昨日、PayPalから数件のメールが来ていました。
件名:Receipt for Your Payment to Skype
Hello
You sent a payment of 10.00 EUR to Skype (billing@skype.net)
It may take a few moments for this transaction to appear in your account.
—————————————————————-
Merchant:
Skype
billing@skype.net
何だ?このメール。
このメールが30分の間に2件ほど。
その後1時間ほどしてさらに2件。
件名:Payment refund from Skype
Hello
———————————–
You received a full or partial refund of 10.00 EUR from Skype.
———————————–To see all the transaction details, please log into your PayPal account. It may take a few moments for this transaction to appear in your account.
———————————–
MERCHANT INFORMATION
———————————–Name: Skype
Website: http://www.skype.com
Email: paypalpayments@skype.com
何~?
Skype利用もしていないのに、勝手に2回も10ユーロずつ(Paypalに登録しているクレジットカードから)引き落としされて、その後また2回ほど10ユーロずつ返金されてるのは何でよ~????
- Skypeから間違って請求されて、間違いに気づいて返金された?
でも、Skypeなんて使ったことないからアカウント持ってないよ・・・・。
- 誰かが自分のメールアドレスとパスワードを抜き取った?
でも、paypalのアカウントを作成したのは、ついGW前。
しかも、(ちゃんとセキュアの環境にしてある)自分のPCからしかPaypalにアクセスしていないし、paypal関連のフィッシングメールにも気をつけているし・・・・・。
Paypalの詳細
この日は既にPaypalのサポート時間が終了していたので、翌日に持ち越しとなりましたが、翌日にはこんなメールが。
件名:アカウントへのアクセス制限のお知らせ
セキュリティ対策として、定期的にPayPalの動きを検査しています。先日、お客様のアカウントに問題があることが分かりました。
第三者がお客様のアカウントにアクセスした可能性があります。万一お客様のアカウントに未承認の第三者によるアクセスがあった場合に備えて、安全を確保するため、機密情報に関係するPayPalアカウント機能へのアクセスを一時制限させていただきました。アクセス制限によりご迷惑をおかけいたしますが、お客様のアカウントの保護を最重要事項としておりますので、ご理解くださいますようお願いいたします。
ケースID番号: PP-XXX-XXX-XXX
お客様のアカウントへのアクセスを一時的に制限しています。当方からの確認事項に対するお客様のご返答をいただいたうえで、制限の解除を検討させていただきます。
確認事項に返答し、制限を解除するには、[問題解決センター]をクリックしてください。
制限に関する詳細が必要であれば、[ヘルプセンター]の[お問い合わせ]をクリックしてください。問題の解決にご協力いただき、ありがとうございます。
敬具
PayPalカスタマーサービス
ま、マジっすか。
早速Paypalにアクセスしてみると、アカウント制限の旨が記載された画面に。
サポートに記載されているとおりアカウントを復旧させたましたが、とりあえずPaypalでの決済はこれ以上予定がないので、登録してあるクレジットカードを削除しました。
ま、これで一安心。
後でPaypalのサポートに電話すると、
「このアカウントは他の方に悪用された形跡があったため、Paypalの方で返金処理を行いました。」
ということで、PaypalとSkypeの業務上のミスではなくて、本当に自分のアカウントを利用してSkypeで通信しようとした輩がいたようです。
どのようにしたらSkypeの課金が悪用と判明されるのか、イマイチそのロジックは分かりませんが、(そこらへんの仕組みは教えてくれない←当たり前か)また、どのネットワークを利用しているのかも定かでありませんが(ま、これもPaypalやSkypeだったら追えるかもしれないけれど教えてくれない)いずれせよPaypal側で返金処理をしてアカウントの停止措置を取ったようです。
この一連の流れから、Paypalのセキュアの仕組みが確実に機能していた、ということになるのですが・・・・、
果たして誰が悪用しようとしたのか。思い当たるフシは1つ。
Paypalと同じメールアドレスとパスワードの組み合わせで登録しているオンラインショップはAmazonとHMVとGW前にPaypalで支払いを行ったNYにあるCDのオンラインショップ、S社。
AmazonやHMVはSSLで通信しているし、そこからアカウント情報が漏洩されるのは考えにくいけど、S社についてはその支払いのためにPaypalのアカウントを開設したわけで・・・・。
「ちょっと心配だけど、直接そのS社のサイトでクレジット決済するわけではないからPaypalとS社のアカウント名とパスワードが同じでもダイジョウブだろう~」と油断して同じメールアドレスと、パスワードの組み合わせで登録したことが原因かも。
よって考えられるシナリオ
①S社の人間が故意にアカウント情報を抜き取ってSkypeの支払いに利用しようとした。
②S社のサイトにアクセスしている時(サイトがSSLではない)に第三者にアカウント情報を傍受された。
③第三者がS社のサイト(DB)にクラッキングしてアカウント情報を搾取した。
①が一番分かりやすいけど、サイトの作りから見てセキュアに構築されているとは思えないから、②も③も可能性がありそう。
しかもサイトの性格上、たかが数ドルのCD代金やSkypeで10ユーロ巻き上げるためにこんなサイト作るとは思えないよな~。
ただ①だった場合、order statusはshippedになっているけど、実際品物は届かないかもしれないな・・・・。
①でない期待半分。モノが届かない可能性半分。
教訓
- 既にクレジットカードが登録されていて、メールアドレスとパスワードだけで決済できるオンラインサイト(例:AmazonやPaypal)と同じ組み合わせで、他のオンラインショップのアカウントを作成しない。
- サイトがSSLでないところはさらに注意を払う。なるべくアカウントを作成しない。
(サーバ管理者のセキュリティに対するリテラシーが低い=セキュアな環境でないサイトはクラッキング対象となりやすい。)
早速Amazonもパスワードを変更しましたが・・・・、とりあえず今開設しているオンラインショップのアカウント、パスワードを含めて一旦整理することにします。