先日、2/14にソースネクストから顧客の個人情報が流出したことが報道されていましたが、実は私のクレジットカード情報も流出していたようで、海外通販と思われる不正購入が複数回発生していました。私自身も海外通販はよく利用するのですが、カード情報の流出が怖いためVISAデビッドでしかも通販先毎にカード番号を変えています。そして、口座に入れている金額も必要最低限にして、もし不正利用されても被害が最小になるようにしています。今回、ソースネクストから流出した情報は、メインのクレジットカード情報で、年末に年賀状ソフトの更新費用を決済した時に流出したと思われます。もし、限度額いっぱいまで不正利用されていたらと思うとぞっとします。初めてクレジットカードを作ってから30年以上、ずっと同じ番号のカードを使っていましたが一度も不正利用されたことはありませんでした。何かのご参考になればと思い、今回は、この不正利用とそれに関する一連の流れをご紹介します。
- 12/25 ソースネクストのサイトから、「筆まめ」の更新費用をクレジットカードで決済。この時に漏洩したようです。ソースネクストからのメールにも「2022年11月15日~2023年1月17日の期間」とありますので、間違いないと思います。
- 1/4 身に覚えのないクレジット決済が通知される。
ちょうど年末年始で実家に帰省していた時で、クレジットカードを使う機会が減っていたために気が付きました。最近は殆どがキャッシュレス決済のため、普通だったら通知を見逃していた可能もあります。
不正決済は、まず100円程度の少額決済を試してみて、決済が通れば次に高額の決済を行うという手順のようです。私の場合は、100円の決済が通ったら間髪をおかず15800円の決済が行われました。自動販売機で飲み物をiDで購入すると数日遅れてから通知が来ることもあるため、100円と15800円の決済の間が開いていた場合は気づかなかったかもしれません。明細の日時を確認すると一分以内での決済でしたので、怪しいなと気づくことができました。直ぐにまた同様のパターンでカード利用の通知がきたので、不正利用されていることを確信しました。正月に帰省してからほとんどクレジットカードで買い物をしなかったため気づくことができました。この時の通知では「Visa加盟店」となっていました。
直ぐに、VISAにメールで不正利用されている可能性があることを連絡しましたが、伝票がVisaに到着しないと何処で不正利用されたかはわからないし、不正とも判断できないとの自動リプライが返ってきただけでした。Visaの窓口に電話で連絡しようにも既に営業時間は終了しており連絡できない状態でした。 - 1/5 朝に、また同じパターン(金額も同じ)で不正利用されました。PC等で自動処理しているのだと思います。都合、100円と15800円の決算パターンを合計3回やられました。私のクレジットカードはVisa NL(ナンバーレス)です。Vpassアプリから利用制限ができることに気づき、利用制限を設定しました。すると、利用制限を解除してもPayPayへのチャージもエラーになってしまい、クレジットカードが使えない状態になってしまいました。おそらく、同じタイミングでクレジットカードが利用停止されたのだと思います。
夜9時ごろに不正利用も制限されて、利用不可の以下のようなメールがきました。
xxxxxx 様
いつも三井住友カードをご利用頂きありがとうございます。
お客様の利用制限サービスの設定により、以下に記載のご利用分について利用不可となりましたのでお知らせいたします。
ご利用カード:三井住友ゴールドVISA(NL)
◇利用日:2023/01/05 21:19
◇利用先:Visa加盟店
◇制限取引:海外-非対面取引
◇利用取引:買物
◇利用金額:100円 (100.00JPY)
※「海外店舗の取引を制限」をご選択された場合であっても、ご利用店によっては国内でも海外取引として制限される可能性がございます。
この決済が失敗したためか、次の引き落としはされませんでした。
「海外-非対面取引」となっています。海外通販にはこのクレジットカードは一度も使っていないため、どこから漏れたのかが気になりました。心当たりがあるのは、年末に「筆まめ」のバージョンアップだけです。これ以外は、すべてPayPayのチャージかiDしか使っていませんでしたので、ソースネクストでの購入が怪しいと思い、ソースネクストのWebサイトや、他に同様の情報が無いかを探しましたが見つけられませんでした。 - 1/6 朝、Visaの営業時間になってカードの裏に書かれている番号に電話をしました。かなり混みあっていて、保留のままオペレータになかなかつながりません。何度電話を切ろうかと思いましたが、電話を切ってしまうとまた待ち行列の最後からになってしまいます。結局、25分ぐらい保留のまま待ちました。ちなみにこの電話は、フリーダイヤルではありませんので有料です。今思うと、電話が混みあっていたのは、不正利用の問い合わせが多かったためではないかとも思います。やっと、電話がオペレータにつながっても、販売店からデータがVisaに上がってこないと何処で不正利用されたのかは調べられない、Vpassに明細が表示されたら再度連絡してくれという回答でした。
心配で電話しているのに、あまりにも素っ気ない回答でした。 - 1/6 昼前、窓口に電話して程なく、今度はSMSでセキュリティセンターからメッセージが届きました。
三井住友カード XXXXです。利用確認のため、メッセージを送信いたしました。0120-XXX-XXXまでご連絡を御願いします。<略>
慌てて電話してみると、カードを利用停止したとのことで、新しくカードを発行しないといけない。という内容でした。今になって思えば、既にカード会社は私からの不正利用の報告とソースネクストからの情報漏洩の件とを紐づけし、即時カードを停止したのではないかと思います。
メインのクレジットカードですし、ほとんどキャッシュレスで生活しているため、現金も少ししか持っていないため、クレジットカードが無いとiDもPayPayも使えず、非常に困ってしまいました。田舎では銀行に行くのも結構大変なんです。でも、VISAの担当者は、新しいカードが来るまで自分でなんとかしてくださいというばかりです。しかも新カードの発行には10日から二週間ぐらいかかるとのこと。NL(ナンバーレス)なので、新しいカード番号を直ぐに発行してもらえるのかと思っていましたが、物理カードが発行されるタイミングでないと、カード番号は決まらないということでした。NLといっても結局は物理カードに番号が書かれていないだけなんですね。
日本だからよかったものの、もし、海外でこのような状況になったら帰国できなくなる可能性もありますよね… と、聞いたところ「自分で何とかしてください」だそうです。あたかも私の管理が悪いせいで不正利用された為だと言わんばかりでした。今になって思えば、不正利用された原因はソースネクストにあるのだから、VISA経由でもきちんと説明があって、暫定でもよいので対応策を提示してくれても良かったのではないかと思います。思い出すと、だんだん腹立ってきました(怒) - 1/8 Vpassアプリを確認してみると、新しいカード番号が発行されていました。正月早々母親が入院してしまい、まだ帰省先から戻っていない状況でしたので物理カードは受け取れず手元にありません。(実際に届いたのはもっと後でした) でも、新しいカード番号が発行されたので、物理カードが不要なiDとPayPayはスマホから使えるようになるはずです。一安心です。でも、母親の入院費をクレジットで払おうと思ったのですが、病院では物理カードが必要で支払いできませんでした。
- 新しい物理カードが届いたのは、1/13でした。
このクレジットカードが情報を含む、個人情報の漏洩をソースネクストが発表したのは、なんと発生から一月以上たった2/14でした。理由として、「不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、ご通知および発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。」とメールに書かれていましたが、一月以上もの間ユーザーを大混乱させていた認識はないのでしょうかね。
情報漏洩の原因として、「弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。」ということでしたが、不正アクセスの確認、ましてやWebサイトの改竄が行われて数週間もわからず、しかも第三者から不正アクセスを指摘されてからやっと認識するとか、セキュリティソフトを大々的に販売している企業のWebサイトとは思えません。そういえば、ソースネクストが販売しているセキュリティソフトの名前は「ゼロ セキュリティ」でしたね。皮肉にもその名の通りですね。
まずは、カードを停止した時点で、個別に理由を説明すべきだったと思います。
各個人が精神的なものも含めどれだけ被害を被ったのか分かっているのでしょうか。クレジットカードが使えなくなって困った人は私だけではないはずです。海外でこのような状況になったら本当にどう責任をとるつもりだったのでしょうか。
そして、twitterを見ていると、不正利用以外の補償は全くされないとのこと。クレジットカード会社に連絡するのに平日の昼間に連絡する必要があるのを理解しているのでしょうかね。電話もなかなかつながらず、昼休みの時間内に連絡できなかった人も多いでしょう。わざわざ仕事を休んで連絡しないといけない人もいたでしょうが、電話代も含めこれらの補償は全くされないようです。しかも、理由が「会社の方針で」ということらしいです。それを言うのは当事者のソースネクストではないですよね?被害を出した責任を全く認識してないですよね。きっと自分も被害者だと思っているのでしょう。漏洩件数が10万人を超えているので、補償額が膨大になるからなのでしょうかね。あきれてしまいます。
今回の件で、大切だなと感じたのは、
- いつ不正利用されるかは分からない。日ごろから利用明細は確認するように習慣づけておく。カード決済があったらスマホアプリの通知やメールで連絡されるように設定しておくと良いです。
- VISAカードであれば、Vpassからクレジットカードの利用制限が直ぐにできるように設定しておく。(他のカードにも同様の機能があるのかはわかりませんが)
- クレジットカードが使えなくなった場合に備えて、予備のクレジットカードを持っておく。
年会費無料のカードを持っておくと良いでしょう。 - VISAナンバーレス(NL)でも万全ではないが、おすすめ。
物理カード必須のカードよりは復旧が早い。(と思う) - あやしい通販サイトではクレジットカード決済をしない。十分気を付けていたつもりだったのですが。。。いや、ソースネクストで決済するときに、ちょっと気にはなったのですが、時間が無かったのと、割引に惑わされてしまいました。