えきねっとで不正利用されてしまった件

最悪のUIとして悪名高い「えきねっと」。使わずに済む人生ならラッキーですが、東北に出かけるとき「30%OFFになるトクだ値」は無視できません。

明日の軽井沢行き新幹線のチケットを、えきねっとで予約！
このUIでよくサービスをリリースしようとしたな！その度胸がすげぇ！
自分のITリテラシーに感謝だ！

— Madoka Sawa / 澤 円 (@madoka510) June 4, 2022

ふと、マネーフォワードを開いたら、えきねっとの使用履歴があり、「あれ!??」と違和感を覚えます。

チェックしたところ、11月の「東京 → 新大阪」のチケットが申し込まれていまいた。

チケットが購入された時間には来客があり、PCもスマホもさわってないし…
そもそも大阪行きの新幹線に乗るなら、エクスプレス予約を使います。

急いでキャンセルしようにもできないため、がんばって問い合わせたところ、とりつく島もありません。

紙のチケットを発券しているので、キャンセル処理はできない

「覚えのない申し込みなんですが…」と食い下がるものの…無慈悲な返答…

こちらでは何もできません。
クレジットカード会社に問い合わせください。

気を取り直してAMEXに問い合わせところ、即、全額補償＋カード再発行（＝番号変更）となりました。ありがたい。

不正利用を繰り返さないように、経緯もろもろをメモとして残します。
同じような被害に遭わないための参考になれば幸いです。

今回の不正利用のロジック

端的にいうと、今回の事案はクレジットカード情報が保存されていたことで、ログインさえできれば発券できてしまうという“穴”を付いたものでした。

• なんらかの手段でログイン

• クレジットカード情報が保存されている

• 申し込み直後に出てくるQRコード（または受取コード）を控える

• 券売機にてQRコードを使って「紙きっぷ」を発券

決済時にセキュリティコードの入力は必要ないの？

クレジットカードの登録時には認証が必要ですが、その後の利用時、カードによっては認証が不要のようです。

言ってみたらAmazonと同様なのですが、「カードによって」でなく、「どのカードでも」セキュリティコードの入力は必要ですよね！

発券時にクレジットカードは必要じゃないの???

クレジットカード払いの場合、クレジットカードがなくても、QRコード（または受取コード）があれば発券できてしまいます。

そして、QRコード（または受取コード）は決済完了後、画面にも表示されてしまうんです。

実際に使うときにはクレジットカードを忘れても発券できることで助かることもあありますが、せめて、クレジットカードのパスコードを入力させるのは必要ではないでしょうか!!!（ザル）

「いつ、どこで発券されたか」を知りたい

そんなの知っても“後の祭り”ですが、「いつ発券されたのか」「どこで発券されたのか」を聞いてみたところ、

発券に関しての情報は把握していない

とのことです。
ウソー!!!
もう、笑うしかないです。

紙きっぷは払い戻しできるの？

聞いてみたところ、払い戻しには決済したクレジットカードの持参が必須とのことで、そこはギリギリ守られているようでした。

つまり、クレジットカードが不要であれば、不正利用の犯人は「払い戻し」で換金してしまえばよいわけが、それはできないとのことです（本当かな…）。

今回の原因は？

ID/パスワード？

ほかのサイト/サービスと共通のものではなく「一意」のものですが、思い起こすと2年くらい変更していませんでした。

ログイン情報が流出してしまったり、また、総当たりでログインされてしまったのかもしれません。

えきねっとユーザー3,729件が不正アクセス被害、一部カード情報流出か

フィッシングメール？

まず、Gmailでフィルターされますし、「えきねっとアカウントの自動退会処理について」的なメールは大抵スパムだと理解していますので開きません。

…のつもりなのですが。

本家からも「これはないでしょ」系のメールが送信されていたりします。

それでも「えきねっと」を使う必要がある方へ

• クレジットカード情報を登録せず、面倒ですが、毎回入力するようにしましょう。

また、基本ですが、

• ほかのサイト（サービス）と、ID/パスワードを使い回さないようにしましょう。

• （意味ないとは言われますが）定期的にパスワードを変更しましょう。

えきねっとだけでなく、ザルとも言えるシステムで運用しているところ山ほどあります。そして、全部のサイト、クレカでログイン、使用時即メール連絡やるべき。

えきねっとで不正利用されてしまった件｜鷹野 雅弘 @swwwitch #note https://t.co/YFKEgoc3kR

— 徒然な独り言 (@turezure_man) October 13, 2022

まとめ

「えきねっとを騙ったスパムメールが多い」のは、それだけ“穴”があるからですよね…　目立たない金額/数量で不正利用されているかもしれませんので、たまに明細をチェックしてみてください！

【フィッシング詐欺】えきねっとからの偽メールに要注意！正式な通知との見分け方とは？

【メール】「【えきねっと】重要なお知らせ」詐欺の詳細と対処について

そもそも論として「2年間ログインがないと自動的に退会処理」というルールが諸悪の根源なのかも。使わないアカウント情報の保持がコストの肥大化につながることは理解できますが…

また、このサイト（↓）のURLが「okwave」なのも極めて不親切。

つい最近ログインしている（予約もしている）のに、「アカウント削除（退会）完了のお知らせ」のメールが届 | えきねっと Q＆A よくあるご質問

それはともかく、これを機会にセキュリティへの意識を改めたいと思います。

後日談

こんなコメントをいただきまして、改めて調べてみました。
なお、AMEXカードの場合です。

3Dセキュア認証のあるカードを使えばいいだけでは？で話が終わる。
節約にも情報をきちんと知ろうとしなくてはいけないいい例。

えきねっとで不正利用されてしまった件｜鷹野 雅弘 @swwwitch #note https://t.co/r4V3mRzz8N

— てくのす (@stickest_p) October 13, 2022

クレジットカード登録の際

リダイレクトされて、「与信中」という文字が一瞬だけ表示されますが、それだけ。セキュリティコードを入れることが認証ということなのでしょう。

決済時

American Express SafeKeyという画面が出てきますが、すでに「認証済み」となっていて、そのまま進めてしまいます。

試しに届いたばかりの新しい番号のカードで試してみたが同様。
さらにプライベートウィンドウで行っても同様でした。

メールでの認証コード

メールを確認すると「認証コード入力欄に入力」とありますが、この作業を行わなくても認証されてしまうのです。

結論

AMEXに聞いてみたところ、「認証は、そのサイトのセキュリティレベルによる」とのことで、もう、よくわかんない…

ほかのカードでは試していませんが、AMEXの場合、やはり「クレジットカードを登録していたら、ログインさえできれば決済できてしまう」ようです。

やはりクレジットカード情報を登録しておくのは避けた方がよさそうです。

メッセージ

これを読まれた方は、くれぐれも、お気をつけくださいね！

追記

2023年11月1日（水）からようやく「ログイン時の2段階認証」が導入されるようです。これで状況が変わるといいのですが…