農夫。旅に出る

地方都市に住む農夫がお得にマイルを貯めて旅するブログです。

ポイントサイト不正アクセスで7,390円分ポイントが消えた!

皆さん気をつけてください。他人ごとではありません。先日同じマイラーのでめさんの記事を拝見して、私も同じヤフーメールでポイントサイトの登録している人です。記事を読んだ時はまだ不正アクセスされてなく対岸の火事と思っていました(大変スイマセン)。けど心配は心配なので週末にセキュリティ強化しておこうかと思い、確認のため本日14日にポイントサイトのポイントを確認するとあるはずのポイントが極端に少なくなっていました。あれっとポイント交換履歴を見るとあの「Amazonギフト券」の文字が!やられた!!

f:id:tetsuyama2000:20171014180334p:plain

でめさんと同じ恨みのイラスト(女性バージョン)にしました

 

 

でめさんの記事

www.ana-mileage-shoes.net

 

でめさんはちょびリッチで不正アクセスされています。

この記事を読んですぐに対応しておけばよかったのですが、まずちょびリッチだけなのかなと思いこんでしまい、私のちょびリッチポイントがそもそも少なかったので後回しにしてしまいました。

 

不正アクセスされたポイントサイト

私の不正アクセスされたポイントサイトはハピタスファンくるです。

ハピタス

f:id:tetsuyama2000:20171014181540p:plain

細かいところまでAmazonギフト券に交換されてます。5,390pt。悔しい!

 

ファンくる

f:id:tetsuyama2000:20171014181835p:plain

ファンくるは20,000p=2,000円相当なので2,000円分Amazonギフトコードに交換されています。つい先日友人紹介キャンペーンで入った分も持って行かれています。悔しすぎます。

 

他のポイントサイト

ポイントがあるサイトは何故か無事でした。ポイントインカムはEPARKリラクの案件で獲得した大量のポイントがあったのですが、今回合言葉をちょうど変更中で変更後は72時間交換できない状態だったので免れたのかもしれません。

 

何故に不正アクセスされたか

でめさんの記事によるとヤフーメールの不正アクセスからとなっています。私もこの不正アクセスされるまでヤフーメールのセキュリティなんて全くしていなかった物です。ヤフーメールにログインされてしまうと各種ポイントサイトのアカウントとパスワードを盗み取ることはできるです。ファンくるのメールからパスワードと検索すればすぐに探すことが出来ました。

f:id:tetsuyama2000:20171014183317p:plain

他人のヤフーメールにログイン出来れば「ポイントサイト名とパスワード」と検索すれば誰でも出てくる内容です。

ヤフーメールのログイン履歴という画面がありましたので確認してみました。

f:id:tetsuyama2000:20171014183617p:plain

がっつりやられてます。今日も私も以外の人がログインして個人情報覗きまくっていた事になります。私前にもフェイスブックのメッセージ機能MessengerのアカウントのっとりがありAmazonギフト券買ってきてメールを一斉に送って痛い思いしている身でしたが、どこから漏れたかわからずじまいでしたが、ヤフーメールからだと今日確信しました。

ここは推測ですが、

アジア中華圏で公衆Wi-Fiでヤフーメールを見たもしくはヤフーのログインをした

今年はマカオ、香港、台湾、上海に滞在歴あります。ヤフー見ていると思います。

ヤフーメールのIDとパスワードが漏れる

特にセキュリティかけていませんでした。

ヤフーメールにログインし、ポイントサイトのメールを検索する

パスワードがわかれば未登録のデバイスからでも閲覧可能でした。

パスワードがあるメールからポイントサイトへアクセス

ヤフーメールにはポイントサイトからの初期登録からのメールが大量にありました。

ポイントサイトからAmazonギフトコードへポイント交換する

交換する際に必要な合言葉「母親の旧姓は?」の問いかけはAmazonギフトコードには無いのでしょうか?

 

主な対策

ヤフーメールの強化

海外ログイン制限

海外からのログインを制限するためにまずこちら

f:id:tetsuyama2000:20171014185422p:plain

先程のメールソフトログイン履歴の画面から海外アクセスの制限が出来ます。まずこちらを設定。

 

ヤフーログイン時のセキュリティ強化

ワンタイムパスワードの設定

デバイスからログインする際にワンタイムパスワードの入力を求める。一度入力成功した機器からのワンタイムパスワードの入力を省く事ができる。

ログインアラートのお知らせ

特に注意が必要な場合に登録済みのメールアドレスにメール認証が来るようになる。

シークレットIDでログイン

シークレットIDのみログイン出来る。理由は既にアカウントは流出済みと考え、アカウントを捨てるわけではなくログイン時のみシークレットIDを使う。

パスワードの変更

これは当然ですね。パスワードはポイントサイトと共通のものが多いのです。今後どうするべきか悩みます。お金に関することなのでしっかり検討していきたいと思います。

 

ポイントサイトのパスワード・メールアドレスの変更

まずはパスワードの変更しました。さらにヤフーメールのセキュリティは強化しましたが、今後のために別のメールアドレスへ変更しました。

 

ポイントサイトへの要望

今回の不正アクセスは自分のセキュリティの甘さから招いた物で100%私が悪いです。今回の7,390円分のポイントは痛い勉強代と思っています。ただしポイントサイトさんもポイントサイト(今回で言えばハピタスとファンくる)からポイントサイト(PEXなど)の交換する際には細かく合言葉(母親の旧姓や出身小学校の名前)を聞いてくるはずなのに、Amazonギフトコードへの交換の場合は無かったのでしょうか?不正アクセスした人が私の母親の旧姓や出身小学校の名前を知っていると思いません。合言葉は私しか知らないはずなのにまたメールにも回答があるわけでもないので、今回不正アクセスされた際に合言葉の認証が無かったかなと思います。私自身Amazonギフトコードへの交換はしたことがないので交換する際の手順がわかりません。Amazonギフトコードの交換する際にも必ず合言葉の認証を付けていただきたいと思います。