※ 当サイトではアフィリエイト広告を利用しています

ラクマ不正ログインからのアカウント乗っ取り、不正送金被害から返金までの詳細公開

スポンサーリンク

ラクマでアカウント乗っ取り、不正送金の被害にあってしまいました。被害額は売上金の2万円弱です。twitterで検索すると多くの方が被害にあわれているみたいなので、解決までを記事にして皆様に共有できればと考えています。

ラクマユーザーは狙い撃ちされている気がするので、まだ被害にあわれていない方もパスワード使いまわしを避けるなどの対策をされることを強くお勧めします。

私の被害状況と解決状況としては、以下です。

不正ログイン:解決済
不正送金:解決済
私自身、不正アクセス者の口座に売上金の振込完了してしまいましたが、全額補償されたので、同様の被害に遭われた方も補償される可能性が高く、その点は安心材料になると思います。

不正ログイン被害(アカウント乗っ取り)について

私は不正ログインの検知アラートが飛んでいたにも関わらず、すぐに気付くことができなかったため、被害にあってしまいました。

不正ログインをされた日

2019年10月4日にアプリから不正ログインされました。このタイミングで気づいてパスワード変更などの処置をしておけばよかったのですが、メールを見ておらず気づくことができませんでした。

そして、その翌日の2019年10月5日に再度不正ログインされました。この後、不正ログインのメールが来なくなったので、登録メールアドレスを変更され、乗っ取られてしまいました。

乗っ取られるとどうなるのか

ログイン不可

アカウントが乗っ取られてしまっため、登録したメールアドレス、パスワードでのログインが不可になります。私は楽天IDでの連携をしていたため、楽天IDでログインができました。アカウント乗っ取りを受けていても、この方法でならログインが可能です。

楽天IDは一度連携すると解除ができないので、アカウント乗っ取りを受けてもログインすることができます。

個人情報流出

ログインができるということは、登録している氏名、電話番号、住所、銀行口座、メールアドレス、パスワードなどの個人情報が流出してしまいます。

メールアドレス

以下のような不規則なメールアドレスに変更されていました。パスワードが変更されているため、自力で登録メールアドレスを変更してアカウントを取り戻すことができません。

氏名、電話番号、住所

連絡先・住所の設定画面から個人情報がすべて流出しました。氏名のカナ部分は振込先氏名と一致させるために氏名を変更されていました。他の情報は私がログイン後に適当なものに変更しました。

銀行口座

振込先口座も見られたうえで不正送金される口座に変更されていました。

不正送金被害について

2回目の不正ログインをされた日のうちに売上金の振込申請をされてしまいました。明らかにおかしい氏名ですが、「振込口座」と「ラクマ」の氏名カナが一致していたため出金されてしまったようです。

ただ、私がラクマに問い合わせる前にラクマ側でも不正を検知したのか不正送金が完了した翌日には、取引が制限されていました。これにより楽天のポイントを消費されての商品購入などは避けることができたと思います。ここはラクマに感謝です。

制限されると以下緑枠のように「本人確認のお願い」が表示されています。

この状態で商品を購入しようとしても以下のような画面で取引ができません。

取引制限中の本人確認書類提出の注意点

取引制限中、本人確認書類の提出を求められますが、ラクマ運営から直接指示があるまでは本人確認書類を提出しないことをオススメします。
(アプリ上の本人確認書類提出指示はシステム的に自動出力していると思うので、無視して、メールでやり取りしている際にラクマから直接指示があるまで)

というのも、私と同様の不正ログイン被害の方が、本人確認書類を提出してしまったが故に、振込制限されていたものが解除され、不正口座に振込完了してしまったとのことです。

・事象
①不正ログイン者により、振込依頼をするが、振込をラクマ側が制限。本人確認書類を求める。
②被害者が本人確認書類を提出。本人確認書類の氏名と振込先氏名は不一致。
振込完了。。
振込先氏名と本人確認書類の氏名が異なるため、振込制限のままと想定していたが、まさかの振込完了となったようです。
これが事実ならラクマ側の本人確認はかなりずさんな気がします。私が実際に体験したものではありませんので、参考情報程度の記載ですが、本人確認書類提出時には十分注意いただければと思います。

ラクマへの問い合わせ

ラクマに問い合わせをして、アカウントおよび売上金の返金があるまでを説明していきたいと思います。

アカウントを取り戻すまで

不正送金が完了した翌日の2019年10月8日にラクマに問い合わせをしました。アプリにログインできたので、アプリ側から問い合わせてもよいのですが、その場合は乗っ取った人も問い合わせ内容を確認できてしまうと思い、問い合わせ先「support@fril.jp」に直接メールをしました。

なお、ラクマは問い合わせ先に電話番号を公開していないので、どんなに緊急であってもメールでの問い合わせしかありません。

まず、10月8日18時過ぎに以下趣旨のメールを送信しました。

①アカウント乗っ取りされているため、連携済楽天IDと同じメールアドレスに変更し、パスワードの初期化)
②不正送金された売上金がどうなるのか
③二次被害防止のために楽天IDとの連係解除

そして、10月10日16時前にラクマから以下のメールが来ました。内容としては、パスワードを初期化し、詳細を登録済メールアドレスに連絡した旨の内容です。

残念ながら私の問い合わせの②以外は無視され、定型文の返信です。そして、登録済パスワードは乗っ取った人のメールアドレスなので私は確認できません。。

至急対応してほしい内容にも関わらず、回答に2日かかり、問題の解決しない定型文回答は非常に残念でした。

そのため、再度メールアドレスを初期化してほしい旨のメールを送りました。


その日のうちに回答が貰え、問い合わせメールアドレスにアカウントの変更をしてもらうことができました。この結果、アカウントを取り戻すことができました。

しかし、楽天IDとの連携解除依頼は無視されました。ラクマは、かなり定型化された事務的な回答という印象を受けます。

不正送金された売上金が返金されるまで

アカウントを取り戻してから1か月以上、何度かラクマにメールをしましたが何も返信がない状態が続きました。そして、2019年11月29日に以下のメールがラクマから来ました。

上記のメールからわかる通り、以下の3つをやることで不正に出金された売上金は全て返金して貰えます!

①パスワードの変更
②登録メールアドレスの変更
③本人確認
2019年11月30日に上記全ての対応を行ったところ、本人確認に結構時間がかかりましたが、2019年12月10日に以下のメールが再度来ました。


振込手数料210円は返ってこないのかなと思っていたのですが、手数料分も含めて全額返金されるようです。そして、ついに2019年12月13日にラクマからの振込が完了しました。


上記のことから、同様の被害に遭われた皆様も返金して貰える可能性が高いです。

不正ログインの損失をラクマが保障してくれる理由

ラクマの会員規約を見てみました。以下赤枠の記載を見ると、「パスワードの管理不十分での不正アクセスによる損害は利用者が負うもの」とするという記載があります。

ラクマ側の過失がない場合は売上金の保障は難しいのかなという印象を持ちましたが、セキュリティ面などで過失があったのか、被害者が多いからなのか、何とか補償してくれるようです。

ちなみに、同じフリマアプリのメルカリの会員規約をみると、同様の記載がありましたので、ラクマだけが利用者に厳しい規約ではなさそうです。

※解決したので、以下の考察は打ち消し線扱いにします。

今回の論点は以下だと思います。

①「アカウント情報の管理不十分」が何を指すのか
②ラクマ側で不正出金を検知できたにもかかわらず、振込完了した点をどう捉えるか

①「アカウント情報の管理不十分」が何を指すのか

twitter検索で見る限りだと非常に多くの方が不正アクセスされています。そのため、ユーザー側の管理不十分というよりもラクマ側のセキュリティの仕組み面に脆弱性があるのではないかと思います。

②ラクマ側で不正出金を検知できたにもかかわらず、振込完了した点をどう捉えるか

振込完了後、ラクマ側で取引制限をかけてくれたということは、何らかの検知する手段を持っていたのだと思います。また、楽天IDと連携していることから、その氏名と不一致である氏名に簡単に変更できる点は仕組み上どうなのかなとも思いました。

こういった点から売上金の保障をしてもらえたらありがたいなと思います。あくまで希望的観測ですが、、、

まとめ

結構ダラダラと書いてしまったので、今回の事象を時系列で整理すると以下です。

2019年10月4日:不正ログイン
2019年10月5日:再度不正ログイン、不正送金依頼
2019年10月7日:不正送金完了
2019年10月8日:ラクマ側で取引制限、不正ログイン・送金に私が気づき問い合わせ
2019年10月10日:ラクマから回答。アカウント取り戻す
2019年11月29日:不正送金された売上金を全額返金する旨の連絡あり
2019年12月13日:不正送金された売上金が全額返金される

不正ログイン、不正送金から2か月ちょっとでようやく全ての問題が解決しました。

今回の経験を受けてラクマユーザーにお伝えしたいことをまとめました。

不正ログイン被害に合われていない方

twitterで検索するとかなりの方が被害にあわれています。以下2点を心がけることで被害は防げますので、是非参考にしていただければと思います。

①パスワードのセキュリティ強化
ログインパスワードは使いまわしたものではなく、複雑なものにしてください。
②ラクマ登録メールアドレスのメールは1日1回見る

不正ログインされると検知のメールが飛びます。これに検知できれば、不正ログインされても不正送金などの被害を防げる可能性が高いです。1日1回はメールを確認することをお勧めします。

不正ログイン被害に合われた方

二次被害を防ぐためにも以下の対応をオススメします。

①楽天ID等でログインできないか確認
メールアドレスとパスワードが変更されてログインできない方は、楽天IDなどと連携していれば、そちらからログインできます。
②住所情報などをデタラメに変更
ログインしたら住所情報などは一度スクリーンショットを取ったうえで、デタラメなものに変更してください。
③すぐにラクマへ問い合わせ

IDだけは比較的早く取り戻すことができると思います。
④ラクマ運営から直接指示があるまで本人確認はしない
本人確認をしたことで不正送金などが完了してしまう可能性があるので、ラクマ運営からメールで直接指示があるまでは本人確認をしないことをオススメします。
⑤パスワードを使いまわしている場合は他のサイトのパスワードも変更
他サイトでも不正ログインされてしまう可能性があるため、すぐに変更をしてください。

不正ログインや不正送金に合ってどうすればよいのかわからない方などの参考になれば幸いです。

ラクマ以外のフリマアプリを利用するなら

なお、ラクマの不正ログインの件を受けて別のフリマアプリを利用するなら、やはりメルカリが一番よいと思います。メルカリの不正ログインはtwitterで検索する限り、発生件数は極めて少ないですし、メルカリの利用規約はラクマとほぼ同様でしたが、メルカリが提供しているメルペイは不正利用された場合に、メルカリが補償する旨の記載があり、不正アクセスに積極的に対応していこうという姿勢が見られます。

メルカリを利用する場合のお得情報

メルカリを利用する場合にお得情報があるので、以下に記載します。

一度も使用されていない方

インストール時に「PPQDJA」と登録いただければ、500円分のポイントがゲットできます。さらにこの後記載する「すすメルペイ」のキャンペーンを利用すれば、合計1,500円分のポイントがゲットできます。

利用中だが本人確認が完了していない方

現在、すすメルペイのキャンペーンを実施しており、招待コード「PPQDJA」を入力し、本人確認を完了することで1000円分のポイントが貰えます。本人確認をしておけば、不正送金時などにも役立つと思うので、まだ本人確認されていない方は、このタイミングですることをオススメします。

・キャンペーン画面

・招待コード入力画面

獲得したポイントの使い道

獲得したポイントは、メルカリ上でも使用できるし、コンビニ、スーパー、ドラッグストアどこでも利用できるので超おトクです。

また、以下のような実質11円分のポイントで211円分のミスタードーナツが買えるクーポンが頻繁に配布されるので、無料ポイントの使い道はたくさんあります。

ラクマ以外のフリマアプリを利用する場合の参考になれば幸いです。

以上
スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

よかったらフォローしてください

スポンサーリンク
スポンサーリンク