ポイントサイトの危険性、不正利用対策に穴があるのか徹底検証！

NTTドコモが運営する電子決済サービス「ドコモ口座」を使った不正引き出し問題以外にも、PayPayやメルペイといったスマホ決済サービスを使った不正引き出しがあったことも発覚！

さらに、SBI証券では第三者が顧客のユーザーネーム、ログインパスワード、取引パスワードなどの個人情報を不正に入手し、出金先の銀行口座を【偽口座】に変更し、顧客資金を不正引き出ししていた。

SBI証券の担当者も「本人確認が担保されているはずの銀行口座が偽造されており、業界としても前代未聞のことだ」と話している。

今回の一連の不正引き出し問題だが、一番被害にあった口座が「ゆうちょ銀行」です。

銀行口座が偽造された件についてゆうちょ銀行側は、「偽造の本人確認書類を使って作られたもの。証券口座の名義と合った偽造の本人確認書類を犯人グループが用意した。証券口座のID、パスワードが盗まれた事により、犯人が口座を乗っ取る形になり出金口座を変更することができた」と話している。

もう一点、勘違いしている人が多いのが「SMS認証」です。

PayPayをはじめるときに自分の携帯電話番号を入力して「SMS認証」しているから本人確認できていると思っている方もいらっしゃいますが、犯人が本人確認不十分な携帯電話を使って不正入手した個人情報を登録すればいくらでも、本人になりすまして登録できてしまいます。

携帯電話番号を取得するためにはキャリアによる審査が必要となるため不正取得することが難しい、また例え携帯電話番号が流出してしまっても携帯電話本体を持っている本人しかSMSを受け取ることができないので犯人が認証コードを盗み見ることができない、つまり「このサービスに登録した携帯電話をちゃんと自分で管理していますよ」という証明をしているだけなんです!!

「私の携帯番号これだから」とサービス側に教えただけで、セキュリティばっちり…なわけもなく、決済事業者側のサービスでSMS認証を行う必要もありますが、紐付ける銀行側にこそ「アカウント開設の時にこの人の携帯電話これって教えてもらったんだけど、運転免許証の確認をして本人確認が必要な銀行口座開設時に登録してる電話番号と一致してる？」なんて確認してもらわないと不正引き出しなんてなくならないでしょうね。

ただ、システム上の問題なんかで一緒に本人確認をするというよりは、銀行側は通帳最終残高を入力してもらうといった銀行側が用意した二段階認証を、決済事業者は運転免許証など本人確認できる書類をスマホのカメラで撮影してもらったり、顔写真を撮影したりと、それぞれで本人確認を実施するようです。

ちょっと不正引き出し問題についての話が長くなってしまったので、そろそろ本題に入りたいと思います。

ポイントサイトって第三者に悪用される可能性ないの？

銀行口座情報を登録するの不安なんだけど…。

と、今回の報道を受けてポイントサイトの利用を不安に思った方も多いのではないでしょうか。

そこで今回は、あなたの個人情報が第三者に不正入手されているという設定で検証していこうと思います。

基本ポイントサイト「モッピー」を見ながら不正利用に対する危険性を検証している記事のため、モッピーだけが危険なサイトのように思われるかもしれませんが、どこのポイントサイトも似たような作りですのでポイントサイト代表としてモッピーを中心に話をしていきます。

あなたも狙われているかも⁉

ポイントサイト×銀行口座の関係性

ポイントサイトの場合、ただ単純に銀行口座の情報を不正入手しただけでは犯人もどうすることもできません。

犯人がポイントサイトに新規登録するために、フリーメールアドレスを準備しようが、本人確認が不十分な携帯電話を準備しようが、ポイントサイトを新規ではじめた状態ではポイントは「0」です。

つまり、ポイントサイトから銀行口座へ移動するお金がないのです。

銀行口座からポイントサイトへお金を移動するなんて機能もないので、不正なんてできません。

ポイントサイト×SMS認証の関係性

今では当たり前になりましたが、多くのポイントサイトで「SMS認証」「メール認証」が導入されています。

ポイントサイトの場合、登録する際フリーメールアドレスでも登録することができるので、例え「メール認証」が実施されていたとしても「私のメールアドレスこれだから」とポイントサイトに教えているだけなので、ポイントサイトに登録しているメールアドレス自体が乗っ取られている場合、そのメール内の受信履歴などから情報を得てポイントサイトへログインされてしまいます。

もしも、ポイントサイトから届くメールが受信拒否リストや迷惑メールに登録されいたら…不正ログインからのポイント換金をすぐに気づくというのは難しいでしょうね。

また、メールアドレス自体が乗っ取られていなくても、ポイントサイトのログインIDとパスワードが不正入手されている場合、あなたが設定した「秘密の質問」の答えさえ分かってしまえばメールアドレスを変更することができるので、ポイント交換を確定させるためのURLを犯人側のメールアドレスで受信することもできるでしょう。

しかし秘密の質問を「ペットの名前は？」といった質問を選択している場合、あなたのSNSが犯人にバレている場合ペットの名前なんかも分かってしまう可能性があるのです。

秘密の質問がクリアされてしまった場合、メールアドレスをあなたのものから犯人のものへ変更されてしまいます。

続いて「SMS認証」ですが、同一の電話番号を複数名に使用することはできないので一つのポイントサイトで不正利用を行う場合は犯人も複数の携帯電話番号を準備する必要があります。

ただ、犯人が複数の携帯電話番号の準備ができている場合あなたの、

• ポイントサイトのログインID
• ポイントサイトのパスワード
• 秘密の質問＆回答
• あなたの個人情報

が分かっていれば、【あなたのポイントサイトに勝手にログイン⇒秘密の質問に正解⇒犯人の携帯電話番号でSMS認証を済ませる⇒ポイント交換をする】ことができます。

不正利用する人がどれくらいの事を手間だと思って犯行から除外する対象になるのかは分かりませんが、「ログインID」と「パスワード」が第三者にバレてしまっている場合、最悪あなたのポイントも不正引き出しされる可能性はゼロではないと思います。

対策としては、

1. 秘密の質問＆回答をSNSなんかで自ら暴露しちゃっているような事ではなく、自分しか知らないものへ変更しましょう
2. 他ポイントサイトと同じログインID＆パスワードは利用しないようにしましょう
3. 交換できるだけのポイントが貯まったら、こまめに換金しましょう

【秘密の質問】だけが頼りなので、第三者に絶対に分からない自分だけの秘密を設定するようにしましょう!!

 ちょっと危険な交換先？

先程も説明しましたがポイントサイトの場合、ドコモ口座の不正引き出しのようにポイントサイトに登録していない人の個人情報を使ってアカウント作成をしてもポイントは「0」です。

つまり、すでにポイントサイトを利用している人のポイントサイトアカウントを乗っ取ることになるので、犯人側もやることは多いですが不正利用をやろうと思えばできるでしょう。

ただ、不正に入手したあなたの銀行口座を登録しても意味がないので、犯人が狙うとしたら登録メールアドレスを変更すれば受け取ることができるiTunesギフトカードのようなギフト券だと思うのですが、以下のポイント交換先も個人的には危険なんじゃないかなと思っています。

PayPayへの交換

モッピーでは、9月からPayPayへポイント交換できるようになったのですが、モッピーとPayPayの紐付け方法が、

1. モッピーのポイント交換ページからPayPayに移動
2. PayPayに登録した携帯電話番号とパスワードでログインする
3. モッピーを運営する株式会社セレスとPayPay決済を連携することを許可する
4. モッピーのポイント交換ページからポイント交換申請を行う
5. モッピーに登録しているメールアドレス宛に届いたメール内のURLを押す
6. モッピーからPayPayへチャージ完了!!

これって、ゆうちょ銀行×PayPayの問題と似たような感じで、

【モッピー側】

メール認証もSMS認証もしてるし、秘密の質問も設定してるし、本人確認はバッチリ!!

【PayPay側】

SMS認証もしてるし、本人確認はバッチリ!!

PayPayアカウントって、SMS認証さえすれば開設できてしまいます。

今回問題となったゆうちょ銀行など銀行口座を登録することで、銀行口座からPayPayへチャージすることが可能になったり、本人確認を済ませたということで「PayPay残高を出金」できるようになります。

ただし、モッピーで貯めたポイントをPayPayに交換する場合、PayPayに銀行口座を登録する必要はなく、モッピーからチャージされたPayPayボーナスですが、下記の図の「PayPay残高」に該当します。

交換可能ポイントは500円～10,000円相当なので、銀行口座のようにガッツリ不正引き出しできるわけではないですが、引き出し自体は可能なのではないかと思います。

モッピーをよく利用している人であれば、ポイントが減った、モッピーからメールが届かなくなったという変化に気づくと思うのですが、モッピーの利用を休憩している人の場合だとポイントが失効しない程度にしかモッピーサイトを訪問しないのでポイントを残したままにしている場合狙われても気づかない可能性が高いです。

もしも「秘密の質問」が突破されてしまった場合、ポイント交換時に登録メールアドレス宛に届く「キャッシュバック申請確認」というメール内のURLを押すことでポイント交換が完了するのですが、そのURL付のメールの送信先メールアドレスを変更することだってできます。

【秘密の質問突破→メールアドレス変更→ポイント交換完了】という流れ作業を阻止する仕組みになっているのかが気になりモッピー運営事務局へ問い合わせをしてみました。

「メールアドレスを変更した場合、変更後すぐにポイント交換は可能なの？」

モッピー)メールアドレスの変更が正常に完了している場合、すぐにポイント交換を行うことができます。

この回答を見て「ちょっと待って！」と正直思いました。

ポイントインカムの場合、

メールアドレスを変更、追加登録した場合、ポイント交換の申請まで72時間お待ちいただいております。

こちらは不正対策の強化に対する取組みのひとつとなりますので、何とぞご理解の上、ご了承くださいますようお願い申し上げます。

と説明されていたので、まさか問題なければすぐにポイント交換できるとは思ってもいませんでした。

ただモッピーで貯めたポイントをPayPayに交換する場合、【初回審査が必要な交換先です。初めてのポイント交換を行う場合、審査に一週間程度のお時間を要します】という記載がされているものの、私の場合はリアルタイムで交換することができたので、モッピーからPayPayへはじめての交換という意味ではなく、モッピーで貯めたポイントをはじめて交換する場合は初回審査として一週間かかるという意味なのか⁉(←モッピーに確認してみます)

もし、初めてのポイント交換が完了しているアカウントだった場合、第三者のPayPayアカウントへリアルタイムでチャージすることができてしまうということになるが大丈夫なのか？

もう一つ「電話認証に利用する電話番号ですが、前回携帯電話Aから認証をし、今回携帯電話Bから認証ってすることができますか？」と聞いてみたところ、

モッピー)過去に認証された電話番号と違う番号をご利用になりたい場合は、電話番号認証を求められた際に、ご希望の番号でお手続きください。

つまり、第三者がモッピーのポイントを不正交換しようと思った際に電話番号認証を求められても、本人以外の携帯電話でも認証できることになります。

ここまでモッピー×PayPayのポイント交換について検証してきましたが、累計会員数800万人以上とポイントサイト業界でもトップクラスの会員数の多さだからこそ、第三者が不正入手したログインID・パスワードと同じログインID・パスワードを使ってモッピーに登録している人がいる可能性も高くなります。

しかもポイントサイトは、コツコツと効率よく稼げるコンテンツを毎日利用する人もいれば、クレジットカード案件など広告利用から数ヵ月経過してからポイント付与されるものもあるので、ポイントが有効期限切れにならない程度に利用している人の場合、タイミング的にこのポイント付与に気づかず少しの期間放置する状態になっている人もいると思います。

そのようなポイントが第三者に狙われた場合、不正換金された事に気づくのは数カ月後なんてこともあるでしょう。

複数のサイトなどでIDとパスワードを同じ組み合わせにしている人は、要注意です！

SNSを検索すれば誰でも分かっちゃうような秘密の質問の回答を設定している人は、要注意です！

 お小遣いサイトの危険性を検証!!小遣い稼ぎ

PayPay(ペイペイ) の危険性と評判、テレビでは教えてくれない本当の話

  話題になった第1弾「100億円あげちゃうキャンペーン」では不正利用が発生したりと問題が多かった印象のPayPayですが、現在ではセキュリティ強化によって不正利用を防ぐ対策がしっかりされています。 銀行口座を持っていないという人でもセブン銀行A...

続きを見る

polletへの交換

Visaプリペイドカード「Pollet」には、誰でも1分で発行できるオンライン決済用の「Polletバーチャル」というものがあります。

この「Polletバーチャル」にポイントサイトで貯めたポイントをチャージすることも可能で、PayPayにPolletバーチャルを登録すると実店舗でも使えるのでネットショップ専用カードという縛りがなくなったので犯人としても利用しやすいのではないかと思いました。

Polletも銀行口座のようにガッツリ不正引き出しできるわけではないですが、引き出し自体は可能なのではないかと思います。

 お小遣いサイトの危険性を検証!!小遣い稼ぎ

ポレット(Pollet)の発行、メリット・デメリットについて

 ポイントサイトを利用している方であればポイント交換ページで一度は目にしたことがあるであろうVisaプリペイドカード「Pollet(ポレット)」についての検証記事となります。 ポイントサイト『ハピタス』の月3万円までというポイント交換上限を月30万円まで...

続きを見る

まとめ

ドコモ口座×ゆうちょ銀行のように、ゆうちょ銀行口座を持っている人でドコモ口座を開設していない人がすべて対象というほどの不正引き出しはポイントサイトでは無理ですが、ユーザーがコツコツと貯めたポイントを【メールアドレス自体を乗っ取ってポイント交換する】【不正に入手したログインID・パスワードでポイント交換する】という方法で盗むなんて本当に腹が立ちます。

PayPayとPolletに関しても、銀行口座からの不正利用には注意を払っていますが、ポイント交換に関しては大きな被害額にならないという認識からかどこか穴があるように個人的に思ったので例として紹介させてもらいました。

運営の方が読んだら「大丈夫です。ちゃんと対策してます」と言われるかもしれませんが…。

ただ、個人でも対策できることはあるので面倒くさいと思うくらいのセキュリティを設定し、自分のお金は自分で守るようにしましょう！

 お小遣いサイトの危険性を検証!!小遣い稼ぎ

pringは不正利用されないように対策されてる⁉本人確認に危険性はないのか検証

 スマホ決済サービスって使ってますか？ 使ってる、興味はあるけど使ってない、危険そうだから使わない、などいろいろな意見があると思います。 スマホ決済サービスを利用すると【スマホ決済に銀行口座を紐付ける】ことができ簡単にお金の移動(チャー...

続きを見る