ポイントサイトで不正アクセスを使ってamazonギフト券に11,500円分のポイントを搾取されましたが、結局泣き寝入りになりました。
お立ち寄りいただきありがとうございます。でめさん(@deme19800124)です。
ヤフーメールを利用してちょびリッチさんを使って陸マイラー活動をしていた私は、先日見事にヤフーメールに不正アクセスを受け、そこから何をどうしたことか、見事にちょびリッチさんのサイトで使っているID\PASSを突破された上に、「秘密の質問」まで看破されて見事に11,500円分のポイントを搾取されました。
この中でやり取りをしたちょびリッチさんのメールから被害者意識を逆なでされたので愚痴記事を書かせていただきました。
*被害者の愚痴と感想なので話半分程度に読んでいただくことを推奨します*
*泣き寝入りの男性のイラストを提供しているイラスト屋さんさすがです*
ちょびリッチさんから頂いたメールを引用します
私が、泣きそうになりながら、ちょびリッチさんに不正アクセスを受けた旨をお伝えした結果の回答は以下の通りです。
なお、問い合わせの際にブログネタにはする旨はお伝えしていますので、悪しからずです。
また、ちなみに、ログインされた時間などの確認依頼などをしておりますが、その点などはしっかり、丁寧に確認、回答をいただいている文章などもあります。この点は前向きにログの確認等はしていただいたということをあらかじめお伝えします。
ご担当者様ありがとうございました。
そのうえで、経緯や今後の対応について書かれた内容をお伝えします。
◆メールアドレス自体が第三者に閲覧されている可能性について
既に、ご自身でもメールアドレス自体が第三者に閲覧されている事は
ご存じのようですのでご報告の必要はないかもしれませんが、
この度の交換先は、
メール内のURLからの確認が必要な交換となります。
迷惑メールフォルダやゴミ箱にも上記メールが無い場合、
ご利用コードが既に使用済みである場合など、
ご登録メールアドレス自体が、
第三者により確認やメ-ル削除できる状況であると考えられ、
今回の交換につきましても、
メールアドレスが第三者に閲覧できる状態であった点が原因と考えられます。
(メールアドレス自体を閲覧できなければ、
万が一交換を行ったとしても、確認URLから利用コードを確認できないため)
まず、ご登録メールアドレスの安全性をご確認いただくことが必要ですので、
お手数ではございますが、下記「2)パスワード変更」のFAQを参考に
メールアドレス自体のパスワードを第三者に知られないよう変更いただき、
メールアドレスの安全性が確認できたら
ちょびリッチのパスワードをご変更ください。
◆交換ポイントについて
ちょびリッチサイトシステムについてはセキュリティーの問題
(システムへの不正侵入、情報漏洩等)の過失はございませんでした。
交換申請時に第三者により「なりすまし」がなされていたとしても、
ちょびリッチにおいては、通常どおりの手順で、
ログイン、秘密の質問のこたえの入力、その後のポイント交換が成立しております。
・パスワードリマインダー→起動なし
・秘密の質問のこたえ→確認依頼なし
(秘密の質問のこたえ確認は、サポートに依頼が必要ですが確認依頼はございませんでした)
パスワードおよび、秘密の質問のこたえを他サイトと共有していたり、
予測しやすいものを使用されている場合など、
ご自身でセキュリティーレベルを下げているケースもございますので、
今一度ご確認をお願いいたします。
なお、誠に恐縮ではございますが、
システムへの直接アタックではなく、
通常手順によりポイント交換が完了しておりますので、
ポイント交換のキャンセル/ポイント返還等の対応は出来かねます。
何卒、ご了承くださいませ。
■以下の確認/変更等を行ってください。
1)交換URLから利用コードを確認し、
該当サイトで残高をご確認ください。
2)パスワード変更
パスワード漏えいは、
第三者に推測され易いパスワードを使用していたり、
他サイト等にて共通したパスワードを使用している等
パスワードの安全性をご自身で低下させている可能性がございます。
まず、ご自身のメールアドレスのパスワードをご変更いただき、
安全を確保した上で、ちょびリッチのパスワードをご変更ください。
以下のページをご参照くださいませ。
⇒FAQ
http://chobirich.info/help/detail.php?a_id=206
3)メールアドレスの運営会社側に
今回の経緯と第三者からのログインの調査を依頼いただき、
回答内容のご報告をお願いいたします。
4)秘密の質問と答えについて
第三者が閲覧した可能性のある秘密の質問と答えを解除いたしました。
次回交換時には、設定が必要となります。
※パスワード同様、他サイトと同じ内容を設定しないでください。
(次回交換前までに設定が必要ですが、今すぐ行わなくても問題ございません。)
5)ちょびリッチをログアウトし、改めてログインを行ってください。
6)上記を行いましたら、アクセス状況の検証をいたしますので、
以下の内容を追加ご連絡くださいませ。
・利用コード残高有無(残高があった場合は金額)
・メールアドレスとちょびリッチのパスワード変更完了
・改めてちょびリッチにログインを行った日時
・メールアドレスの運営会社からの調査結果
なお、被害につきましては、
警察のサイバー犯罪対策窓口への通報および被害届を提出することをおすすめいたします。
警察機関から正式な依頼があれば、
速やかに、該当機関へご報告にて捜査協力させていただきます。
はい。ココまで。
全部読んだ方いらっしゃいますでしょうか。
まぁ、当たり前ですけど、私は全部読みましたよ。溜息しか出ませんでしたが。
いや、メールのID/PASSを破られたのが悪いんですよね?それはわかってるんですけど、それにしたって、愚痴らせてください!というお話ですよ。
ココからはさらに愚痴ですから、典型的サラリーマンの愚痴なんか読みたくない方は革靴を評価したコチラの記事などを読みに行ってくださいね。当ブログは革靴ブログでもありますので。
ちょびリッチさんからのメールで特に溜息が出て悲しくなったポイントをちくちく振り返ってみる
何度も言いますが、ココからはあくまでもセキュリティ意識の低かった被害者の愚痴です。
今回の交換につきましても、
メールアドレスが第三者に閲覧できる状態であった点が原因と考えられます。
(メールアドレス自体を閲覧できなければ、
万が一交換を行ったとしても、確認URLから利用コードを確認できないため)
メールアドレスが第三者に見られたから交換されたんだ。そんな原因なんだ。。。
そのためにID/PASSがあったりとか、秘密の質問とかがあるんじゃないの?
原因は、犯人が悪さをして、それが突破できたということがすべてで、「僕のメールアドレスが第三者に見られたから」じゃないでしょ?
「僕のメールアドレスが第三者に見られてたからってことは僕が悪いってことだよね!?」って思ったりする内容でした。
ちょびリッチサイトシステムについてはセキュリティーの問題
(システムへの不正侵入、情報漏洩等)の過失はございませんでした。
いやいや、完全にシステムに不正侵入されてるんですけど!ちなみに、ID/PASSはヤフーのもととは違うからね!本当に何もないの?実は、IDさえあればなんか抜けられるような脆弱性があるって可能性ないの?ペネトレーションテストとかしっかりやってるの?
やってないだろうねって思っちゃうわけです。
パスワードおよび、秘密の質問のこたえを他サイトと共有していたり、
予測しやすいものを使用されている場合など、
これが一番ですよ疑問ですよ。秘密の質問を破られてることに疑問を感じないの?
例えば、「母親の旧姓」なんて質問あるけど、日本人の名字の数って7,000で人口の96%をカバーしてるんだよ?小学校だって20,000しかないんだよ?
これ、もしかしたらクラッキングツールとかかもってお思いませんか?
アクセスしてからポイント交換まで1:45分の時間がかかってるんですよ?何かやってるってことは考えられませんか?
なぜ、アクセスがなかったと言い切れるのか僕にはわかりません。
「痕跡が見つけられませんでした」ならわかりますよ。
セッションが成立した時点でFWのログなんか残らないですし。
「秘密の質問の認証エラーはありませんでした」なら、それはそれ納得ですよ?
これが一発で認証されてたら何も思わず、しゃあないなですけど、時間的にそれはないと考えるほうが自然じゃないですか?
認証エラー実は吐いてたんじゃないですか?あえて見て見ぬふりをしてませんか?
それとも、そもそもエラーログを履くような作りにしてないんですかね?
ご自身でセキュリティーレベルを下げているケースもございますので、
今一度ご確認をお願いいたします。
さんざん、確認したわ!って思いました。
3)メールアドレスの運営会社側に
今回の経緯と第三者からのログインの調査を依頼いただき、
回答内容のご報告をお願いいたします。
あのぉ、お伝えしました通り、ヤフーメールで不正アクセス食らったログ伝えてますよ?その報告したら何してくれんの?
何にも書いてないでなんでこちらからご報告差し上げる必要があるんですかね?
この調整をしたらなんかしてくれるんですか?
??がいっぱいの上から目線連絡でここで、今後のちょびリッチさんを使うことはやめようと心に決めました。
警察のサイバー犯罪対策窓口への通報および被害届を提出することをおすすめいたします。
警察機関から正式な依頼があれば、
速やかに、該当機関へご報告にて捜査協力させていただきます。
お決まりの言葉ですね。警察から言われたらしゃあないからやるよ。100%こんなことで警察が動かないと確信して送ってますよね?
そもそも、不正アクセス禁止法の被害者って、IDなどを使っているユーザではなく、サーバ管理者なわけです。ということで、警察に持って行っても被害届を受理されるものではありませんよ。
「ちょびリッチの不正行為への取り組み」ってあるんです。
目を通したことある方いらっしゃいますか?
弊社といたしましては今後もこのような不正行為に対しては断固とした措置をとっていく所存であり、日々対抗策をとっております。
断固とした措置って何?ユーザーからの申告に対して、警察から調べて欲しいという依頼があったら調査をするというやり取りをすることが「断固とした措置」なの?って思います。まぁ、私のような被害者からしたらカタハラ痛いですね。
ちなみに、メールについてはすべてワンタイムパースワードを導入しました。ちょっと面倒ですが、意外と運用なりたっているので、もし使っていない方は使われることをお勧めしたいと思います。
不正アクセス報告に対する対応はハピタスさんが素晴らしかった
ほぼ同じタイミングで同様の被害に合われた農夫。さんの記事はこちらです。
経緯は農夫さんの記事をお読みいただければと思いますが、それに加え私がハピタスさんの対応が素晴らしいと思ったのはこちらのツイート。
特に、ヤフーメールにログインする際のパスワードと、ハピタスにログインする際のパスワードを同じにされている方は要注意です。
今すぐにパスワードの変更を強くオススメいたします。— ハピタス【公式】 (@_hapitas_) 2017年10月16日
これ、農夫さんが問い合わせをしてから1,2営業日でツイートしてるんですよね。
ちょびリッチさんは私が問い合わせから1週間なしのつぶてでした。
一人のセキュリティ意識の甘いユーザにかまっているよりかは、経営資源の投資の観点では、そっちのほうが正しいんでしょうね。
この辺りユーザフォローについては、今回の件で完全にハピタスさんのほうが素晴らしいということがわかりました。
ポイントサイトもお仕事ですから、数をこなし、効率のいい案件を提供することがユーザ利益の追求と考えることもあるでしょうし、クレーム対応がユーザ利益と考える企業もあると思います。
私自身のセキュリティ対策の甘さから、悲しい思いもしましたが、今後もハピタスさんを中心に、外食案件だけはポイントタウンを中心に陸マイラー活動を行おうと思いますというお話でした。
コメント
今後のポイントサイトを選ぶ上でポイントの値で選びがちですが今後は対応力で選んでいきたいですね。今回はお互い大変な労力かけてしまいお疲れ様でした。搾取されたメンバーで打上げでもしましょう。
ハピタスをめっちゃ評価したのはツイッターでの注意喚起です!
では名古屋で(๑•̀ㅂ•́)و✧
はじめまして。
先週末にちょびリッチで不正アクセスを受け、30000万円分をiTunesギフトにやられました。
4年前から全くテンプレな反応なのは同じなんですね。
とりあえず今日警察に行ってきましたが、どうせ自分のところまで届かないのがわかっての反応なのがよく分かりました。
こういう対応しかできないポイントサイトがのさばっているのは癪ですね。
自分もちょびリッチが危険だと啓蒙をしていこうと思います。
古い話に反応ありがとう御座います。
悔しいですが時間がもったいないだけですからね。
またコツコツがんばっていきましょう。
こういう顧客軽視な感じの会社は積極的にSNSなどで情報展開して滅びてもらうことを祈ります。