APPLE COM BILL という項目がクレジットカード利用明細に(驚)
使った覚えはないし履歴にも無い。Apple に聞いても分かりませんと言う。不正利用に間違いなさそう。正月だというのに。(泣)
同じクレジットカードを 30 年以上使い続けているけど、こういうことは初めて。どこでカード情報が漏れたんだろう?
2022/1/8 追記
その後どうなったのかを備忘録として書いておきます。
上の利用明細が届いた時点ではクレジットカード会社のサポートは正月休みに入っていて、紛失・盗難のためカードを停止するサービスしか動いてなかったです。そこに聞いてみると、自分が使っているカード会社の場合は利用明細等を調べることはできず(複数の会社から業務委託を受けている?)、カードを停止する以上のことはできないとのこと。
いきなり停止するのも何だったので、その前に Apple の方で確認できないか調べてみました。APPLE COM BILL をキーワードにググってみると、請求明細に「apple.com/bill」と表示されている場合という Apple サポートのページがヒットします。
それを見るとまず Apple ID でサインインして履歴を確認せよとのこと。自分の Apple ID は数年使ってなかったのですがまだ有効だったようで、2 要素認証の設定をしろとか言われましたが、設定してログインできました。
サポートページにある「1. 購入履歴を確認するため、reportaproblem.apple.com にアクセスします。」のリンクをクリックしてサインインし、購入履歴を確認しましたがやはり履歴はありません。
サポートページの下の方に「reportaproblem.apple.com と領収書メールを調べてもなお請求内容の確認ができない場合は、Apple サポートにお問い合わせください。」と書いてあるので、それのリンクをクリックして案内に従って先に進むと Apple サポートから電話をもらえるようにできます。
で、電話をもらえるように設定したらすぐに Apple サポートから電話がかかってきました。履歴に無いことは説明していろいろ聞いたのですが、クレジットカード番号が分からないと調べようがないと言われました。こういう状況で有効なクレジットカードの番号を電話でどこの誰だか分からない人に伝えるのもアレなので、その日はそこで調査中止。
翌日再度クレジットカードのサービスに電話してカードを停止してもらいました。昨日購入履歴はないと分かった時点で即停止しておくべきだったかもしれません。
そして、再度 Apple サポートから電話をもらって昨日のことを話し、クレジットカード番号を連絡して調査を依頼しました・・・が、やっぱりわかりませんと言う。(涙)
Apple のサポートにいろいろ聞いて思ったのですが、一番可能性の高いのは、カード情報がどこかで漏れて、カード情報を不正に入手した誰かが、その誰かの Apple アカウントに私のクレジットカード情報を登録し、注文したということです。
Apple のサポートはクレジットカード会社に聞いてくださいとのこと。Apple と話して確認してもらったことをクレジットカード会社に話せば対応が違うというような意味のことを言ってました。
ということで、Apple のサポートとそれ以上話しても仕方がなさそうなので、休み明けにクレジットカード会社のサポートに連絡して調べてもらうことにしました。
ここまでは上の記事を書いた 1 月 2 日時点での状況です。
クレジットカード会社のサポートは 1 月 4 日から業務が始まったのですが、こちらから電話をするまでもなく当日の朝クレジットカード社の方から電話がかかってきました。
Apple サポートとの話など色々伝えると、別の担当が調査して連絡するとのこと。専門の担当者が Apple と話したりしてどう対応できるか調べるのであろうと想像しました。
しばらくすると、別の担当者から連絡があって、APPLE COM BILL の分の銀行口座からの引き落としは止められないが、後で口座に返金されるとのこと。そのための書類を書いてもらう必要があるので送付するとのことでした。
以上が本日 1 月 8 日までの状況です。処置が完了したらまた追記する予定です。
2022/1/20 追記
結局 APPLE COM BILL の 55,500 円はクレジットカードの不正利用と認めてもらえてカード会社から返金してもらえました。
上に書いたように、返金のための書類を書いてもらう必要があるのでカード会社より送付するとのことでしたが、その書類を 1 月 11 日に受領。
それは CARDHOLDER'S DISPUTE FORM という書類で、カード会社に対して (1) APPLE COM BILL の請求についてカード利用を了承してないこと、(2) カードは紛失・盗難にはあっておらずカードは常に自分が所持していたこと、(3) APPLE COM BILL からはいかなる商品もサービスも受け取っていないという理由で、請求に異議を申し立てるというものです。
その書類に記入して 1 月 11 日にクレジットカード会社に送付。1 月 18 日にクレジットカード会社から 1 月 20 日に返金することになったとのメールが届きました。
本日 1 月 20 日に銀行口座を確認すると確かに返金されていました。これで上の画像の 1 月請求分については解決です。
ただ、不正利用はバレないように何度かに分けるという話があるので、カードを停止する前にまた使われた可能性もあり、まだ安心はできない状況です。
2022/2/1 追記
AKB48 のチケットセンターから以下のメールが届きました。調べてみると 2021 年 7 月から 11 月の間に 9 回も AKB48 劇場公演のチケット購入をクレジットカード決済しています。
ということは、諸悪の根源はメタップスペイメントというクレジット決済サービス会社の情報漏洩だった可能性が大、と言うよりそれ以外考えられません。
この会社から 2022 年 1 月 25 日付で「不正アクセスに関するご報告とお詫び」という通知が出ています。遅すぎるんじゃないですか。(怒)
社長がなんか偉そうなことを言ってる Twitter の PR 記事(下はそのスクリーンショット)を目にしましたけど、情報漏洩するような会社の代表が何言ってるのって感じ。
「賢人論」だそうですが、賢人って誰のことを言っているのでしょう? まさか、情報漏洩でクレジット決済の信用を地に落としたカード決済会社の社長のことではないですよね?
2022/2/2 追記
AKB48 チケットセンターからのメールに従ってメタックスペイメントの窓口に電話したら調査が終わる 2 月中旬まで何も言えないと。わざわざ電話したのにそんな答えは誰も聞きたくないと思うぞ。
メタックスペイメントの HP を見ると「エンドユーザー様から加盟店様にお問合せが入った際は、上記窓口のご案内をお願いいたします。エンドユーザー様に弊社からご案内させていただきます」と書いてある。おそらく AKB48 チケットセンターはその通りに案内したんだろうけど、関係者の皆さんちょっと不誠実すぎやしませんか?
たぶん、メタックスペイメントから加盟店へは「トークン方式により加盟店にはクレジットカード情報は渡されないから安全」なんてセールストークがあったんじゃないかと想像。でも、クレジットカード情報が渡されるメタックスペイメントから情報漏洩があったら話にならないじゃないですか?
そもそも、エンドユーザーはメタックスペイメントなんて言うどこの馬の骨かもわからんところに自分のクレジットカード情報が渡されるなんて了承してないはず。少なくとも自分は AKB48 チケットセンターとのクレジットカード決済でそんなことを了承した覚えはないんだけど。(怒)
2022/2/28 追記
AKB48 チケットセンター(以下「チケセン」と書きます)からメタップスペイメントの情報漏洩に関するメールを受領。損害の補償については書いてないですが、メタップスペイメント&クレジットカード会社と相談しろということのようです。チケセンが直接客に対して損害の補償をする気はなさそうな感じです。
メールには "不正に取得された件数・個別のカード情報が特定されなかった" と書いてあります。「特定されなかった」=「分からなかった」=「メタップスペイメントの管理がオソマツで漏れ放題だった」ということかも。
今後 AKB48 関係はクレジットカード決済はしないつもりなので、AKB48 関係でクレジットカード情報漏洩による損害を被ることはないはずですが、メタップスペイメントの加盟店はチケセンの他に多数あるのが問題。また、メタックスペイメントの他にもクレジットカード決済サービス会社は多々あるようで同じようなお粗末なセキュリティ対応かもしれないのも問題。
今までチケセンの他にもクレジットカード決済は多々行ってきたのですが、同様にどこの馬の骨ともわからぬ決済会社に自分のクレジットカード情報が渡されていたということがあったんだろうなぁ(汗) 有効な対応策は何だろう?
・・・などと考えていたら、メタップスペイメントからもメールを受領。クレジットカード会社と相談しろと。クレジットカードの再発行手数料は負担するとのことですが、それ以外は知らんとでも言うつもりかな?
メールに URL が貼られている「弊社WEBサイト」を見ると流出情報はカード番号、有効期限、セキュリティコードで最大 460,395 件と書いてありますが信用できるのでしょうか? "弊社にて実際に流出した情報を特定することはできず" と書いてあるのに?
同じ「弊社WEBサイト」に "現時点におきましては、各事項の防止や排除等の対策は完了しております" と書いてありますが、以前は不正アクセス、SQL インジェクション、バックドア等に対するセキュリティ対策といったごく基本的なこともされてなくて情報漏洩に至ったということ?
親会社のメタップスの Twitter に「多分動くと思うからリリースしようぜ!」とか書いてあるのを目にしたけど、クレジットカード決済サービスもそのノリでリリースしたのかしら?
どのデータベースにどういう情報がどのような形で保存されているかを知る従業員から漏れた可能性も大きそうだけど、まさかそれを隠しているってことはないよね。
情報漏洩でクレジットカード決済の信用を地に落としたカード決済会社が今後社会的責任を果たすにはどうすべきかを考えているんだろうか?