クレジットカードの不正利用被害にあった話【後編】何度も警察署へ…。

前回、

クレジットカードの不正利用被害にあった話。【前編】手口はアカウントの乗っ取り。

にて、9/25日(金)に被害が発覚したことをお話しました。

翌、翌々日は土日ですから、当然カード会社さんの方もその間のサポートはお休みです。

「全額保障してくれるだろうか‥?」

せっかくの休日にも関わらず、このことで頭の中がいっぱいで、もう何をしていても気が気じゃありませんでした。

ようやく連休が明け、今か今かと電話が鳴るのを待っていると、遂にカード会社から連絡が!

時間は午後2時頃でした。

電話をもらえる時間は基本的にカード会社さんの都合によってしまうので、

煩わしいことに、こちらとしては都度仕事を中断して対応しなければなりません。

電話に出ると、相手は「担当者」と名乗り、もう一度今回の被害状況について細かい説明を求めらました。

まだこの時点では、「被害状況についての確認」が趣旨だったようで、

僕の期待していた「調査結果」についてのお知らせではなかったのです。

「もう何度説明したことか‥。」

忘れていたこと‥。

長い一日が明け、翌日の9/29(火)。

再び、担当者から連絡が入りました。

「もう調査結果が出たのか。」

カード会社の迅速に感心しつつ電話に出ると、

いくつか確認事項ということで、質問を受けた後、すごく素朴な提案を頂きました。

それは、

「Googleに直接問い合わせて、今回の請求の「払い戻し」ができるかどうか聞いてみてほしい。」

とのこと。

「そうか!その手があったか!」

冷静に考えてみれば、すごく単純なことですよね。

カード会社の保障云々の前に、そもそもGoogleからの請求自体を抹消してもらえば難なく事は済むわけです。

被害のショックに取り乱していた僕は、不甲斐ないことに、そのことにまで考えが及ばなかったのです。

googleプレイサポートへ電話。

カード会社との電話を切ると、即、googleに電話を入れました。

音声案内に沿って、オペレーターに直接繋いで頂き、事情を説明。

一通り経緯をお話すると、後ほど「担当者」から連絡を頂けるということで、

待機することに。

すると、こんなメールが送られてきました。

いつも Google をご利用いただきありがとうございます。
Google サポート チーム 〇〇 でございます。

本日はお忙しいところ、お電話にてお問い合わせいただきありがとうございます。
この度はGoogle Play から、承認した覚えのない代金を請求されているとのこと、大変ご心配をおかけしております。
折り返しご連絡を差し上げる予定でしたが、

ご連絡先をお伺いするのを忘れておりました。

大変申し訳ございません。
早速ですが、担当の Google ペイメント チームにて詳しく調査させていただきたく存じます。

調査のために、承認した覚えのない請求についてより詳細な情報ををお知らせいただく必要がございます。

大変お手数ですが、注文に使用されたGoogleペイメント サービスをご確認のうえ、
下記フォームでの報告をお願いいたします。

ペイメントの担当者から回答を差し上げ、その請求に関して判明した情報をお知らせいたします。

「ご連絡先をお伺いするのを忘れておりました」

って、お~い。

仕方なく、指示通り、フォームに詳細を入力して送信。

そこからは、電話からメールでのやり取りに移行していきます。

送受信含め8回にわたるメールのやり取り。

こちらがやらなければならないことは、

Googleプレイの管理画面を開いて、請求の詳細を確認し、

利用項目毎に分けて、利用日と合計金額を計算をして入力し送信するという作業でした。

以下は、Googleから受けたメールの一部。

請求がアカウント上にない場合は、請求が発生したクレジットカード情報と、請求の詳細をお知らせいただけますでしょうか。

1.クレジット カード: 例 Visa-1111
2.クレジット契約名義名 :
3.利用された期間 :
4.利用された金額 :
例 :
9/1 : 500 JPY*3, 400 JPY
9/5 : 1000 JPY*2

これがまた面倒で、前回説明したように全部で600件以上に及ぶ不正利用は、

そのほとんどが「白猫プロジェクト」というゲームへの課金に使われたものですが、

その中にいくつか「本」の購入なども混じっていて、それらを見つけて、個別に金額などの詳細を摘出しなければいけません。

その作業中に分かったことなのですが、

犯人は、

僕のカードとは別に、ダミーのカード情報を僕のアカウントに登録して、そのカードを使って不正利用するという何とも狡猾な手口

で、犯行に及んでいたことが判明。

他人名義のカードの利用分なのに、請求は僕のカードの方にくるという…

もうワケがわかりません。

解決!全額払い戻し!

その後の対応は迅速で大変助かりました。

以下。

問題の請求について、Google から全額払い戻しさせていただきます。お客様の クレジット カード に、3~5 営業日以内に払い戻し額が掲載されるはずです。正確な期日は、対応する金融機関によって異なります。払い戻しの状態はいつでも payments.google.com でご確認いただけます。

やったー!!

ようやく、生きた心地がしました。

10/1、被害が発覚してより、約一週間。

カード会社、警察、Googleと、何度も電話で事情の詳細を説明し、

なかなか解決に至らないことにもどかしさを感じながら、精神不安定に過ごした数日間の心労から解放された瞬間でした。

万一こちらの負担となった場合、弁護士に相談することなども考えていましたので…。

警察のサイバー犯罪科に呼ばれて署へ。

解決に至ったその日、警察から電話がありました。

「サイバー犯罪科」の方からです。

どうやら捜査に必要な情報を提供してもらいたいとのこと。

翌日、回線やプロバイダー、PC、スマホの契約書などの一式を持って、警察署へ向かうことに。

そこでは、「供述書」というものを書かされました。

まぁ、書かされるといっても、基本的には内容を確認しながら、警察の方がPCに文章入力していくというものですが、

それ以外にも、アカウントのアクティビティ(ログイン履歴)を開き、ページを印刷したものに、

僕の無実を証明するための材料として、

「これは私の行ったログインではありません」

と「直筆で記し」、「指印を捺した書類を合計十数枚作成しました。」

何でも、それがないと捜査を進めることができないそうで。

その日、警察署へ滞在はなんと「3時間」にも及びました。

もう一連の対応で、いい加減辟易したところに、追い打ちをかけるような、

警察からの「捜査協力依頼。」

しかし、これで終わったわけではありませんでした‥。

再度警察署へ…。

「全額払い戻し」の吉報を受け、穏やかな日々を過ごしていると、数日後に再び警察に方から電話が入りました。

今度は、「不正利用分の全ての取引IDの記録を取らせてほしい」

とのこと。

「まだ解放されないのか‥。」

いい加減これで最後になることを期待しつつ、10/19、警察署へ赴きました。

「全て」、といっても、その数「600件以上」ですからねぇ‥。

もちろん、作業は全て警察の方で進めてくれ、

僕はというと、ずっとスマホをいじってました(笑)。

時間は2時間半以上に及び、

結果、その日も3時間くらいの時間が割かれてしまいました。

今回のカードの不正利用被害の件で警察署で消耗した時間を合計すると、

「8~9時間」

普段のセキュリティー管理がいくら面倒だったとしても、

被害の対応に追われる時間と労力を考えれば、

「防犯対策」に時間を充てることの方が如何に賢明であるかを痛切に感じた次第です。

まだ終わらない…

警察に行って初めてわかったのですが、

実は、10月1日の時点でGoogleさんの方で「全額払い戻し」の対応をして頂ける話で終結していたにも関わらず、

なんと、Googleプレイの管理画面を確認すると、未だに請求の払い戻しの手続きが行われていなかったことが発覚。

進捗状況を確かめるべく、急ぎGoogleにメールを送りました。

すると、以下のようなメールが。

この度は、ご申告いただいた注文が返金されていないとのことで、ご心配をおかけし誠に申し訳ございません。

担当チームにて、ご注文の処理状況を確認させていただいたところ、返金の処理に遅延が発生していたことが確認できました。

え~、遅延って。

ということで、僕から連絡を入れたことにより、向こうも急遽手続きを進めてくれて、

ようやく、「請求取り消し」の作業が行われることに。

長い道のりでした。

いかがでしたでしょうか?

結果的に事なきを得たものの、結果、そこに至るまでに多大な時間と労力を費やす羽目になりました。

本当にセキュリティに関しては、普段から意識的に用心しておかなければいけないし、

今回の件は良い教訓として、大変勉強になりました。

人は得てして経験からしか学べないものですし。

僕が設定していたアカウントのパスワードは、

「アルファベット小文字と数字を混合させた、10桁のもの」

でした。

今、こんな簡易なものは、あっという間に破られてしまうんですね。

46564e5edc720bf9c334792d46c0cde8_s

8桁などにしている方は特に要注意です!

ブルートフォースアタックといわれる「総当たり攻撃」を受ければ、

あっという間に解析されてしまいます。

ZIPファイルなどは、仮にアルファベット小文字のみの8桁のパスワードを組んでいた場合でも、

たったの「46秒」で解析されてしまうそうです。(※セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティより。)

もしそこにカード情報が紐づけされていたならば、簡単に利用されてしまいますからね。

被害後、二度と同じ被害に遭わないために、徹底的に調べ、実際に講じた対策についてもまとめておきましたので、良かったら参考にしてみて下さい↓

(※追記)

現在は他社のクレジットカードに乗り換え、二段階パスワードを設定して利用していますが。

その後の対応で手を焼いたのは、カードの利用を停止したことで、その間に自動引き落としを掛けていた請求の支払いがストップしてしまったことです。

一例を挙げれば、当ブログのサーバー代です。

先方では紙の請求書を発行していないため、メールで対応を伺った後、講座振り込みにて支払いを行いました。

また、各請求元に対して、新規カードの登録もしなければいけません。

結果、それだけで半日以上の時間が奪われてしまったのです。

セキュリティー対策は万全に越したことはありません。

どうか僕の二の舞にならないよう、以下の記事を参考に卒なく施策を講じておいて下さい↓

(※更に追記)

解決から約二か月半後の12/15。

サイバー犯罪課の方から調査結果についての連絡を頂きました。

犯人は、どうやら外国の方のようです。

詳しくは、分からないそうですが、恐らくお隣りの国の方ではないかとのこと。

ログイン元を辿ってみたら、海外との中継機能を果たしている、あるサーバーに行き着いたそうで、

実はそのサーバー。過去にも同様の問題を起こしていて、既に他県のサイバー犯罪課が調査を進めている状況だそうです。

脅威ですね~。

最近同じ手口の犯罪が増えてきているみたいなので、セキュリティ周りはガッチリ固めておきましょう↓

【まとめ】クレジットカードの不正利用被害に対する最低限の対策。
セキュリティは万全ですか?手軽にできる対策をいくつか紹介します。
記事を読む

#Follow me!

『クレジットカードの不正利用被害にあった話【後編】何度も警察署へ…。』へのコメント

  1. 名前:sophie 投稿日:2016/07/09(土) 13:53:34 ID:24e01faab 返信

    クレジットカードの不正利用被害、拡大中ですね~。
    2016年第一四半期で既に37億円、前年同期からは39.6%の増加、その大半はネット、非対面の決済だそうです。
    クレジットカードの利用明細はしっかり確認し、ネットショッピングサイトへのクレジットカード登録はしないこと、登録するのであれば、アカウントが乗っ取られても、本人確認用のパスワードが無いと決済できない3Dセキュア導入店舗に限定する、ですかね。

    • 名前:ミミ 投稿日:2016/07/11(月) 23:01:31 ID:50f712d72

      sophieさん
      度々、投稿下さいましてありがとうございます(^^)
      被害は前年比、約1・5倍の増加率ということですねー。
      かなり危険水域入ってますね。
      仰る内容に加え、httpの後の「S」が無いページでのカード情報等の入力は絶対避けるべきでしょう。
      あとは、保障が充実しているカード会社を選ぶとかですかね。

  2. 名前:aophie 投稿日:2016/11/15(火) 20:12:10 ID:62db583b9 返信

    クレジットカード、券面にお買い物するための情報は印字されてますし、日々、どこぞのサイトでカード情報漏洩、本物そっくりさんの偽サイトやカード情報を盗むウィルスも多種多様のものが出回ってますから、クレジットカード情報は、外部にもれている前提で利用したほうがいいでしょうね。

    クレジットカードの不正利用に合わない、あった際の対処の知識を得ていることが大切です。

    クレジットカードの管理に落ち度が無ければ、基本的には利用者が金銭的被害を被ることはありません。
    クレジットカード会社が店舗からの売上請求を拒否です。(チャージバック)。
    これは、店舗がクレジットカードの取扱いにあたり、締結する加盟店契約において、クレジットカードの利用者が確かに本人であることの確認は店舗にその責務があるとしているからです。
    不正利用があれば、それは、店舗が本人確認の責務を怠ったということで、クレジットカード会社は売上請求を拒否しなくてはいけません。
    店舗がこのチャージバックリスクを回避する唯一の手段は、3Dセキュアと呼ばれる本人確認の仕組みを入れること、店舗が3Dセキュアを入れると、その責務はクレジットカード会社側へ倒れます。(ライアビリティシフトって言います。)
    この場合でも利用者は金銭的な被害を被ることは無く、クレジットカード会社がその被害額を補填します。
    早期に不正利用を発見し、適切にカード会社へ連絡していれば、その点でカードの管理に落ち度はありません。
    ※利用明細を確認せず、連絡が遅れるとアウトです。
    利用者のクレジットカード管理の落ち度、こちらは本人以外の第三者へ漏洩していないか、ということですが、今のところカード会社で調査しても確認するのは難しい、というのが実情です。
    昨年のクレジットカード被害額120億円超、その大半がネットです。
    2016年第一四半期で既に37億円、前年同期からは39.6%の増加しています。
    クレジットカード情報はサイトに登録しない、登録するのであれば、アカウントがハッキングされてもクレジットカード会社に登録したパスワードが無いと決済できない、3Dセキュア店舗に限定する、3Dセキュアのパスワードは推測されやすいものはNG、定期的に変更する、これを実践していれば、ほぼ、間違いなくカード利用者の落ち度は払拭できるでしょう。

    • 名前:ミミ 投稿日:2016/11/18(金) 21:43:13 ID:79b0c2c32

      aophieさんへ
      詳細な情報を提供頂き感謝します。
      そういう構造があったとは知らなかったです。
      店舗側もカード払いの導入に当り、様々な費用が嵩み大変なんですね。(手数料負担も含め。)
      とにかく、利用明細は頻繁にチェックを入れるべきですね。
      あれから月日の経過に伴って、自分の防犯意識がやや薄れていましたが、コメントを拝見して喚起されました。
      ありがとうございました。

  3. 名前:坂本冬美 投稿日:2019/12/27(金) 23:36:41 ID:2ea7d3add 返信

    犯人は結局捕まらなかったんですか?

    • 名前:ミミ 投稿日:2020/02/01(土) 22:00:14 ID:589fc6ab0

      坂本冬美さんへ
      そうです、犯人は結局捕まりませんでした。
      サイバー犯罪課の方が言うには、海外なので捜査の手を伸ばせない、とのことでした。