月別アーカイブ: 2014年6月

俺の知らない所でソフトバンクおまとめ支払いでNEXONポイントが上限近く購入された件

投稿日時: 投稿者:
返信

なかなか、体験しない事を体験したので書き殴っておきます。
あと、同じように困っている人がいる場合の道しるべ的な。
→結論:ひとまずキャリアへ連絡しろ

大体1ヶ月くらい前の5月20日。

会社の帰り道の途中、ソフトバンクからおまとめ支払いで1万円NEXONポイントを買ったよ!というメールが来て最初?となって新しい迷惑メールの類いかと思ったがどうやら公式なメール(モバマスで何回かおまとめ支払いを使っていたので分かった)だったので、ぎょっとした。

その後、立て続けに同じメールが来て、こりゃ不正アクセスされているなと思い、まとめて支払いの上限を9万から1万に変更したがまたメールが飛んできて確認したら、9万に戻されているってね。この時点で確実にやられてると思って、mySoftbankのパスワードと支払い時に使う暗証番号も変えた所で時既に遅し。8万と9000円、NEXONポイントにされてしまいましたとさ。(残りの1000円は月額払う系のサイトで既に使っていた。)

こんな感じ
スクリーンショット 2014-06-14 2.36.38

とりあえず、もう夜も遅い時間だったためネットで同じような事案が無いか検索とNEXONへは問い合わせをした。
ソフトバンク自体への問い合わせは翌日にする事に。
しかし、NEXON問い合わせするのにアカウントを作らないとダメという糞仕様。

検索した結果は同じような人が少なからずいたので一安心。
(この後、色々調べて2月と4月にmySoftbankで不正アクセスがあったのを知る。が未だに5月に同じ事があったのは発表されていない。)

この時点で、何故不正アクセスして勝手にポイント買われたのかがよく分からなかった。
まぁ、今でも直接的な原因は分かっていないのだが、考察は後ほど。

翌日、会社に出る前にソフトバンクへWebから問い合わせ。
その直後ぐらいにNEXONからの返事が来て、不正決済の可能性が高いからmySoftbankのパスワード変えてね。
あと、直接ソフトバンクに言ってね!という回答が返ってきた。

このとき、ネ糞ンさん過去(4月頃)にも同じ事があったのに何でソフトバンクおまとめ支払いを一時的でも止めないのかなと思ってたが、これを書くために色々と調べてたら、俺の件から少し後に停止してて笑った。俺が問い合わせ時に過去発生している事案なのに止めてないのと?と言ったせいなのかな。てか、これNEXON側にも何か欠陥があったように見えなくもない。
ソフトバンクケータイ支払い(モバイルサイト経由)の長期のご利用停止について

で、ソフトバンクへの問い合わせが返ってきたのが昼過ぎだったがメールで返信するには糞長い質問があったので、めんどくさいが157へ電話する事に。
担当の人に身に覚えのないおまとめ支払いが使われたと伝えると確認するのでお待ちくださいと言われて数分待った後、あっさりと不正に使われたようですねと。なんか手慣れている感じだったから、この手の事案一杯あったんだろうねと。

詳しく調べて後日またご連絡するという事だったのでこの日は完了。

次の日、会社でお客と打ち合わせしているときに知らない番号から電話がかかってきたので、離席して電話を取ると昨日とまた違う人で今回の件の説明をしてくれて、不正だったので無かった事にしてくれるのと、mySoftbank上に情報は残ったままになるので気にしないでくださいという事とどういった状況だったのかという事を聞かれたので疑問に思っていた事を伝える事に。
その担当者がリスト型で云々とか言ってきたのとパスワードを他のサイトと同じものを使い回しているかと聞かれたので、
「一部使い回しているけど、mySoftbankって電話番号とパスワードですよね、電話番号をIDとして使っているサイトなんかmySoftbanksしかないのでIDとPASSのリスト型アクセスっておかしいと思うんですがと」いうと、担当の人はうーんと唸って曖昧にされてしまった。

mySoftbankが自分で設定出来るID/PASSであったらリスト型というのは、まぁ話として納得出来ないが受け入れる事は出来るんだが、なんとも腑に落ちない説明だった。電話番号をIDにして登録してる所がなのにリスト型とかチャンチャラおかしい。絶対ログイン失敗数が多くなってると思うのに。。。気付かないものなのだろうか。2月や4月の件で強化するとか言ってたのは何だったんだろうね。
PC版のログインに謎の図形当てはめゲームを追加しただけなんですかね?auみたいにSMSで認証するのが確実なのにねぇ。何考えてるんでしょうね。

あと、決済する前にパスワードと異なる暗証番号の入力があるのだが、運が悪い事にこの暗証番号をデフォルトにしてたのもちょとまずかった。正直おまとめ支払いは携帯端末自体が無いと出来ないものかと思っていたが、どうも最近は違っているようで詳しく調べていないが決済時にmySoftbankにログインすれば使えるらしい。

とりあえず、9万弱の件は無かった事になるようなので、もうこれ以上追求するのも疲れるので納得した体で電話を切る事に。

今現在まだ、5月分の請求書は来ていないが、Web上の請求金額は楽しいことになっている。
スクリーンショット 2014-06-14 2.34.19
このままの金額で請求書きたら確実にソフトバンク解約するね。J-Phone時代からの腐れ縁状態で使っているだけな人間なもんで。懐かしきJ-Phone、Vodafone時代。

なんか、ニコニコも同じようにリスト型でアタックされたとあったので、PASSの使い回しは危険ですな。
そもそも、ID/PASS形式がもうダメなのかもしれん。でもさ、PASSってDBとかに保存するときにハッシュ化して分からないものにすると思ってたんだけど、そのまま生で保存してるのだろうか?お漏らししてもPASSがハッシュ化されてたらよっぽどじゃない限り大丈夫だと思うんだけど、プログラムもハックされてハッシュ化のソルトとかが割れてるんだろうか?