見出し画像

アプリ乗っ取られてクレカの不正利用に遭った話

というわけでお久しぶりです。
5月から毎月のように忙しくぐったりしていた日々が続いていましたが、なかなかに香ばしい案件にぶち当たったので共有もかねてお知らせしたいと思います。

まあタイトルの通りクレカの不正利用に遭いました。
しかしスキミングに遭ったわけでもなく、経路がなかなかに面白かったので、ちょっと感心してしまった自分もいました。

では内容を。


はじまり

8月に入ってフルスロットルで忙しい中、一通のメールが届きました。

「なになに・・・クレカの利用速報メール?」

私が使用しているクレジットカードは使用されると利用速報のメールが届くようになっている。ただしこの時点でわかるのは金額のみ。どこで何を使ったかまではわからない。

「2000円ぐらいかぁ。何かに使ったかな?まあもうちょっとしたら請求の画面に載ってくるでしょう」

と思っていた私。
しかし翌日も、その翌日も、用途のわからない2000円~3000円の利用速報が上がってくる。

なんなんだ、誤請求にしては多い・・・
しかし請求時点でカード会社に確認しても「正式に請求が確定していないためわからない」とのこと。

そして8月5日。また別のメールが届く。
請求お知らせメールだ。
ここでようやく8月の頭から届いていた請求の内容が分かった。

「マッ〇デリバリー」


??????!!!!!!!


みなさんもご存じだろうか。マク〇ナルドが提供しているサービスで家までハンバーガーを届けてくれるというものだ。

アプリから住所を入力してクレカを登録して使えるというものなのだが・・・
ここで一つ目の問題が発生する。

SAZZY、マ〇クデリバリー使ったことないうえに登録してない。

そう。家とマク〇が至近距離にあるため、モバイルオーダーはよく使っていた。
が、デリバリーはさすがに使ったことがない。至近距離でバイクで配達してもらうの、気が引けるし。

しかし、確かにアプリにはクレカを登録している。
利用速報が来たカードも確かに登録している…?

あれ?まさかひょっとして?

慌ててアプリを開く。
そこには自分が使っているメールアドレスとは別のアドレスが登録されており、〇ックデリバリーの配達先に2件登録がされていた。
登録先は埼玉県と鹿児島県。ぶっちゃけ行ったことがないところだった。

とりあえずログインができていることだけは確認ができたので、(無理にメールアドレスを再登録するとまたいたちごっこになる可能性もあったため)ひとまず支払情報からクレジットカードの情報を削除。
届け先になっていた住所の画面をスクショを取り、アプリをログアウトした。
※この時登録情報のメールアドレスを控えるのを忘れてしまったことが悔やまれる。もしこういう状況になったら慌てずスクショを取りましょう。

まあ早い話がアプリ情報をクレカ情報以外を書き換えられていたわけです。
たまたまログインが継続していたためいろいろ対処できた、というのがよかったところでした。

確認

さて、とりあえず状況は確認できた。計算すると約5万円がマッ〇デリバリーで使用されていた。

明らかに不正利用なのでとりあえずマクド〇ルドに問い合わせをしてみた。
連絡先がいまいちわからなかったがメールフォームがあったのでそこから問い合わせ。

すると早かった。
「問い合わせをいただいたメールアドレスについてはご申告の8月以降メールを送信した形跡がないため、不正利用と判断できます」

そう、このアプリ、注文をすると、メールが返ってくる。「この内容でうけました」「レジで〇番といってください」みたいな感じで。

それが証拠になるんかー!とちょっと感心。
とりあえずマ〇ドナルドから不正利用だということがはっきりしたのでカードの請求内容が出そろってからカード会社へ連絡。

先にマクドナルドに問い合わせをしていたことで非常にスムーズに請求の取り消しができた。
面倒なのはカード番号が変わってしまうことと、その間カードが使えないこと。ぐぬぬ。

いや、本来はこれアプリの乗っ取りで、カード番号は一部黒塗りになっているので番号が流出しているわけではなかったんだけどな。でもまあ仕方ない。カードが届いたらぼちぼち振替とかの変更をしないと。

念のため

そして一応警察にも行った。カード会社が請求を取り消した時点で私に損害がなくなるので被害届を出す理由はないのだが、なんせ今回「使った相手の住所」が判明してしまっているのだ。しかも2か所も。

とりあえず最寄りの警察署に相談。
すると帰ってきた答えは・・・

「いやー、うちらは府内だったら動けるんですけどねぇ。埼玉と鹿児島だったらそれぞれの県警に問い合わせをしてもらわないと動けないんですよね」

まあそりゃあそうか。
ただ、情報提供として共有します、と警察署の方。念のため、あなたからも県警のHPからメールでいいので問い合わせしてください。ひょっとしたら特殊詐欺集団の根城になってるかもしれないんで、とのこと。

まあ5日で21回デリバリー使ってるってことは一人ではないだろうよこれ。

まとめ

というわけで、アプリが不正利用された話でした。
よくよく考えたらアプリと支払情報を紐づけるサービスって結構あって。ちゃんと定期的にログインしたり、パスワードを変更したりするのって大事だなって改めて思いました。

まあそもそもどうしてアプリの乗っ取りに遭ったのかという根本は解決してないんですけどね。たまたま自分が使ってたIDとパスワードが流出していたのか、脆弱性を突かれたのかは謎。

しばらく使わないアプリとかもあると思うけど、支払情報を紐づけているアプリは定期的に確認しましょう。

この記事が気に入ったらサポートをしてみませんか?