国際経済、時事問題、風俗に関する個人的断片的考察  www.taoka-s.com
by tao-kiton
筆者に関する情報
最新の記事
グッピーの病気と水の関係
at 2014-12-27 11:29
田岡短観(マーケット分析)
at 2014-10-31 14:00
最近の飲食店の動向(2014..
at 2014-10-30 04:46
戦争についての考察
at 2014-10-28 16:31
塩谷丸山(629m)に登ってきた
at 2014-07-20 15:09
カテゴリ
国際
経営・経済
ニュース考察

政治
書評

雑記
誰も教えてくれない真実
趣味・余暇・レジャー
田岡語録
記事ランキング
検索
以前の記事
2014年 12月
2014年 10月
2014年 07月
2014年 06月
2014年 02月
2014年 01月
2013年 12月
2013年 11月
2013年 10月
2013年 05月
2013年 04月
2013年 03月
2013年 02月
2012年 11月
2012年 10月
2012年 07月
2012年 06月
2012年 05月
2012年 03月
2012年 02月
2012年 01月
2011年 11月
2011年 03月
2011年 02月
2010年 11月
2010年 10月
2010年 02月
2008年 07月
2008年 06月
2008年 01月
2007年 01月
2006年 12月
2006年 11月
2006年 10月
2006年 09月
2006年 08月
2006年 05月
2006年 04月
画像一覧
ファン
その他のジャンル


私の楽天IDが不正ログインされた!?

朝起きたら、
【楽●天】パスワード初期化のご連絡
というタイトルのメールが。
内容は次のようなもの。

b0088237_9374838.jpg


<以下引用>
【楽●天】パスワード初期化のご連絡
https://member.id.rakuten.co.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
*このメールは楽天をご利用いただく際の重要な情報を記載しております
ので大切に保存いただきますようお願いいたします。
※このメールは、ご登録のメールアドレス宛に自動的に送信されています。
─────────────────────────────────

【私の名前】 様

日頃は楽天をご利用いただき誠にありがとうございます。

このたび、お客様の楽天会員登録が第三者によって不正にログインされた
可能性があることが判明いたしました。

緊急の措置として、第三者による不正な利用を防ぐため、お客様の
楽天会員登録のパスワードをリセットし、パスワードを再設定しなければ
ログインができないように変更をいたしました。

お手数をおかけして申し訳ございませんが、引き続き楽天会員登録を
ご利用になる場合は、以下のページよりパスワードの再設定の
お手続きをお願いいたします。

なお、ご利用の端末がキーロガー等のコンピュータウイルスに感染して
いる可能性もございます。事前にOS、ソフトウェアが最新の状態であるかを
確認し、最新パターンファイルを更新したアンチウイルスソフトでウイルス
チェックを実施して頂くようお願いいたします。

■ユーザIDの確認・パスワードの再設定ページ
https://member.id.rakuten.co.jp/r/upk.html

※ユーザIDは第三者に知られないようメールアドレス以外の新しいものに
ご変更ください。
※一般的に、パスワードは8文字以上のものについては第三者に推測され
にくいと言われています。できるかぎり複雑なものを設定してください。
【悪いパスワードの例】
・生年月日や氏名を含むもの
・0000などの連番を含むもの
※複数のサイトでなりすましの利用がされないよう、パスワードは他の
サイトとは異なる推測しづらいものを設定のうえ、定期的に変更を
おこなってください。

具体的な手順は以下のページをご確認ください。

■ヘルプページ
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/127
※iPhoneをご利用の方は以下のページにてご確認ください。
http://ichiba.smp.faq.rakuten.co.jp/app/answers/detail/a_id/16336
■ご参考:「パスワードの再設定方法」のわかりやすい図解ページ
http://www.rakuten.co.jp/com/faq/flash/password.html

─────────────────────────────────
※弊社からのログイン情報の漏えいは確認されておりません。
※お客様の会員登録に第三者がログインできた詳細は現状わかりかねます。
※ご利用の端末にてフィッシング等の被害にあった場合に、パスワード等の
情報を盗み取られる可能性がございます。
※本メールは送信専用です。本メールに返信された場合でも回答はできません。
─────────────────────────────────

□ご不明な点や覚えのないご利用(ご注文)がある場合は、購入履歴より
覚えのない利用をされた店舗をご確認の上、店舗までご連絡ください。
また、クレジットカードのご利用であればクレジットカード会社へご相談
ください。

□不正なログインによって、会員情報に登録しているお客様情報のうち、
ログインによって閲覧が可能な情報(氏名、住所、電話番号、メールアドレス、
生年月日等)が閲覧された可能性があります。
会員登録情報が変更された場合にはご登録のメールアドレス宛にお知らせが
送信されますが、情報が第三者によって改ざんされていないか念のため
ご確認ください。
※クレジットカード番号はログインしても下4桁以外は閲覧できません。

■楽天会員登録について
http://ichiba.faq.rakuten.co.jp/app/home/#id
当社の個人情報の取扱いについては「個人情報保護方針」をご覧ください。
http://privacy.rakuten.co.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□楽天市場 http://www.rakuten.co.jp/

<引用終わり>

****************

どこかで見たような文面。
そう、最近しつこく来る、三菱東京UFJ銀行になりすました
フィッシング詐欺のメールと似ている。
でも、なりすましメールにしては巧妙だ。文章も稚拙でない。

試しに楽天にログインしてみたら、ログインできない。
クッキーの機能で、楽天の画面には私の名前が表示されており、
いかにもログイン状態のように見えるが、購入履歴を
選択すると、パスワードを聞かれ、今までのパスワードを
入れても弾かれる。
メールに書かれている通り、パスワードがリセットされているようだ。
パスワードの変更には現在のパスワードの入力を求められるので、
それもできない。

メールにはパスワード再設定のためのURLがリンクされているが、
私は疑い深いので、フィッシングメールかもしれないメールの
リンクは踏まない。

楽天のHPから問い合わせフォームで、このメールの真偽を
問うてみた。そして回答メールにはこの問い合わせに対して
答えたメールであることを証明するために、問い合わせを
読んだ人でなければ解らない暗号を明記するよう指示した。
さすがは元SE(自画自賛)。

楽天のIDはメールアドレスだ。メールアドレスは流出しやすい。
パスワード総当りプログラムでログインされた可能性がある。

まったく同じIDとパスワードを使っているアマゾンではこのような
不正ログインは無い。楽天のセキュリティーが甘いのか、
楽天が狙われ易いのか。
(アマゾンのパスワードは変更済)



いろいろなケースを考えてみた。

ケース1:
何者かが私のメールアドレスを知り、そのアドレスをIDにして
楽天市場にログインした。パスワードは総当りで入れた。
何回かのパスワード入力でロックがかかり(そのようなセキュリティーが
楽天にあるなら)、楽天がパスワードをリセットした。その後、犯人は
私のメールアドレス宛にフィッシングメールを送り、リンクURLで
偽のパスワード変更画面に誘い、本人確認と偽ってさらに
個人情報を盗み取る可能性がある。
この場合、パスワードを盗み取っても、楽天は既にパスワードを
リセットしているので、そのままログインはできない。
パスワード以外の個人情報を盗む可能性がある。
→やはりこのメールに記載されているURLは踏めない。

ケース2:
犯人はログインに成功してメールアドレスを含む個人情報を
変更した後、何かを買おうとした。または買った。
商品の送り先がいつもと違うので、問い合わせのメールを
犯人が変更した新しいメールアドレスに送ったが返事がない。
または個人情報不足で適切に答えられなかった。
不審に思った楽天は一応パスワードをリセットして、
その旨、変更前のメールアドレス(私のメールアドレス)宛に
送った。
→楽天HPの問い合わせフォームの回答を待って、
 楽天が送ったメールで間違いなければ、指示に従って
 パスワードを再設定して、ログイン後、購入履歴を見て
 不正購入されていないか確かめる必要がある。
 不正購入があれば、直ちに発送を止める、クレジット
 カードによる支払いを止めるなどしなければならない。

「【楽●天】パスワード初期化のご連絡」でネット検索してみたら
出るわ出るわ。かなり以前からこの手の問題があったらしい。
2009年くらいの記事もある。まったく同じ事故だ。
不正購入された例もあった。恐ろしい。
楽天は今までどのような対策をしていたのだろうか。


楽天の問い合わせフォームからの回答が未だない。
回答があったらその後の顛末を続報する。

この記事が読者諸兄の注意喚起と事故防止に役立てば
幸いである。


続報・追記)

楽天HPの問い合わせフォームを利用して問合わせてから
約5時間後に次のメールが来た。

<以下引用>
日頃、楽天市場をご利用いただきましてありがとうございます。
楽天市場お客様サポートセンター●●●(担当者名) でございます。

お問い合わせの件でございますが、ご連絡いただいたメールは
弊社よりお送りしております。
メールに記載の内容にそってお手続きくださいますようお願いいたします。

この度は楽天会員登録の件で、多大な心配をおかけすることとなり
申し訳ございませんでした。
<以下略>
<引用終了>

メールの内容とタイミングなどに信頼性があったので、最初のメールに
記載されたパスワード変更のためのURLをクリックした。
しっかりURL表示バーを確かめる。上書きがないか反転させる。
さらに疑って、同一サーバー内の上部フォルダーを探る。
楽天のドメインにほぼ間違いないことを確かめてから、指示通りに
パスワードを再設定し、ついでにIDも換えた。

もともとこのIDは、かなり以前に「旅の窓口」というサイトで使っていた
IDだった。そのサイトはメールアドレスがIDだったのだ。その後、
「旅の窓口」は楽天に買収されて、その後同じIDとパスワードで
楽天市場も利用可能となり、そのまま使っていたのだった。
IDをメールアドレス以外のものに換えることができるとは知らなかった。

IDとパスワードを換えてから購入履歴を見たが、第3者の不正購入は
無かった。最後にチェックした商品も見覚えのあるものだった。
楽天トラベル(旧旅の窓口)もチェックしたが不正利用は無かった。
まだ安心はできないが、今のところ実害はなさそうだ。

しかし、同じような文章で、ユーザーの個人情報を盗み取る
三菱東京UFJなどのフィッシング詐欺が発生している中で、
このようなメールが来ても多くの人は疑うだろう。
メールに掲載された直リンクをクリックする人はまずいないはずだ。

今回は実害がなかったが、もし不正利用されていたらどうなっただろう。
問い合わせフォームの回答を待っている間の5時間は不安だった。

私のパソコンはキーロガー対策もウィルス対策も万全だし、
ネット取引用の特別な監視ソフトも備えてあるので、それらに
責任を押し付けることはできない。

とにかくIDとパスワードは総当りに備えて複雑なものに換えておくしかない。
その上で常に疑って、頻繁にチェックして、よく考えて対応するしかないだろう。

ネット犯罪は益々高度化複雑化する。
便利は便利なのだが、高齢化が進む中で、多くのお年寄りには
ハードルが高いのではないだろうか。
[PR]
by tao-kiton | 2014-01-22 09:38 | 雑記
<< エクアドルのグワヤキル ストイックな炭水化物制限を1カ... >>