グーグルやアマゾンどちらかが不正アクセスされるというのはよく聞くけど、どちらも不正ログインされるとは思ってもみなかった。
良かったことにお金に被害はなかったことだ。
犯罪者は不正ログインと気づかれるまでにアマゾンでは1日、グーグルアカウントでは5日ほどあった。アマゾンはクレジットカードはセキュリティコードがなくても注文、決済できるため勝手に注文することができる。注文した後に配達会社に連絡して配送先を変更することもできるので不正に盗むことができるのだ。
注文すれば登録のメールに確認のメールがアマゾンから届くのだけど犯罪者はGmailのフィルタにアマゾンとグーグルからのメールを排除するように設定してあった。さらに配送業者の名前もフィルタに入れられていた。そのためグーグルからのセキュリティ通知も受け取れなかったのだ。ただ犯罪者がグーグルアカウントにログインしたときの新しいデバイスからのログインの通知は排除されず届くのだけど、これも犯罪者はラッキーなことに僕に気づかれずに通知を受信したあと削除した後があった。すべてのメールは完全に削除せずにただゴミ箱に移動してあっただけだったので、アマゾンからのセキュリティ通知もゴミ箱にあったのだ。
犯罪者は日曜日に不正ログインをしていたけど、日曜日は部屋で宿題をしていることが多くメールの着信はすべて気づくのだけど、今回も犯人はラッキーなことに僕は忙しくてメールに気づかない、もしくは気づいても後から確認しようとしていたと思う。あまりにも犯人は運がいい。
アマゾンに登録されているクレジットカードはリミットがあり高額な商品を購入できないのになぜ今回はリミットを大幅に超える商品のゲーム用のGPUとノートパソコンだと思う商品が注文されていた。だと思うというのは商品の確認のメールを受信しているものの商品の名前と写真が見えず、金額がわかる程度なので詳しくはわからないのである。しかしアマゾンのブラウザヒストリーから何を見ていたかがわかりおおよその金額から何を注文したのかは想像がつくのだ。
クレジットカードのリミットを越えているので決済が承認されることもラッキーだ。
しかし僕も運がよかった。アマゾン側が気づき注文をキャンセルし、僕のアカウントを強制的にログアウトに一時的に二段階認証のような状態にしたのだ。スマホにコードを受信してパスアワードをリセットしないとログインできない。
この二段階認証を強制することで僕はいつも使いアマゾンプライムにログインできなくておかしいと気づいた。Gmailはアマゾンからのメールをすべて排除する設定になっていたのでどうやってもログインできず最初は混乱した。サポートセンターに連絡してもサポートセンターかのらメールも受信しない、サポートセンターのスタッフも理解できずにお手上げ。そもそもサポートセンターは僕のアカウントが不正ログインにあったことを知っていると思うのに何も言ってくれないのも不親切だと思った。
ログインできたのは宿題が落ち着いた翌日だった。
犯人はアマゾンでの犯行に失敗したもののグーグルプレイを使って犯行することにしたのだ。グーグルプレイは何か購入する場合、パスワードだけでなくクレジットカードのセキュリティコードが必要だ。そのため普通は犯行は難しいけど、どうやったのか他の知らない人のカードを登録しそれを使ってゲームを購入していたのだ。クレジットカードの持ち主は少し被害はあっただろうがすぐに対応したらしく二度目の購入されたときに承認がキャンセルされていた。
結局、犯人は僕からお金を取ることができなかったのである。
Gmailもアマゾンも二段階認証を設定してなかったのとパスワードは違うものの似ていた。パスワードは長かったが長さはあまり意味がなかった。
二段階認証はめんどうだったのでいつか不正ログインがあるとは思っていたのでグーグルアカウントには個人情報を出来る限り入力していなかったのとグーグルアカウントに連携しているものは一つもなかったのが良かった。
お金の被害よりも個人情報の漏えいが気になる。個人情報はgmailの中身とクレジットカードに登録されている住所は分かるものの、gmailはほとんどが広告と大量のグーグルのアラートと数える程度の学校の先生と会話するぐらいで重要なものは含まれていない。
住所がバルのは何かされそうで怖いものの、引っ越す予定もあるのでこの問題はすぐに解決するだろう。
グーグルアカウントにはいくつかのパスワードを保存していたので管理者ならパスワードを見ることができるが、今回はさらにパソコンのパスワードがわからないと他のパスワードも見ることができない状態だったので何もできなかったと思う。
そして連絡先がグーグルアカウントにインポートされていていくつもの連絡先と名前が犯人に知られてしまったが、インポートされた連絡先は連絡先はほとんど連絡していない人や一時的に連絡を取らないといけない人やこの連絡方法しかない人で、連絡をし合う人は連絡帳よりも電話アプリでの連絡がほとんどなので連絡先をスマホに登録していないのだ。登録している名前もテキトウに名前をつけているものばかりなのでおそらく犯人が電話をかけても話が通じないだろう。
例えばオレオレ詐欺みたいに、
犯人「オレオレだけどうケビン元気?」
「誰だよケビンって?あなた誰?」
犯人「○○だよ。」
「○○って誰だよ」
というように話になるんじゃないかな。
そして気になるのが僕のアカウントを使って他人のカードを不正に登録し決済したことで僕のアカウントが凍結される恐れがあると思ったことだ。グーグルには不正があったことを伝えたものの何も不正が見つからなかったと言われ何事もなかったことになっている。意味がわからない。セキュリティが高いと言われるグーグルも対応だけはアマゾンと比べても最悪だ。
でもグーグルの良かった点はGmailの設定で差出人を分けられるように複数のメアドを登録しており、基本はGmailで受信していたのだけど登録したおかげでグーグルからの一部のメールをその登録したメアドにも受信するようになっていたことと、さらに受信すればGmaiに転送するようにしていたことだ。なぜ受信するのか不満だったけどそれのおかげで、グーグルのメールをフィルタで削除されていても転送メールがGmailに届いて不正に気づいたのだ。でもセキュリティ通知の全部が2つめのメアドに送信されているわけでもないという意味不明のことになっていて、一部のたまたまのグーグルからのセキュリティ通知がそっちに送信されてそれがGmailに転送されたのだ。
グーグルのセキュリティのバグなのかわざと複雑にしてAIがメールが排除されていることを認識して送信を変えたのかはわからないけど。
差出人を変えられるようにしていたのは学校用と遊び用だ。学校には英語で遊びは日本語の名前にしてあったのだ。
そしてgoogle ドライブにもアクセスできたはずだけど削除された履歴もなく、何かアップロードされている履歴もない。履歴に残らないのは何を見たか何をダンロードしたかなどだ。見られたりダウンロードされて問題になるものは入っていないのとファイルには鍵をかけているためダウンロードしても鍵を解読するのは手間がかかるだろう。そもそも重要な個人情報がわかるものはドライブにはアップロードしないのは前からドライブから漏えいがニュースになっていたから気にしていた。
まぁいろいろ合ったけど凍結もないお金の被害もないなら問題ない。すべてのデバイスからはログアウトさせパスワードの変更と二段階認証の設定もしたから次はこんなことはないだろう。あってもいいけどアマゾンプライムビデオを見えなくて困ったことと少し楽しみにしていたグーグルからのニュースのアラートがこなくなって戸惑うのは嫌だと気づいたので二段階認証をすることにしたのだ。
まとめると
1、今日はアマゾンプライムが見えなくなっているアマゾンにログインできない、なんでだ!(実はアマゾン側が不正に気づき強制ログアウトをしていた)
2、アマゾンサポートに電話、何も解決できず。
3、グーグルからのアラートが届かない。なんでだ!バグやインターネットの調子がおかしいのかもしれない。忙しくて調べるよりも、もうちょっと様子見るかと思う。(実は犯人がフィルタを使って受信しないようにしていた)
4、セキュリティ通知が別のメアドから転送で届き、クレジットカードの決済がグーグルプレイで行われたと気づく。
5、Gmailとグーグルアカウントの設定を調べるとフィルタがおかしくなっているのに気づく。連絡帳がグーグルアカウントにインポートされているのに気づく。そしてグーグルアカウントが不正ログインのメッセージを発していた。
6、すべてのデバイスをログアウト、パスワードの変更と二段階認証の設定。
犯人の行動が不思議だったのはパスワードを変更しなかったことだ。変更しなくても変更しても時間の問題で解決されるだろうと考えてもしいたら、変更せずに気づかれない間にさっさと犯行しちゃおうと考えたのかもしれない。
犯人はおそらくアメリカにいる人がアメリカ以外の国になる。これはなかなか特定できない。アクセスしたIP履歴が気づいた時には見えなくなっていてIPからは特定できないし、アマゾンにFedEXの配送業者を使っていたことから国際郵便の可能性もあるし国内郵便かもしれない。それに購入しいたゲームが全く有名でないロシアのゲーム会社からのものだった。英語表記で遊べるゲームだけど、他の開発されたゲームを確認するとすべてロシア語のゲーム。しかも子供、小学生向けに見えるパズルゲームだ。このことからロシア人のコンピューターに詳しい子供が購入したのではないかと思う。アメリカ人だと遊ばないだろうと思うようなクオリティだしまず英語じゃない点で遊ばないだろう。子供だったら有名でもない人のアカウントを乗っ取っても遊べるわけじゃないからパスワードを変更しないというのはありえるかもしれない。
それと子供ではなく大人かもしれないという想定も一応できる。グーグルプレイからゲームをダウンロードするページにはゲーム会社と会社の住所が表示されている。その住所を調べても実際のゲーム会社がグーグルマップからは確認できなかった。有名な企業だと一部のウェブページではいっているが、英語やロシア語で色々と検索しても人気があると言っているのは少数のページだけなのでもしかしたら、架空のゲーム会社と架空のレビューウェブページで信用を高めてグーグルプレイ登録し、ゲーム内の課金からお金を集金すれば、子供や知り合いが勝手に課金したということもできるため、グーグルがきちんと相手にしないことがあるのである。グーグルは子供や知り合いが勝手に課金する事例が多いようでそのお金を返金する対応をしたくない。子供や知り合いなら本人の過失にもなると思うので返金対応をする必要がおそらく無くて対応することが時間の無駄なのだと思う。そのためグーグルに報告しようとしたら子供などが勝手に課金していないか確認し、もし嘘の報告をして返金を求めた場合はアカウントを停止する可能性があると、脅しのような警告まで出しているのである。そこを狙えば課金によって子供用のゲームから集金しても怪しまれずらい。さらに怪しいのが子供ゲームなのに一括で高額課金ができるということである。複数の小額課金ならスマホゲームではよくあるので合計で高額になることはあるが、一括で高額が設定されている課金アイテムなどはおかしい。しかも子供用のゲームと言っても小学生用にも見えるゲームで課金要素なんてなさそうなゲームなのである。さらにゲームを登録しておくと間違って小さい子がダウンロードして課金して集金できてラッキーってこともありえるだろう。
そう考えると子供にしてはよくハッキングできたなぁと驚いたけど大人なのかもしれない。
無料ゲームを装ってユーザー情報を集めて犯罪に利用しているかもしれないと思うと恐ろしい。そして反社かもしれないゲーム会社としらずに取り扱っているグーグルもおかしい。もし知られていないだけで多くの反社がグーグルプレイにゲームを登録しているとして、それとは知らずに反社からの手数料をグーグルプレイ経由でグーグルがもらっているとしたら、反社かれの資金は大きな問題になるため、将来大問題になる可能性もあるかもしれない。たとえばそもそも反社としらずに資金提供を受けていたら上場停止になったり信用を失うこともあると聞く。巨大企業のグーグルだから特別に大丈夫だろうと思いが、巨大企業が犯罪の巣窟のプラットホームを扱っていたとなると問題にならないわけはない。
それとロシアからのハッキングととりあえず決めておくのは信憑性が高い気がする。ロシアからはハッキングが多いと聞くしロシアからの攻撃があったと思っても不思議じゃない。特にアメリカは石油パイプラインがロシアのハッカー集団に攻撃されたりアメリカのサイバーセキュリティが弱い大きな会社が攻撃されることがニュースなったことがある。アメリカは狙われているのでだろうし、アメリカのアマゾンやグーグルはさらに狙われるのだろう。またロシアからは昔だけどブログにも攻撃がいくつもあったのでネット犯罪はロシアで多くあるのかもしれない。
そういえばかなり前に友達がハッキングツールを使っているのをみせてくれたことがあるけど、それは英語表記のロシア人が開発したものだった。
おそろしや!