「メルカリで勝手にお金が引き出されてる!」
「私のメルカリアカウントが他人に操作されてるって本当?」
このようなお悩みを抱えてはいませんか?
2021年、メルカリ不正アクセスによる約3万件の顧客情報流出が話題になりました。
この記事では、
- メルカリの不正事例
- メルカリでの不正対策
などについて解説します。
目次
メルカリにおける2つの不正事例
どのような場面でメルカリは不正が引き起こされているのか、主に2つの例を見ていきます。
どちらの例も、フィッシング詐欺やスパイウェアに引っかかることで、個人情報が犯罪者に盗まれた時に起こる犯罪です。
【事例1】不正出金被害
不正出金被害とは、第三者がメルカリ利用者のの口座に不正ログインし、利用者のメルカリアカウントにある預金を勝手に操作していることを指します。
この原因は、フィッシングやスパイウェアに限らず、キャッシュカードの盗難・取得・スキミングなども関係している場合があります。
出金されていることに気付かないこともあるので、こまめな確認を心掛けましょう。
【事例2】メルカリアカウントの乗っ取り
こちらは、メルカリのアプリログインに関わる情報を抜き取り、利用者のアカウントを勝手に乗っ取ることを指します。
知らぬ間に乗っ取られていて、商品を購入・出品されていたといった事が起きています。
メルカリを長時間利用しない際には必ずログアウトする等の対策を徹底しましょう。
自分のメルカリアカウントが不正にアクセスされているか確認する方法
以上のようなメルカリ事例が起こっている中、誰もが対象になるかもしれない不正アクセス。
不正アクセスとは、本来アクセス権利を持たない者が不正に権利を入手し、サーバや情報システムの内部へ侵入を行うことを指します。
主な目的は、個人情報を抜き取り、それを用いて悪さをすることです。
なりすましや情報漏洩、企業のブランドイメージ低下等、不正アクセスの悪影響は多岐にわたります。
不正アクセスされているかどうか確認する方法は、主に以下の5つです。
- ログイン画面が表示される
- 身に覚えのないログイン通知や決済履歴がある
- メールやSMSのリンクを押させようとする
- フリマアプリ出品者が商品の送り先と異なる
- クレジットカードの請求を確認する
不審に思う点、フィッシングに引っかかったかもしれないと感じる点がある時は、常に確認するようにしましょう。
ログイン画面が表示される
1つ目は、本物そっくりのログイン画面が表示されることです。
既にメールアドレスやパスワードを登録しているにも関わらず、再び入力させてくる場合は安易に入力してはいけません。
攻撃者は、「パスワード」「SMS認証番号」「パスコード」などの大切な情報を自分の手で盗み取るのではなく、消費者自身の手で入力させる形へと誘導しているのです。
身に覚えのないログイン通知や決済履歴がある
2つ目は、身に覚えのないログイン通知や決済履歴があることです。
最近では、1つのアカウントに複数の端末や複数人からログインすることが可能です。
皆さんも、自分の身に覚えのない時間や場所でログイン通知が来たことがあるのではないでしょうか。
このログイン通知、あまり重要視していないかもしれませんが、第三者が勝手にログインしてしまっているというケースを否定できません。
必ず、自分自身の利用であるかどうかを確認してください。
また、自分で購入した決済履歴であるか、よく確認してください。
メールやSMSのリンクを押させようとする
3つ目は、メールやSMSのリンクを押させようとすることです。
メルカリの例でいえば、ロゴマークや過去のキャンペーン文章を引用することで、本物のメルカリからのメールのように見せかけ、ボタンやリンクのクリックによって偽のメルカリページへと遷移します。
攻撃者は、様々な手法を用いてきます。
どれが不審なメールやSMSであるかの判断は難しいので、常に”怪しい”という心で見るようにしましょう。
また、そこから直接記載のリンクを開くといった行為はできるだけ慎むようにしましょう。
フリマアプリ出品者が商品の送り先と異なる
4つ目は、フリマアプリ出品者が商品の送り先と異なることです。
商品が届いているために、商品を受け取る側はこのことに危機意識を持たないかもしれません。
フリマアプリ出品者は商品を持たずに出品を行い、落札されると商品を通販事業者にネット注文、フリマアプリ利用者に商品が届く仕組みになっています。
しかし、ネット注文で商品を購入する際、決済は不正に入手した他人名義のクレジットカード(クレカ不正)で行われます。
以下の図も併せて、ご参照ください。
つまり、不正者(フリマアプリ出品者)はネット上のやりとりだけで、フリマアプリの購入者からお金を手に入れているのです。
クレジットカードの請求を確認する
5つ目は、クレジットカードの請求を確認することです。
クレジットカードのの利用明細からおかしな請求が行われていないか、しっかり確認しましょう。
クレジットカード会社によっては、問い合わせることでどこで使用されたものなのか教えてくれるケースもあります。
メルカリが不正アクセスされた時の対処法5つ
さて、ここまではメルカリが不正アクセスされているかどうか確認する方法を見てきました。
その結果として、既に不正アクセスされていたと気付く場合もあるでしょう。
ここでは、そこで行うべき対処法を5つ解説します。
- ご自身以外にログイン中の端末を強制的にログアウトする
- 速やかにパスワードを変更する
- 差出人名義に心当たりのない商品は受け取らない、受け取っても開封しない
- メルカリへ連絡する
- クレジットカード会社へ問い合わせる
ご自身以外にログイン中の端末を強制的にログアウトする
不正アクセスを断ち切るためにも、自分自身以外のログイン端末を強制的にログアウトしましょう。
メルカリアプリ内の「マイページ」→「個人情報設定」→「ログイン履歴」より設定できます。
※但し、認証番号がご利用中の電話番号と異なる場合は、事前に認証番号の変更を忘れずに行ってください。ご利用中の端末を強制的にログアウトした場合、ログインできなくなる場合があります。
速やかにパスワードを変更する
攻撃者が不正ログインを試みるだけでなく、そのアカウントを用いて不正購入を大量に行う危険性もあります。
高額な決済履歴が届く前に、早めに不正アクセスを断ち切ることが必要です。
これも、ログアウト同様、メルカリアプリ内の「マイページ」より設定できます。
怪しいと思われることが起こった時には、ただちに変更しましょう。
差出人名義に心当たりのない商品は受け取らない、受け取っても開封しない
先程1章でもお話しましたが、差出人が商品の送り先と異なる場合、不正を企む攻撃者のトラブルに巻き込まれている可能性があります。
「差出人名義に心当たりのない商品は受け取らない、受け取っても開封しない」を徹底してください。
※差出人名が「匿名配送」、事業者名が「メルカリ」と記載されている匿名配送(ゆうゆうメルカリ便、らくらくメルカリ便など)は、メルカリのシステムなので問題ありません。
また、以下のような場合で、後日受取拒否をしたい場合は、商品を開封せずに差出人(通販会社やオンラインショッピングサイト等)に連絡すると共に、メルカリ事務局へも連絡するようにしましょう。
- メール便や置き配で届いたので受取拒否できなかった
- 家族や同居人が買ったものかもしれないので、受取拒否の判断がその場ではつかなかった
少し大変に感じるかもしれませんが、自分がトラブルに巻き込まれないよう、手間を惜しんではいけません。
メルカリへ連絡する
不正アクセスされたことが発覚したら、メルカリへ直ちに連絡しましょう。
メルカリによると、金銭被害が発生した場合、不正利用被害が確認できれば全額保証すると述べています。(既に引き落とし(清算)済みでも可)
以下を見ると分かるように、時間のかかる作業なので、事前に用意できるものは準備しておくと尚良いでしょう。
【補償までの流れ】
- メルカリ(メルペイ)の機能制限
- 必要に応じて本人確認書類の提出
- 本人確認、アカウントの安全性の確認が出来次第アカウントの制限を解除
- 不正被害が確認でき次第、補償の手続きが進む
- 補償金請求書を提出する
- 不正利用された金額分を補償してもらえる
クレジットカード会社へ問い合わせる
不正アクセスの原因として、クレジットカードが不正利用されていることも考えられます。
不正利用の疑いが高いとされる場合には、クレジットカードについても正しい手順で対処することが必要です。
- クレジットカードの「利用停止」連絡
- 警察へ連絡
- クレジットカードの再発行
以上のようにして、繰り返し不正利用が行われ被害が大きくなる前に、歯止めをかけるのです。
メルカリ不正アクセスの手口
では、メルカリの不正アクセスはどのように行われているのでしょうか。
メルカリ不正アクセスの手口は、
- 企業へのサーバ攻撃
- フィッシング攻撃
の主に2つです。
企業へのサーバ攻撃
「メルカリ」では、2021年5月末にアプリ利用者や売上金の振込口座情報など、合わせて約2万8000件の個人情報が流出しました。
また、2021年9月頃から乗っ取り被害が急増したと言われ、11月頃には一部加盟店で第三者による不正ログインが確認されました。(参考:【注意喚起】メルカリを装った不審なメール・SMSと一部加盟店での一時的な利用制限について|メルカリびより)
今回の主な原因は、アプリのコード開発に利用していたツール「Codecov」に不正アクセスされたことです。
これに伴い、連携開発ツールにおけるGithubやSlackでも次々と個人情報漏洩する危険性が高まります。
一般的には、これらのことをまとめて企業へのサーバ攻撃と呼びます。
IDやパスワードの認証情報を適切に運用しているつもりでも、何らかの手段によってそれが盗み出され、悪用されているのです。
過去には、「JTB」で起こった第三者からの不正アクセスについてもまとめておりますので、ご覧ください。
フィッシング攻撃
フィッシングとは、カード会社や金融機関等を装い、インターネット利用者からクレジットカード情報や銀行口座情報を騙し取る手口の犯罪です。
盗み出した情報は、ダークウェブでの売買やあなたになりすましてメルカリや他社サービスを利用するために使われます。
例えば、メールやSMS、詐欺広告等において、
「カードの有効期限が近づいています」(有効期限詐欺)、「高額商品に当選しました」(当選詐欺)、「ウイルス感染しました」(サポート詐欺)
といった様々な文言を画面に表示させ、偽サイトへ誘導するのです。
その為、このような表示を見た時はむやみにURLをクリックしないことが大切です。
補足. 一般的な不正アクセスの手口
メルカリに限った話ではなく、不正アクセスは近年急増しています。
下記の記事で詳しく説明しておりますので、是非ご一読ください。
メルカリ不正アクセスで述べた2つを除いて、一般的な不正アクセスの手口は、主に以下の3つです。
1つずつ、解説していきます。
- パスワードリスト攻撃
- 総当たり攻撃
- ソーシャルエンジニアリング
パスワードリスト攻撃
攻撃者側がユーザーのID、パスワードがセットになったリストをどこかで事前に入手し、これを基にECサイトや決済サービス等のWebサービスに不正ログインを試みることです。
この手口のターゲットは、「ユーザーが複数のサービスで同じIDとパスワードを使い回している」点です。
同じ ID とパスワードの組み合わせで、他のサービスにログイン可能という状況を利用し、負の連鎖がどんどん拡大していく危険性があります。
総当たり攻撃
パスワードリスト攻撃同様、 ID やパスワードの組み合わせを利用して、不正ログインしようとします。
パスワードリスト攻撃との違いは 、ID とパスワードのリストを事前に入手するのではなく、パスワードによく使われる単語をツール等により組み合わせていることです。
そして、総当たり攻撃には代表的な 2 種類の攻撃方法が存在します。
ブルートフォースアタック
ツールを利用して全単語を高速で入力し続ける手法です。
何が何でも強引にログインを試みます。
辞書アタック
一方で、こちらはパスワードに使われやすい単語を集め、ツールを用いて組み合わせを総当たりで入力する手法です。
ある程度の予測をつけてから、動き出します。
ソーシャルエンジニアリング
高度な技術を用いるのではなく、原始的な手法で認証情報を不正に入手します。
多様な手口が存在するために、システムでの盗難対策が困難です。
例としては、以下のようなものが挙げられます。
- 正規ユーザが入力している様子を背後や隣などから盗み見る(ショルダーハック)
- 金融機関等を装い、電話を通じて直接ターゲット本人から認証情報(クレジットカード番号やパスワード)を騙し取る(ビッシング)
- ターゲット企業のゴミ箱に破棄された書類から情報を得る(ダンプスターダイビング)
今後、メルカリが不正アクセスされないための対策
これまで、メルカリにおける不正アクセスについて色々お話してきました。
しかし、できることなら前もって不正アクセス対策を講じ、要らぬ心配は避けるべきです。
今後、メルカリが不正アクセスされないための対策は、主に以下の5つです。
- メールに記載されているリンクや添付ファイルは開かない
- カード情報を登録しているPCにセキュリティソフトを入れる
- クレジットカード情報を削除する
- 登録銀行情報を削除する
- ログイン情報を変更する
メールに記載されているリンクや添付ファイルは開かない
メールに記載されているものは、巧妙な偽サイトへ遷移することを否定しきれません。
信頼性のある公式サイトや公式アプリ、公式ブログ等から、正しい情報を入手するようにしましょう。
普段使っているSNSでも、遷移先に情報を入力することは絶対にしないでください。
カード情報を登録しているPCにセキュリティソフトを入れる
PCにクレジットカード情報を登録している場合、より不正者があなたのカード情報を盗みやすくなります。
そのため、マルウェア対策だけでもできるようなセキュリティソフトを入れておくことをおすすめします。
また、常にPCのバージョンが最新の状態であることの確認も忘れてはいけません。
クレジットカード情報を削除する
メルカリが不正利用されないために、登録しているクレジットカード情報を削除することもおすすめです。
毎回購入時に改めて登録しなければならない手間は発生しますが、メルカリを利用していない間に勝手にクレジットカードを利用されるというトラブル回避になります。
メルカリアプリ内の「マイページ」→「個人情報設定」→「支払情報」より設定できます。
登録銀行情報を削除する
クレジットカード情報を削除するのと同様の理由で、登録している銀行口座を削除することも行いましょう。
定期的な利用をしない限り、こちらを行うことを推奨します。
今までの「マイページ」と異なり、こちらはメルカリアプリ内の「メルペイ」→「銀行口座」より設定できます。
ログイン情報を変更する
最後に、アカウントを乗っ取られないためにも、ログイン情報を変更することは大切です。
- 長期間パスワードを変更していない
- 複数サイトで同じパスワードを再利用
上記に心当たりのある方は、パスワードの変更がセキュリティ面強化に繋がります。
積極的に行っていきましょう。
まとめ
不正アクセスはいつ起こるか分かりません、しかし誰にでも起こる可能性があります。
その為、前もっての対策を講じるだけでなく、普段から疑う・注意してリスクを下げていきましょう。
また、起きてしまった時には、下記のような正しい対処を心掛けることが大切です。
~不正アクセスされてしまった時の対処法~
- ご自身以外にログイン中の端末を強制的にログアウトする
- 速やかにパスワードを変更する
- 差出人名義に心当たりのない商品は受け取らない、受け取っても開封しない
- メルカリへ連絡する
- クレジットカード会社へ問い合わせる
これらを行うことで、以前よりも早急に不正アクセスに歯止めをかけることが出来ます。
不正アクセスが発覚しても、慌てずに少しずつ行動していきましょう。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
