年末から似たような事例を2件聞いたので、注意喚起の意味も込めてエントリを書きます。全ての情報を正確に把握しているわけではないため、一部不正確な情報が含まれている可能性がある点はご了承ください。

友人から、
「Google Playから、身に覚えの無い利用明細メールが届いているんだけど」
という相談を受けました。利用明細のメールは中国語で書かれていて、そのようなアプリを利用したことも無いとのこと。

これまでであれば、「フィッシングメールかな？」と考えてしまいがちですが、一点気になるのは「Googleの利用履歴にも記録されている」とのこと。「それって不正使用されているのでは？」と思って質問してみると、

・Google Playにクレジットカードを登録したことはない
・アカウントを確認してみると、知らないクレジットカードが登録されている
・登録されているカード番号の下4桁に該当するクレジットカードは持っていない

とのこと。つまり、友人自身のクレジットカードが不正使用されているのではなくて、第三者のクレジットカードの不正使用の踏み台にされているということです。おそらく、攻撃手法としては下記のようなものでしょう。

1. 他サイトから入手したアカウントリストを利用して、友人のGoogleアカウントに不正ログイン
2. 漏洩したクレジットカード番号を、友人のGoogle Playに登録
3. 攻撃グループが配布しているアプリやアイテムを購入

このようにして、知らない間にクレジットカード不正使用の犯人に仕立て上げられました。まあ、不正使用をしたわけではないため逮捕されることはないと思いますが、あまり気分の良いものではありませんよね。（ちなみに、うっかりであっても、そのカード情報で買物をしてしまうと犯罪です。）

しかし、この事例の厄介なところはいくつかあります。

本人のクレジットカードが不正使用されたのであれば、カード会社に連絡してカードを止めてもらうことができます。ところが、アカウント画面上にはクレジットカード番号の下4桁しか表示されないためカード番号がわかりません。カードブランドはわかりますが、どこの会社が発行しているカードかもわかりません。犯罪に使われていることを知っているにも関わらず、それを通報する方法がないのです。

もうひとつは、不正使用に気付いたとしても、自分自身に金銭的損害が発生しないため、「面倒だから放置でいいかなぁ」と考えてしまうということです。この結果、不正使用の機会を広げてしまうことになり、攻撃グループが金銭を入手する機会も広がってしまいます。友人はGoogleのサポートに電話しても対応してもらえず、メールで問合せているようですが、多くの人は電話でダメだった時点で諦めてしまいますよね。自分に損害が発生するわけではないから。むしろ電話すらしない人のほうが多数派かも。

10年くらい前には、ウイルスに感染したパソコンが、サービス拒否攻撃の踏み台に使われるという事例が多発していました。当時、「自分が被害を受けるわけではないから」という理由から、ウイルス対策に積極的に取り組まない利用者も数多くいましたが、現在では多くの利用者の意識も改善され、ウイルス対策ソフトの導入も進んでいます。

ウイルスに感染したパソコンを放置していることと同様に、管理できていないアカウントを放置するということは、第三者に損害を与える踏み台に利用される可能性があるということです。この点においては、利用者側の意識改革が必要であることも事実ですが、サービス提供側の意識改革がまだまだ十分であるとは言えません。例えば、一度登録したアカウントを抹消する手段がないサービスは数多く存在しており、このようなサービスからアカウント情報が漏洩してしまい、結果的に不正使用の踏み台に利用されてしまうことがあります。今回の事例のように、サービス提供者に通報するためのハードルが高いという点も、被害拡大防止という観点からイマイチだと思います。

アカウントの不正使用が、第三者に損害を与える踏み台として利用される可能性があることは、もっと広く知ってもらいたです。