ポイントサイトでうまいことやられたので、「泣き寝入りだなぁ。。。」思いつつ、簡単経緯のご報告します。陸マイラーの皆様気をつけて!ってことで。
お立ち寄りいただきありがとうございます。でめさん(@deme19800124)です。
なお、原因はYahoo!の個人情報が何度も漏らされていますが、そちらの情報をもとにしたパスワードリスト攻撃であろうと推測しています。
私はIT業界の人間なので、若干自業自得感だと感じておりますが、「悪いのは絶対に犯人」です!なので、しかも今回のアクセス元は日本から。「こんな輩を野放しにしておいていいのですか?日本警察よ!」という思いの元、私の中で揃えられる情報を揃えて警察に相談をするまでの一連の流れを報告したいと思います。
一般の方からしたら、「Yahoo!が悪い!」「ちょびリッチが悪い!」となってしまうかもしれませんが、、、。 ちょびリッチさんは悪くはないと思いっています。
恨みは全て犯人に!そんな前提で、ちょっとした被害の状況をお伝えします。
ちょびリッチへの不正アクセス!なぜ、気づいたか?それはAMAZONギフトコードへの交換履歴から
私のちょびリッチさんの管理画面です。外食案件もこなしたし、30,000ポイントも超えるよなぁと思ってみたらあれ?少ない。。。となりました。
あんまりしっかり管理していないので、「ドットマネーに交換してたっけなぁ」と思って見てみたら・・・「Amazon ギフト券ポイント交換申請」とかいう文字が!?
陸マイラーの方はご存知の通り、ポイントサイトのポイントの価値を1pt=1円で使うなんていうことはありえないんです。
ANAのマイルに変えて最低でも2円以上、普通に4~5円くらいの価値にしていく、それが陸マイラーという、ものの生き様じゃないですか!
それなのに「Amazonギフト券ポイント交換」、こんなもの、絶対に私はやりません。
重度の精神的な病を患っており、私の中の多重人格が勝手にやったなんて、そんな幽遊白書の仙水のような、最近でいうと約束のネバーランドの先輩おっさんのような自体には陥るわけないんです。
「うわ、やられたな。。。」と思いました。
Amazon ギフト券でしたら、メールで一発ですし、天下のAmazon様がちっさな一ユーザの調査依頼や、クレームなんか相手にするわけもなく、100%泣寝入りをすることが想定されるとっても考えられたやり方だと思います。
私のような自体に陥らない為に、やれることをお伝えします
意識が低いと言われればそれまで、ですが、私はある程度一貫したパスワードルールで運用していました。
見返すと、ちょびリッチさんのパスワード設定のルールは比較的甘く、最も長らく使っているパスワード。
このパスワードはヤフーで個人情報漏洩をされたときのパスワードと同一のものでした。いわゆるパスワードリスト攻撃の対象になっていたんですね、、、。
パスワードリスト攻撃が気になる方はグーグルさんでご確認ください!
そちらを元に、登録しているヤフーのログイン履歴を見たところ、ありましたよ、土曜日の深夜、私がすでにベッドに入って、子供と過ごしている時間にもかかわらず、なぜか、Yahoo!BBのIPアドレスからのログイン履歴が!
ご丁寧に普段私は、Yahoo! ID でログインしているにもかかわらず、メールアドレスを利用してログインがされていたというおまけつきです。
確実にヤフーメールへ不正アクセスですね。
ヤフーメールに不正アクセスをしてから、ちょびリッチのユーザであることを確認し、ちょびリッチに不正アクセスをしたという流れのようです。
ヤフーメールに不正アクセスされてしまったらちょびリッチのIDなんていくらでも見つけられてしまいます。
なぜ、ちょびリッチに白羽の矢を立てたのかはちょっと謎ではありますが、明確にポイントサイトの利用者であるかを確認してターゲッティングしたものではないでしょうか。
ちなみに、こんなものは各サイトのID/PASSをランダムにすることでいくらでも回避ができるものであります。
パスワード管理ツールとか使えばいいのかもしれません。
まぁ、それが面倒だから、こんなことになってるんですけどね。。。
なお、今回不正アクセスを受けたヤフーメールとちょびリッチのログインID/PASSはわけていたんです。
メールアドレスのID/PASSを破られると色々とやられてしまうということの典型だと思いますので、メインで使うメールの管理はとっても大事ということを改めて感じました。
改めて感じたことは、認証関連のメインとなるもの、「メインのメール」「Google認証ならGoogle」「Facebook認証ならFacebook」この辺りは本当に気をつけながらやっていくということを、多少は被害を減らすことはできるかもしれません。
ちょびリッチへの不正アクセスを受けてやったこと、やってみようと思うこと
- 何よりもメールだと思ったので、ヤフーのログインについてはワンタイムパスワード(OTP)の導入をしました。二要素認証重要!
- ちょびリッチさんへ不正アクセスのタイミングの不審な挙動について調査の依頼をしました。そのログ警察に出すからくださいなと。
- ちょびリッチさんからログがもらえたら警察に行ってみたいと思います。なお、普通に不正アクセス対策窓口に連絡をしたらパスワード変えといてねという自動音声メッセージのみ。日本の警察のサイバー犯罪に対する人のかけていられなさ半端ないですね。
ということで、まずはちょびリッチさんに不正アクセスされたから対応してもらえます?の打診中です。やってもらいたいことは、不正アクセスに紐づく、一時的なメールアドレスの設定変更などがあったかどうかを教えて欲しいという依頼です。
一営業日経っても連絡はありません。どうなっているのか気になるところですね。
この情報を元に、情報を集めて、警察に相談をするきっかけをつかめないかと思っています。
なお、Yahoo!BBさんのアドレスから不正なログがあったので、連絡をしたら即日連絡があったものの「被害があるなら警察行けば?警察から言われたら対応してやるわ。」という内容を丁寧な言葉でメール連絡をいただきましたので、実質何もやらないのでしょうねぇ。。。
陸マイラーさん御用達、ちょびリッチさんは上場もしていない、社員数20名程度の社員です。いわゆるベンチャー企業ですね。
この様々なポイント案件を獲得する営業的な人材、資金繰りなどをちゃんと考える人材、システムを作り上げる人材を考えると、どう考えてもこの程度のイレギュラー対応を真摯に対応するということは難しいことも想像できます。
とはいえ、泣寝入りは悔しいし、絶対に同じ思いで泣寝入りをする人がいるはずだと思っています。
せっかくブログを書いていますし、個人でやれることやった上で、今後の陸マイラー界の情報セキュリティ被害を減らす、啓蒙活動を、実体験を晒すという小さなことをコツコツとやってみたというお話でした。
ポイントサイトのネガティブを書きましたが、いいことのほうが衆いので、よかったら次の記事もお立ち寄りください♪
コメント