入しようとすると,エラー画面が出ました.
にも関わらず,購入プロセスを一つ前に戻ってチャレンジすると,次のようにセキュアIDの入力を求められます.
この際に,どのクレジットカードが対象なのか確認したのですが,既に無効のものでした.紛失したので無効にしてもらって,新たなカード番号を発行してもらったものの,古い番号が出ていました.
なので,犯人がどうやって購入したのかが,現時点では分かりません.
請求がまだ来ていませんし,私から見ると知らないクレジットカードとしか思えませんし,楽天のシステムがどうやって購入可能と判断したのかも分かりません.
邪推すると,楽天はクレジットカード情報を持っていますから,内部の...いやいや,それは考えたくありません.
不正アクセスのソースの動きも不可解です.
IPアドレスやホスト名を出しますが,これは犯人本人なのか,なんらかの方法で踏み台にされた第三者なのかは分かりません.ご容赦下さい.
まず,ログイン履歴は次のような感じです.
伏せ字にしているのは私の実際のIPアドレスです.
2014年2月
2014年2月 ***** さんのログイン履歴
| ログイン時間 | サービス名 | 利用端末 | IPアドレス |
|---|---|---|---|
| 2014年2月22日(土) 23時44分2秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時42分3秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時40分4秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時39分59秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時39分56秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時39分53秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時39分47秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時36分57秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時36分34秒 | 楽天会員情報の管理 | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時31分33秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時31分21秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時31分16秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時31分7秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時31分3秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時29分29秒 | 楽天のサービス | PC | 218.42.96.162 |
| 2014年2月22日(土) 23時29分19秒 | 楽天会員情報の管理 | PC | 218.42.96.162 |
| 2014年2月22日(土) 4時28分42秒 | my Rakuten | PC | 175.179.137.57 |
| 2014年2月16日(日) 20時19分8秒 | 楽天のサービス | PC | xxx.xxx.xxx.xxx |
まず明け方にnttkyo193057.tkyo.nt.ngn.ppp.infoweb.ne.jp(175.179.137.57)がログインし,その後夜中にFL1-218-42-96-162.tky.mesh.ad.jp(218.42.96.162)が実際の購入を行っています.
その間に,「楽天会員情報の管理」に2回アクセスしているのが謎です.
可能性としては,1)メールアドレスを変更した,2)クレジットカード情報を変更した,というのを考えました.
メールアドレスを変更したのは,いち早くレジストキーの情報を仕入れたりログインするたびに連絡が行かないようにするため.ただし今回,ログインするとメールが来るはずのアドレスがなぜかメール到達不能になっていて(調査中),発見が遅れました.
クレジットカード情報を変更したという可能性は,前述の通り,楽天に私は3つのクレジットカード情報を登録していますが,そのうち2つは無効なものなのです.楽天ダウンロードで使われるはずがなく,使われてもエラーになるはずです.ならば,誰か他人のカードをわざわざ登録した可能性を考えました.1つだけ有効なカードが登録されていますが,それが3Dセキュアまで使用される可能性は現時点では極めて低いため,別途不正に入手したクレジットカード情報を使用した可能性はゼロでは無いと思いました.
この辺りも全部楽天ダウンロードに指摘したのですが,メールの返事こそ来ましたが内容はスルー.
有効なカードは常に財布の中に常備している上に,「お買い物で通常使うカード」では無いため,3Dセキュア認証まで行くはずがありません.楽天のシステムに欠陥がない限り.
現在のところ,被害届などは出していません.まだ購入日から数日で,クレジットカードに請求が無く,実害が無いからです.
不正アクセス(楽天に私のIDでログインした)で訴えることも考えられますが,こちらはパスワードが確かに弱かった(アルファベット6文字程度だった)ため,私が悪いかと.
問題なのは,楽天の説明の
本件商品につきましては購入後、本人認証の為のパスワード入力がございます為、
楽天IDにログインされたのみではご購入が出来ない商品となっています。
です.
可能性として考えますと,
- 楽天のシステムに欠陥があって,無効な「お買い物で通常使うカード」じゃなくて有効なカードにたどり着いてしまい,かつ3Dセキュア認証情報がスキミングされていた(ありえねぇ...)
- 会員情報の変更で,3Dセキュア認証情報も分かっているクレジットカードを登録した上でダウンロード購入し,またその情報を削除した
- 楽天ポイントの不自然な操作方法から考え,楽天システムにセキュリティホールがあった
楽天ポイントは,こんな感じに操作されていました.
下記の通り,3回の「ドラゴンクエストX 目覚めし五つの種族 オンライン / 販売元:株式会社スクウェア・エニックス」購入のうち全てでポイントを100ずつ使い,その後3回の購入の2回だけ使用をキャンセルしています.
楽天の説明によると,性質上楽天ダウンロードではキャンセルは行っていないそうなので,どうやってポイント使用のキャンセルを行ったのか分かりません.これは余り詳しく調べていないので,商品のキャンセルは行っていないけど支払い方法は変更ができるのかもしれませんが.
300ポイント使って200ポイント戻すって,何なんでしょう?
