100126

iTunes 不正請求被害

Apple , iPad/iPhone/iPod

Asahi_yukan_100125_0.jpg
最近の小沢一郎問題での大新聞テレビの報道はどう考えてもおかしいが、この記事もどうかなぁ……という気がする。

まぁ、新聞の第一面を飾るような大事件なんだろうか。

確かに iTunes Store はアカウントとパスワードだけで、クレジットカードの暗証番号も聞かれることなく、iPod や iPhone の楽曲やアプリケーションが買えてしまう。
しかし、そこで買えるものって一曲150-円の楽曲、アルバムでも1,500-円、アプリケーションだって高くたって何千円というところだ。それに、コンピュータに接続された iPod, iPhone にそれらソフトが入ってしまうわけだから、自分用にしかならないし、転売して……ということができない。
ということは、 iTunes Store のアカウントとパスワードが盗んでクレジットカードのパスワードが分かったとしたら、iTunes なんぞで使うことが間違っているわけだ。

したがって、こんな新聞の一面で報道するようなことかな……、他人のクレジットカードを使って犯罪しようという人は、間違っても iTunes なんて使わないと思うね。

asahi.com からその記事を転載しておく。


iTunesで不正請求被害 アップル社、ID流出否定

 アップル社の音楽配信サイト「iTunes(アイチューンズ) Store(ストア)(iTS)」の利用者が身に覚えのない代金を請求される被害が多発している。昨年秋ごろからで、被害者は判明しただけで数十人いる。何者かにパスワードなどの個人情報を盗まれたとみられるが、手口は不明。アップル社はサイト側に原因があることを否定している。

 札幌市内の弁護士は昨年11月、クレジット会社から届いた請求書を見て驚いた。前月16〜24日にiTSで音楽ソフトなど計52万円分を購入したことになっていた。身に覚えがなく、iTSからの情報流出を疑った。直ちにカードの効力を停止し、アップル社に原因究明を求めた。

 同社からは購入契約の解約を断られた。クレジット会社に事情を説明したところ、自ら購入していないと認められ、請求を撤回してもらうことができた。

 複数のクレジット会社によると、昨年秋以降、iTSの不正利用に関する相談が、多い社で数十件寄せられているという。一部の会社はセキュリティー部門が事実関係を調べた上で、請求を撤回している。撤回されない場合は、被害者が負担することになる。

 東京都内の通訳業の女性は昨年11月、iTSのIDとパスワードが急に使えなくなった。アップル社に連絡したところ、IDが何者かに変更された上、約1万3千円分の音楽ソフトなどを購入されていたことが判明した。だが、同社からは解約を断られた。クレジット会社に相談したが、「ネット上のIDとパスワードが不正利用されたケースは補償の対象外」として請求の撤回を断られた。

 相談した消費生活センターからは、IDとパスワードの管理責任は消費者側にあり、iTSのコンピューターが不正操作されて情報が流出したのでなければアップル社の責任は問えない、と説明されたという。女性は「15年近く通販サイトなどを使っているが、こうした被害は初めて。納得できない」と憤る。

あるクレジット会社によると、一部被害者は警察に被害の相談をしているという。

 アップル社の日本法人は「現時点では、管理しているコンピューターからIDが盗まれた事実はない」と同社からの流出を否定している。米国でも同様の被害が報告されているが、同社は、考えられる原因として、偽メールなどで偽サイトに誘い込み、IDやパスワードを入力させて盗む「フィッシング詐欺」に遭ったか、他人にパスワードなどを教えたり見られたりした可能性を挙げる。

 ネット上のIDなどが不正利用される被害は、通信販売やオンラインゲームなどのサイトで多発している。一般的に、利用者には、パスワードをなるべく複雑にしたり、管理を慎重にしたりする対策が求められている。(茂木克信)

Posted by 秋山東一 @ January 26, 2010 12:05 AM
Comments

その後の追跡記事をアサヒは書いたみたいだけど、一面には載せていないでしょうね。
http://www.asahi.com/digital/internet/TKY201001290230.html
この記事でもクレジットカードが不要なiTunesCardについては触れてないし、只で貰えるようなメールアドレスをIDに使う危険性についての指摘もないですね。

Posted by: iGa @ February 5, 2010 10:14 AM

後日の補足です。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/02.html#20100203

とりあえずは俗にいう「強いパスワード」が対抗策かと。。

Posted by: app @ February 4, 2010 06:26 PM

hacked さん、はじめまして、こんにちは。
そうですか、そんなに沢山の方が被害にあっているのですね。情報ありがとうございます。
新聞記者の方も、それは、どんな手口で、どんな風に被害にあったのかを探って、記事にしてもらいたいものですね。

Posted by: 秋山東一 @ January 30, 2010 03:37 PM

IT系に10年ほど勤めて詳しいことを自負してますが、ハックされました。

件数ですが、数百件単位で起きてますよ?ほとんどが泣き寝入りに近いと思いますけど。私のクレカ会社には数十件単位で問い合わせがあるそうです。

セキュリティに疎い人が多いから、注意喚起という点で1面に報道したのは評価されるべきです。なにせAppleおよびiTunesは注意喚起などは全くしないどころか、サポートにも連絡に最速でも以前は48時間、今でも24時間かかりますから(苦笑)

Posted by: hacked @ January 29, 2010 01:13 PM

app さん、どうもです。
そうですか、なるほどです。私もこの記者と同じくネットセキュリティについて無知そのものなのですが、この記事にある内容、件数では、大新聞の一面を飾るというものとは到底考えられないですね。

Posted by: 秋山東一 @ January 26, 2010 08:09 AM

おそらく多くのユーザーは、あるWEBサービスで使っているID、PASSと似たものをiTuneStoreでも使っていることが多いのでは・・と思われます。
たぶん、ジャンクメールからのフィッシングなどで得られたID、PASSをそのままItuneStoreに流し込み、使えるIDを闇市場で転売。。といった感じなんでしょうね。
ネットセキュリティに詳しくない記者とかが、検証せずに書きそうなネタですが(笑

Posted by: app @ January 26, 2010 12:11 AM