Archive for the 'セキュリティ' Category

PayPal への不正利用申告その後

前回の報告で、その後の経過を書かないのもすっきりしないので追加報告。
あんた(PayPal)の指摘通り不正利用されまったよ、と連絡してだいたい1週間くらい過ぎた頃。「オッケー、貴殿の申請を受理した」とかメールがようやっと到着。
その翌日には「相手(支払い先)との交渉が完了した、被害分はリターンするので待たれよ」という処理完了メールが届いていた。
これをもって一連の騒動は完結をみる。

不正利用された分の払い込みは、ペイバックされるそうな。
PayPalストックであればそこに帰ってくるし、クレジットカード支払いであったらクレジットカード会社経由で返すとかいう話になっている。まあ、今回はPayPalストックだったので面倒が無くて良い。



PeyPal のアカウントが不正利用されたらしい

寝て起きたら PayPal からメールが届いていた。
曰く、「貴殿のアカウントが不正利用された疑いがある故アカウントの一時ロックを行った、状況を確認されたし」とか。一緒に届いていたPayPal送金伝票メールをみると確かに覚えの無い内容ではある。”The Lord of the Rings Online” に 14.99ユーロを送金しているのだが、そんなオンラインゲーはやっていないし。
クレジットカードの不正利用は出会ったことがないのだけれども、こういった本人以外の利用なんじゃね?と思われる取引を感知してくれるシステムってのはどういうふうになっているんだろうね。かなり迅速な様だし。

さて、こんなとき PayPal ではどの様に扱われるのかというお話。
今回は PayPal 側で不正利用を感知してアカウントの一時制限を行ってくれたので、その時点でアカウントにてログインできなくなる。そのロック状態を解除するために、主に本人であることを証明する 3つのアクションをとらないとならない。
1つが、クレジットカード番号もしくは振込先銀行口座番号の再入力。WEB上だと確認のために末尾が表示されるだけなので、すべての番号を知っているということで本人を確認しようということですな。
2つめが、パスワードの変更手続き。旧パスワードを知っているということもさることながら、不正利用が原因だった場合再発を防ぐという意味でここでパスワードを変えさせられる。順当。
ここまでやると、PayPalアカウントにログインすることが可能になり利用の再開が可能になる。アカウント情報を一通り確認して、以前と代わりがない事を確認していく。振込先銀行が不正に追加されてはいないかとかそんなあたり。
で、3番目の本人証明だけれども、これには少々時間がかかる。今回のアカウント解除手続きにより PayPal からクレジットカード口座に少額の請求が届くことになる。いくらだったかは忘れたけれども 1ドルとかそんなだったはず。で、その引き落としの概要にIDがかかれているので、それを PayPal に入力することで支払者本人であることを証明する。証明完了したら、その確認のための少額請求は返金されるという仕組み。

かようにして再びアカウントが利用できるようになったら、問題の元となる不正利用取引について報告をする。
まあ 15ユーロ程度だから勉強代として、とあきらめてしまいたくなるところだけれどもめんどくさがらずに報告手続き。誰の管理が悪かったのかとかそいったことも置いといて起きた事象を報告しておくのは必要なこと。
最近の取引記録から、問題の取引の詳細情報を表示。「固有の取引ID番号」というのがあるので、それをメモして「問題解決センター」とあるリンクへ飛んでいく。問題解決センターなるところで「わしゃこんな利用をしたことがない、知らん」と申告していく。当然ながら、本人もしくは家族などが行った正しい取引について不満申し立てをすると問題となるので、間違いないよねというのが強めの警告で確認される次第。

まあ今回の事例で誰が悪かったのかというと、私のパスワードが弱かったということなんですがね。
ランダム文字列 8文字という感じで、昨今では強度的に怪しくなってきたのでより強いパスフレーズに少しずつ移行していたところだったのですが。まあそれよりも問題なのは、パスワード強度よりも同じパスワードを何カ所かで使っていたというあたりかと。どっかでもれたと考えるのが妥当。重要度の高いところはパスワードを分けるべきだったのだけれども、PayPal は汎用パスワードを使ってしまっていたので反省。まあ、すでにパスワードを変えてあるわけだけれども。

それよりも、パスワード依存社会というのは正しいのだろうか。
都度パスワードを設定して覚えるのは色々とめんどくさいのだが、OpenID はその福音になりうるのだろうか。

個人的には不正利用先がオンラインゲームの支払いというあたりが興味深かった。




You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.