Apple IDを乗っ取られて、多額の請求が来た時の対処

クレジットカード会社からの電話で発覚した「不正な取引」

2013年1月27日(日)、まったりと自宅で休日を過ごしていた時のこと。突然携帯電話が鳴る。見たことがない電話番号だったので、いったん電話を取らずスルー。5分後、再び同じ番号から電話がかかってきたので、電話を取ってみた。

「こちらは○○カードのセキュリティセンターですが、お客様のクレジットカードで最近のご利用についてお伺いしたいのですが、最近AppleのApp Storeでのご利用はありましたか?」

何のことかと思えばそういうことか。App Storeで結構利用もしてるし、電話のあった前日も利用したばかりだったので「あーはいはい」という感じで答えていたら、どうにも様子がおかしい。

App Storeでの利用があまりに短期間で連続しているので、カード会社の警報システム(そんなのがあるんですね)が作動したので、念のために連絡した、ということ。おかしいな?と思って、一旦電話を切って確認する旨を伝えて、メールソフトを立ち上げてみる。

すると、「受領番号:XXXXXXXXXXXXXX」というAppleからのメールがズラーーーっと。前日に利用した1件を除き、合計して8万円超の請求が。もちろん自分で利用した覚えはありません。すべてが不正に使われたものでした。


不正利用されたもの

iTunesで見た注文履歴。このページはすべて不正利用

不正利用されて、何を購入されたかというと、iPhoneのゲームのゲーム内課金のチケットです。そのほとんどが3,000円単位で購入されています。(後述しますが、自分自身このアイテム課金を使ったことがあるのがちょっとややこしかった)購入の時間帯は、1月25日から、1月26日の2日間の夜間・深夜でした。

やられた!と思ってからすぐやったこと

再度クレジットカード会社のセキュリティセンターに電話する前に、とりあえず下記の3点をしてみました。もし不幸にも同様の不正使用の被害に遭われた方は参考になればと思います。

1.家族へ利用の確認

我が家には、アプリ/Webサイトの動作検証用として、iPhone、iPod touch、iPadがありますが、普段は家族みんなで使っている状況です。それらのアカウントはすべて自分のApple IDを利用していますが、Apple IDのパスワードは自分自身しか知りません。

購入の時間帯が夜中の3時とか4時とかですから、普段家族は寝ている時間帯ですが、念のため、家族全員に私のApple IDを利用したか、聞いてみました。答えは「NO」でした。

2.Apple IDの登録情報変更(パスワードと、クレジットカード情報)

家族が使ってないとなると、間違いなくApple IDの認証を破られた、と思い、次に行ったことは、Apple IDの変更でした。まずはパスワードを変更し、念のため、登録しているクレジットカード情報を削除しました。

これでとりあえずは、今後の不正利用は防げるだろう、と思いました。

3.不正利用された購入情報をまとめる

次に、不正に利用されたApple IDの購入履歴をまとめる作業です。クレジットカード会社との電話のやり取りで、何時何分にどんなものを購入したか、という情報をきわめて伝えづらく、正確に伝えるため、一旦整理する必要がある、と判断したからです。

一番困ったのが、Appleから送られてくる「受領番号:XXXX...」のメールには、日付は書いてあるものの、決済を行った時間が記載されていません。iTunesを立ち上げ、注文履歴を確認し、1件1件、注文日時とオーダー番号をすべてメモしていきました。

クレジットカード会社に再度連絡・・・しかし!

上記3点の証拠を集め、クレジットカード会社のセキュリティセンターに電話しました。担当の方に「これだけの決済が不正利用だ!」と伝えます。ですが、クレジットカード会社の回答は「Appleに確認を取ってください」の1点張り。

よく考えたら当たり前ですよね。クレジットカード番号が漏れたのではなく、Apple IDが漏れた可能性が高いわけですから。

ですが、万が一クレジットカード番号が漏れた、という可能性もあるとの事で、現在利用のクレジットカードは利用停止、番号もまったく変わった新しいカードを発行する、と言われました。不正利用の金額に関しては、もし不服があるならば「異議申立書を送付してください」という趣旨の説明をされ、クレジットカード会社との通話終了。

このままじゃ勿論何の解決にもなってないので、Appleへ連絡を取ってみます。

Appleへ「問題を報告」・・・できない!(泣)


Appleへ不正な利用を報告するために、Appleからのメールに記載してある「問題を報告する」リンクをクリックしました。すると、ブラウザが立ち上がるのですが、なぜかiTunesを起動してください、と表示され、iTunesを表示すると、今度はAppleのサポートのウェブサイトへ誘導されます。不正利用されている自分のアカウントがいけないのか、「問題を報告」ができなくなっていました。

思い返せば、この時が一番焦りました。
iTunesの購入履歴から「問題を報告」するボタンをクリックしても、Appleウェブサイトのサポートのページが表示されるだけ。明らかに動作がおかしい。もちろんiTunesも最新バージョンにしていました。

(※なぜか、2月25日現在「問題を報告する」機能が、同じ環境で正常に動いてます。やっぱりアカウントのせいでしょうか?)

「問題を報告」ボタンで報告できないのなら、と、直接サポートにメールすることにしました。

Appleサポートへのメールフォームで送信する

次に、Appleのサポートへのメールフォームで問題を報告しようと思ったのですが、当時とても焦っていたせいで、なかなかメールフォームを見つけられませんでした(泣) 一応メールフォームにたどり着くまでの手順を記載しておきます。

Apple iTunesのサポートページにアクセスします。そして、「iTunes Store サポートに問い合わせる」リンクをクリックします。


すると、「確認内容を選択する」というページが表示されますので、「購入、請求及びコード」を選択、「iTunes Storeアカウントの請求」を選び、「続ける」ボタンをクリックします。


すると、解決策として「パスワードを長くしてセキュリティを強化してよね」という趣旨の解決方法が出ますが、その他のオプション欄の「メール」ボタンをクリックしてください。これでお問い合わせフォームが表示されます。


お問い合わせフォームには、先ほどメモしておいた、不正利用された注文番号と注文日時を列挙したうえで、不正利用分の注文取消しをお願いしたい旨を記載して、送信します。24時間以内に返信いただけるとの事なのでひたすら待つことに。

クレジットカード会社からの電話から、1時間半。まったりとした日曜の夕方が台無しです。

Appleからの回答と、調査フェーズ

翌日の1月28日、待ちに待った問い合わせメールの返信が来ました。
下記はメールの一部引用です。

Apple iTunes Store/ MacApp Storeにお問い合わせありがとうございます。サポート担当の○○と申します。

このたびは、身に覚えのない請求が発生しているとのお知らせをいただきました。大変ご不安のことと思います。

今後の不正購入を防ぐため、お客様の iTunes Store アカウントを無効にいたしました。ご不便をおかけしてすみませんが、念のための措置ですのでご理解のほど、お願いいたします。

クレジットカードの登録を削除していただき、ありがとうございました。また、覚えのない注文番号、日付および金額のリストをいただき、ありがとうございました。

こちらでアカウントをお調べしたところ、いただいた注文番号リストにない購入が新たに1件発生しておりました。アカウントは停止されておりましても購入履歴はご確認いただけますので、下記の注文番号もやはり身に覚えのないご購入であることをお確かめになりましたら、その旨をこのメールへの返信をなさってお知らせください。続けてこの件に関してお手伝いさせていただきます。

調査の前に、もう1件不正と思われる請求があるようです、と指摘をいただいてました。調べてみたところ、確かにもう1件ありました。早速その旨を書いて返信。それから何度かメールのやり取りを行いましたが、最終的に、不正利用が認められて返金が決定したのは、この日から数えて9日後の2月6日でした。

何度かメールのやり取りを行って、9日間もかかった理由としては、今回被害にあったゲーム内課金、実は自分自身もゲームをしていて、何度か課金はしたし、何より不正利用のあった当日もまさにゲーム内課金を利用したからです。(金額は350円とかですけど)

過去のゲーム内のアイテム課金で「これは?」「じゃあこれは?」と何度かやり取りを繰り返していました。

Appleアカウントの再有効化と、フォローアップ

2月6日にAppleのサポートから届いたメールには、返金が決定したので、Appleのアカウントセキュリティチームに電話をして、アカウント再有効化の手続きをしてほしい、というものでした。

メールに記載の電話番号に電話をかけ、アカウントの再有効化の手続きを行いました。この際、Apple ID登録時に設定した、秘密の質問を3問程度、口頭で答える必要があります。問題なくすべての質問に答え、ようやくApple IDが戻ってきました。

早速、Mac Bookの Mac OSや、iPhoneアプリを最新にアップデートできることを確認しました。当たり前のことができるのはホント嬉しいです。

そして、感動したのが、Apple IDが再有効化された後も、Appleのアカウントセキュリティチームからのフォローアップメールが2度ほど届いたことです。「その後いかがですか?」「解決までお力になります」など、心強いメッセージをいただきました。

本題とはずれますが、このサポートの対応はすごいです。見習わなくちゃ。

返金に浮かれて忘れないようにしたいこと

無事に返金が確定してやれやれ・・・と一息ついてましたが、僕の場合まだやることが残っていました。警告のメールが来るまで気が付かなかったです。それは・・・

色々なサービスで登録しているクレジットカードの登録情報変更

僕の場合、月末を挟んだおかげで、新しいクレジットカードの配達より前に、月末で各種サービスの支払日が来てしまったため、警告メールが何通も届いてしまってました。もし下記のサービスを利用しているクレジットカードが被害に遭って、クレジットカード番号が変更になった場合、特に忘れがちなので注意しましょう。

  • 楽天やAmazonなどのショッピングサイト(予約中の商品があればなおさら)
  • Adobe Creative Cloudなどの月額利用のシステム
  • サーバー会社・ドメイン等の定期的な支払い
  • 電話料金・公共料金などの引き落とし
  • PS3、xbox360、Wii等のアカウントに登録しているクレジットカード情報

ちなみに私は恥ずかしながら、ショッピングサイトと電話料金以外、対応できてませんでした。Creative Cloudにおいては、アプリ起動時にサブスクリプション期限切れ、という警告で気が付いたくらいです(笑)(もちろんAdobe社からメールが来ます)

根本的な問題として、なぜ漏れたのか?漏れないようにするには?

一応、Webのシステム/アプリケーションを開発する職種なもので、フィッシングサイトには引っかからないぞ、という自負はありますし、実際Apple IDをPC上で入力するなんてことは久しくなかったわけです。ここ1年以上はiPhoneの上でしか、Apple IDの認証は行っていません。

Apple IDのパスワードですが、被害に遭う前、9文字で設定していました。これって長いですか?短いですか?今ではかなり長くしていますが、App Storeで毎度ながーいパスワードを入力するのも面倒なのは確か。僕自身は9文字は短いとは思っていません。パスワードも、僕の個人情報からとかでは推測不可能ですし。

じゃあ、なんで漏れてしまったのか。もしかしてアプリ内課金の仕組みがアプリによってはヤバイんじゃないのか?とか、色々考えることはありますが、漏れないようにするには「パスワードを長めにする」「パスワードを定期的に変更する」「むやみにアプリ内課金を使わない*」ことかなあと思っています。
(*今回、アプリ内課金をしたその日に不正利用されたから、という個人的な理由です)

二度とこんな面倒なことは御免です。不幸にも同じような被害に遭われた方にとって、少しでも早く解決できる参考になればと思い、書いてみました。

長文でしたが、最後まで読んでいただきありがとうございました!