2020年9月10日深夜4時頃、唐突にPAY IDから「メールアドレスの変更がリクエストされました」というメールが来ており、寝ているうちにPAY IDのメールアドレスが見ず知らずの人間に乗っ取られていました。
出来事
・寝ている内にどこかから漏れたメールアドレスとパスワードを利用し不正にログインされた:使用していたメールアドレス、パスワードの組み合わせは10年近く前から利用していたもので、以前他サイトでも同様に不正ログインに使用されたものと同じだった。恐らくその情報を利用された可能性が高い。
・身に覚えのないメールアドレスに勝手に変更された:PAY IDは2段階認証の設定があったものの、利用していなかった。
・クレジットカードの不正利用された履歴はなかった:現時点でクレジットカードの決済が行われた履歴はなかった。
・不正ログイン、メルアド変更が行われたアカウントのメールアドレスの修正は行えないため、PAY ID運営元による代理削除が行われた:メールアドレスの修正が行えないのはPAY ID側の仕様の問題の模様。一度不正ログインされたアカウントを使うのはちょっと怖いので、削除してもらえてホッとした。
・再度PAY IDに新規登録する必要があった:BASE自体昔Type-Cのチェッカーを購入するためにわざわざ作ったもので、それ以降利用することはなかったので正直再度新規登録する必要はあるのか?と言われると微妙なところ。
時系列
| 日にち | 出来事 |
| 2020年9月10日 深夜4時16分 | 「PAY ID メールアドレスの変更がリクエストされました」というメールが来ており「変更手続き日時: 2020.09.10 04:16」、「変更後のメールアドレス: qorlyvrk@grr.la」という全く身に覚えのないメールアドレスに変更される。 |
| 2020年9月10日 深夜4時16分 | 「PAY ID メールアドレス変更完了のお知らせ」というメールが追加出来ており「変更後のメールアドレス: qorlyvrk@grr.la」に勝手に変更される。 |
| 2020年9月10日 朝7時45分 | PAY IDの問い合わせから「身に覚えのないアドレスに変更されている」とメールを送る。 |
| 2020年9月10日 昼13時5分 | PAY IDサポートセンターより確認及び調査の実施の連絡あり。「なお、ご変更にお心あたりがないとのことでございますので、アカウントに第三者がログイン/利用できることがないよう、一時的に当該アカウトを停止させていただいております。調査完了まではログインまたご注文等はしていただきかねますので、申し訳ございませんがご了承いただきますようお願いいたします。」 |
| 2020年9月11日 夕方15時31分 | PAY IDサポートセンターより返信あり。「本件につきまして弊社で調査させていただきましたところ、 弊社システムからの流出等の問題はなかったことを確認いたしました。 不正ログインの要因としてお客様のメールアドレスとパスワードの組み合わせが他サイト等からの流出したことによって、 第三者にPAY IDへ不正にログインされた可能性が高いと推測しております。 現アカウントにつきましてはメールアドレスが変更されており、元のメールアドレスにお戻しすることができかねますため、 PAYID継続利用をご希望の場合は、お手数ではございますが下記より新規登録をしていただきますようお願いいたします。」 「なお、お調べしましたところ今回の不正ログイン後にPAY IDを利用してクレジットカード決済されている履歴はございませんでした。 現アカウントにつきましてはお客様ご自身で退会手続きいただけない状態となっておりますため、弊社で代理退会をさせていただきたく存じます。 お手数ですが弊社で代理退会させていただくことに問題がない場合は、こちらのメールにその旨をご返信いただけますと幸いです。」 |
| 2020年9月11日 夕方15時32分 | PAY ID代理削除依頼を送信。 |
| 2020年9月11日 夕方15時38分 | PAY IDサポートセンターより返信あり。「下記日時にてアカウントの代理退会が完了いたしましたのでご連絡いたします。 【メールアドレス】 qorlyvrk@grr.la 【退会日時】 2020.09.11 15:37 ご不明な点がございましたらお問い合わせくださいませ。 何卒よろしくお願いいたします。」 |
流れとしては上記のような形に。全体的な流れを見ているとすべては自分が悪いと言えます。
第1に「10年ほど前から利用していた古いメルアド、パスワードの組み合わせ」のままにしていたという点。
第2に「PAY IDは2段階認証が有るにも関わらず利用していなかった」という点。
第3に「あまり使っていないサービスにも関わらずクレジットカードの情報が入れていた」という点。
今回はPAY ID側から「メールアドレス変更通知メール」を送ってきてくれていたため「不正にログイン、見ず知らずのメールアドレスに変更された」という事実を知る事が出来ましたが、これが無いサービス系では「知らず知らずの内にログイン、会員情報が改ざん、登録されているクレジットカード情報等を使って不正利用」といった流れも十分ありうる話でしたので、被害が出なかっただけ良かったように思えます。
今後の対策
10年ほど前から利用しているメールアドレス、パスワードの組み合わせを使用しているサイトを一覧化し、全てパスワードの設定変更及び、2段階認証、ログイン通知などの設定を行う。
使っていないサービス系などはなるべく会員情報(クレカ情報を含む)を削除しておく。
