Apple IDの不正アクセスが急増。フィッシングサイトから流出か

Apple IDに不正アクセスをされ、Appストアなどでゲームのアイテムなどが購入されるという事件が中国で起きている。その多くは、5月下旬に集中しており、アリペイとアップルの間で賠償責任の所在を巡って問題も起きていると華夏時報が報じた。

勝手にAppストアで22万円分の買い物をされる

陝西省西安市の韓さんは、華夏時報の取材に応えて被害の内容を語った。5月27日の夜に、韓さんのアリペイで、648元（約1万円）の買い物が22回、合計約1.4万元（約22万円）の出金があったことに朝起きてから気がついた。調べてみると、アップルのAppストアでゲーム用コインを購入していて、深夜に西安市とは異なる場所から不正アクセスされ、買い物をされてしまっていた。支払い用に紐づけているアリペイから出金をしていた。

f:id:tamakino:20190717184454j:plain

▲韓さんが提供した支払い履歴。寝ている間に約22万円が使われ、換金性の高いゲームコインなどが買われていた。

アリペイは賠償を拒否、アップルも返金を拒否

アリペイでは「アリペイの問題によって、金銭的被害を受けた場合は全額返金をする」と謳っていて、それが消費者の信頼の源になっている。韓さんは、アリペイで起きた問題だからと、すぐにアリペイのコールセンターに連絡を入れた。

しかし、調査をしたアリペイ側では、アリペイの問題ではなく、Apple IDの不正アクセスによる問題なので、アップルに返金を求めるべき事案だとした。韓さんはその後、すぐにアップルのコールセンターに連絡をしたが、アップルは調査をした上で、返金を拒否してきた。「得られたのは、おざなりな謝罪の言葉だけでした」と韓さんは語った。

同じ被害にあっていた人が60人以上も

韓さんは、再度アリペイに連絡をすると、アリペイ側は返金について、再度調査をした上で検討をすることを約束、同時に韓さんは警察に被害届を出した。

さらに、韓さんはSNSで同様の被害にあっている人を探すと、同じ被害にあった人60人ほどがグループを作っているの発見した。そこで尋ねると、みな、同じ手口の被害にあっていた。

深夜、普通であれば寝ている時間に、Apple IDに不正アクセスをされ、朝までにゲームアイテムやコインなどを購入されている。朝、起きてから被害にあっていることに気がついたという人がほとんどだった。

ところがアップルからすでに返金をしてもらっている人もいる。韓さんは再び、アップルに連絡をして、なぜ自分は返金してもらえないのか尋ねたが、アップルはその理由を開示することを拒否した。韓さんは現在でも、アリペイからもアップルからも返金をされていない。

アリペイ側の主張はあくまでも「Apple IDの不正アクセス」

アリペイは華夏時報の取材に応えた。今回の事件は、Apple IDの不正利用が原因で、アリペイはその支払元として紐付けられていたにすぎない。そのため、アリペイの賠償範囲の外にある。消費者にはアップルに連絡をするようアドバイスをし、アリペイにも随時情報提供してもらえるようお願いをした。アリペイはアップルと協力をして問題解決にあたるという。

フィッシングサイト経由でApple IDが盗まれている

アップルは昨年2018年10月にも、フィッシングサイトによりApple IDが盗まれ、利用者に被害が起きていることを公表し、2ファクタ認証を設定するように呼びかけている。

華夏時報が各方面を取材をし、集計をすると、同様の被害は2017年から起きており、現在までに訴えがあっただけでも453件にのぼっているという。

警察の捜査がまだ終わっていないので、原因は不明だが、多くの識者が指摘するのがフィッシングサイトだ。被害者は、アップルを装ったフィッシングサイトにアクセスをし、自分でApple IDとパスワードを入力してしまった可能性が高い。2ファクタ認証を設定しておけば被害を免れたが、被害者はほぼ全員がパスワード認証しか設定していなかった。

f:id:tamakino:20190717184442p:plain

▲フィッシングサイトに誘うSMS。いずれもApple IDの状態に問題があるので、ログインし直して欲しいというもの。発信元やリンク先のURLをよく見ればおかしいことがわかるが、意外に多くの人がアクセスしてしまう。

f:id:tamakino:20190717184449p:plain

f:id:tamakino:20190717184457p:plain

▲報告されているApple IDのフィッシングサイト。URLを確認しなければ、多くの人が騙されて、Apple IDとパスワードを入力してしまう。

グレービジネスの横行により、アップルの調査に時間がかかっている

もうひとつの問題は、アップルはなぜ、返金を行ったり、拒否したりするかという問題だ。

アップルはそもそも利用者の立場に立って、返金はかなり寛容に行っていた。例えば、「子どもが親のiPhoneを使ってしまい、勝手にAppストアで課金をしてしまった」という利用者側の落ち度が大きいものでも返金に応じてきた。

これに乗じたグレービジネスが「アップル代理返金」だ。彼らは、どのような訴えをすればアップルが返金に応じるかを心得ていて、利用者に代わって返金の交渉をしてくれる。そして、返金額の数十％を手数料として徴収をする。

この返金代行の問題は、正規で購入した課金であっても返金請求してしまうことだ。例えば、ゲーム内のコインチャージを大量に行って、ゲームで遊び、それから返金代行を依頼する。手数料を払っても、得になるというわけだ。

このようなグレービジネスあるいは違法行為が横行しているため、アップルは返金をするときに調査に時間がかかってしまうのではないかと推測されている。

f:id:tamakino:20190717184445j:plain

▲ECサイト「タオバオ」を検索すると、iPhoneの問題解決と呼ばれる１元の商品が無数に見つかる。正規に使ったApple IDの課金を、利用者に変わって返金交渉してくれるというグレービジネスだ。アップルの寛容なサポートポリシーにつけ込んだ限りなく犯罪に近い行為。

性善説ポリシーは必ず付け込まれる

公平に見て、アップルは中国のカスタマーサポートでは、利用者の視点に立ち、性善説的な対応をし続けてきた。しかし、そこにつけ込む代理返金ビジネスが横行したため、アップルは方針を変えざるを得なくなっている。

アリペイも「アリペイ側の問題により生じた損害は、全額保証する」という利用者の視点に立った賠償ポリシーを採っているが、そこにつけ込むグレービジネスは生まれていない。なぜなら、そのような行為を行うと、アリペイに連動した信用スコア「芝麻信用」のスコアが著しく下がることになるからだ。場合によっては、アリペイのアカウントの凍結もあり得る。今の中国で、アリペイが利用できなければ、生活は著しく不便になる。

アリペイは、利用者の視点に立ったサポートポリシーを採っているが、一方で、悪質な行為を行う利用者には容赦をしない。これがアリペイの安全性を確保することにつながっている。性善説のサービスは悪人に付け込まれる、性悪説のサービスは真っ当な利用者から嫌われる。中国でのサポートポリシーは、アメとムチの両輪で回していかなければならない。