【被害総額80万】ラクマ不正アクセスによる売上金不正送金被害に遭いました【悲報】
こんにちはあきばです。
久々に私かなり怒ってます。
100記事目ということもあり、ポジティブな内容の記事を書こうと思っておりましたが、ラクマの不正アクセスについて被害に遭いましたので、今後被害者を出さないためにも最優先して状況についてお伝えします。
ラクマ売上金を不正出金された経緯について
10月11日:第三者による不審なアクセスを検知。
ラクマカスタマーセンターから以下のメールが届きました。
<メール本文>
いつもご利用いただきましてありがとうございます。
新ラクマカスタマーサポートでございます。
下記時刻にウェブブラウザでお客さまのアカウントにログインが行われましたので通知いたします。
ログイン時刻:
2019年10月11日 18時59分
ログインを試みた端末:
Windows
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36
メールを確認し、すぐにアプリ上からパスワードを変更。
特にこのときには取引状況には変わりなく、深く考えず放置しておりました。
10月13日:顧客対応のためアプリを立ち上げしたところ、覚えのない出金申請があり、口座名義やアカウント情報が全て第三者の情報に書き換えられる。
第三者は外国籍のものであり、現在取引中の商品は全て「発送通知」がされている状態。
ラクマ不正アクセスで勝手に売上金を申請されてる😭
— あきば@ 副業の人 (@reversal88) October 13, 2019
金額が少額だったのが救いやけど、アドレスもパスワードも名義も全部変えられてて、どうする事も出来ない。
こうなってからでは遅いのでセキュリティ対策はしっかりしておきましょう。 pic.twitter.com/ygIHsGtDi2
(1)ラクマへの連絡
メールアドレスも変更されてしまっているため、こちらからパスワードを変更することができず、第三者がブラウザ上でログインして好き勝手できてしまう状態です。
売上金の不正送金自体は約7万円程度ですが、商品発送前の取引進行中の商品が合計80万円近くあり、お客様が間違えて「受取評価」されると被害金額が大きくなる可能性もありました。
以上緊急を要する状況であることをラクマ事務局へメールにて報告。
一応ラクマの電話番号もあるようですが、個別での対応はメール以外の対応不可みたいです。
↓一応電話番号記載しておきます。
050-5578-4710
(2)警察へ被害届の提出
今後、訴訟等の法対応が必要になる可能性も考えて最寄りの警察署へ届け出を行いました。腑に落ちない話ですがこのケースの被害者は法律上ラクマになるそうで、残念ながら被害届は受理されませんでした。その代わりに警察へ相談したことを証明する相談番号を後日取得することができました。
しかしながら警察に相談したとしても、直接的な解決になることはまずありません。
客観的に誰が見ても、不正送金で犯罪であるにも関わらず、警察が介入できないというのは腑に落ちない話ですね。
(3)金融機関への連絡
ダメ元ですが、振込先のゆうちょ銀行へ振込停止してもらえないか相談しました。
結果的に振込元であるラクマからの連絡が必要であるとのこと。
(当然といえば当然ですが・・)
しかし何故か後日別担当者からこの件の詳細を教えて欲しいと連絡がありました。
現在私以外にもラクマの不正送金が増えているため、金融機関側でも動いているのかもしれません。
10月14日:ラクマから調査すると一報
問い合わせ翌日以下のテンプレ的なメールがありました。
<ラクマからの返信メール>
ご連絡いただきましてありがとうございます。
ラクマカスタマーサポートでございます。
この度はご利用アカウントにて不審な挙動が確認されたとのこと、ご不安な状況と存じます。
お寄せいただいた情報をもとに担当部署にて調査をすすめております。
調査が終了しましたら、ご案内を差し上げますので、今しばらくお待ちください。
なお、利用者保護および不正利用防止の観点から、一時的に一部機能のご利用を制限しております。
何卒ご了承ください。
恐れ入りますが、よろしくお願いいたします。
振込スケジュール表通りにいくと不正な出金申請の振込日は10月14日の予定でした。
不安ではありますが、出金を止めることができたかを確認する術もなく、ラクマの連絡を待つしかありません。
【二次災害発生】商品未着の苦情の嵐
2〜3日で返信があると思って高を括っておりましたが、待てども待てども返事は来ず本日ブログ執筆時点で10日が経過しました。
私の場合は大半がリピーターからの購入なので、連絡先も把握されており、商品が届かないという苦情が殺到しました。
総額約80万円、20人以上の商品を発送する予定でした。
ほとんどのお客様は発送期日を一週間以上経過してしまっている状況です。
事情を伝えるとほとんどのお客様は理解していただくことができましたが、ラクマを通してメッセージをされているお客様には返事をする手段もなく、新規の注文やコメントも完全に放置することになります。
現在このアカウントでは1000以上の取引実績で悪い評価はほぼありません。
不正に出金されてしまったことも痛手ですが、お客様からの信頼を失ったことは何よりも痛手です。
このことについても、ラクマ事務局へ何度もメールを送りました。
・調査の進捗状況はどうなっているのか?
・振込を阻止できたかだけでも教えてくれないか?
・現在の取引中のお客様の対応はどうすべきか?
・時間がかかるならラクマから一旦キャンセルするように伝えられないか?
メールは全てスルーされました。
ラクマの公式TwitterからもDMしてみましたが既読はつかず返事もなし。
セキュリティの脆弱性とラクマヘの不信感
どんな経由でパスワードが漏洩されて不正アクセスされてしまったのかは分かりませんが、そもそもラクマ側のセキュリティってガバガバです。
まず、不正アクセスを検知した段階でメールしてくれるのは良いですが、その時点でパスワードを変更したとしても、既に第三者はログインできてしまっており、好き勝手出来る状態な訳で、意味なくね?って話です。
しかも、パスワードだけを変えても、メールアドレスが第三者のものに変更されてしまっている場合、パスワードのリセットができてしまうので全く意味ありません。
不正アクセスの時点でアドレスが変更されていることにすぐに気づき、アドレスも合わせて変更できていたら状況は少しましだったかもしれません。
また、一番意味不明なのは、本人確認書類まで提出しているのにも関わらず、登録名義や口座名義を二段階認証もなく変更できる点です。
これには流石にあきれました。
なんのための本人確認意味なん?(笑)って話ですよ。
正しくはラクマでは50001円以上の販売する場合に本人確認物の必要になるのですが、登録名義と口座名義さえ一致させれば、誰の口座でも送金できてしまうというのは詐欺の片棒を担いでいるといっても過言ではありません。
しかも二段階認証もないのでマネーロンダリングし放題。犯罪収益移転防止法的に大丈夫なんでしょうか。
セキュリティが脆弱なだけでなく、10日以上も進捗の連絡もせず、放置することも企業の姿勢としていかがなものでしょうか。
ラクマ撤退も検討します
手数料も安く、メルカリよりユーザーの民度が高い(個人的に)ラクマは販売者としては最高のプラットフォームでした。
複数のアカウントで月200万円以上の売上があり、ラクマのセラーの中ではかなり上位に入るのではないかと思います。
しかしながら、このような脆弱なセキュリティや杜撰な対応をされては今後継続するかどうかを真剣に迷うところです。
また進展があれば報告しますが、ラクマユーザーの皆さま、パスワード等の個人情報は推測されにくいものにすぐに変更した方が良いですよ。
Twitterの情報拡散
ここ最近一気に被害が急増しているみたいですのでTwitterでも不正送金についてのツイートがちらほら。
ラクマの不正ログインによる売上金搾取、ポイント利用が起こっているようです。
— ゾイサイト王子 (@moto1000y) October 22, 2019
知人が20万円以上被害に遭っています。
ラクマアカウントを持ってる人は不正利用されていないか確認することをすすめます。
ラクマ不正ログインされてびっくりしてるんだけど、ツイッターで検索してみたら最近被害が多発してるし全員同じ端末から不正ログインされてて怖…私はちょうど売上金申請中で残高0だったから勝手に別の口座に振り込まれることもなくアカウントも乗っ取られずに済んだけどセキュリティどうなってるの… pic.twitter.com/CekInptYEv
— ? (@0o0o88x) October 15, 2019
ラクマ不正ログイン不正送金
— 【公式】カツオ。魔王 (@katsuosedo) October 23, 2019
まだ広がると思います
ご注意下さい
犯罪だって情報戦ですから
ラクマが狙いやすい状態にある事を知っているのでしょう
今自分で出来る防衛を迅速に pic.twitter.com/iuEgKvzoel
追伸:50万円出勤しておいて本当によかった・・。