皆様こんにちは。
たまたまPontaWebでPontaポイントを確認したら、急にPontaポイントが0になっていました。。。
私は昭和シェル石油のヘビーユーザなので10,000ポイントくらい溜まっていたんですよ。
慌ててPontaWeb上の利用履歴を確認すると、全く私の住んでいる地域とは違う、
家から何百キロも離れたGEOの店舗で全額利用したことになっていました。
ここからポイントを取り戻すまでに非常に日数、労力がかかったのでそのやり取りをまとめておきます。
因みにポイントは返ってきました。
ITエンジニア(セキュリティ寄り)の人間からはとても納得できる最終回答ではありませんでしたが…
会社間の報告書で出されたらブチ切れるレベルです。
Pontaポイント不正利用の時系列
Pontaポイント不正利用対応1日目
・ポイント不正利用に気付く
↓
Pontaカスタマーセンターに電話1
ロイヤリティマーケティングと言うPontaを取り纏めている会社のサポートに電話しました。
つながるまでに1時間近くかかりました。(順番待ちにすら入れず強制的に切られるのが20分、順番待ちからは40分)
しかも携帯からは通話料がかかります。
↓
電話の結果、店舗での利用なので直接店舗に電話してくれと言われる。
その店舗行ったことすらないんですけど!
ロイヤリティマーケティング社のスタンスに呆気にとられました。
Tカードの方が10倍しっかりしてるわ。
尚、ついでにカードは一時利用停止にしてもらいました。
↓
不正利用されたGEO店舗に直接電話
何も知らない店舗従業員が電話に出るので全く会話が噛み合わない。
電話でた方も、「はぁそうですか…」って感じです。 そりゃそうだ。
結局責任者から折り返しもらうことに
↓
店舗責任者(店長)から電話がくる1
金曜日のお昼に電話しました。
店舗で不正利用なんて可能性は低いと節々に混ぜられながらも
店長からエリアマネージャー?にエスカレーションしてもらうことになりました。
しかし、回答は月曜日になると。
不正利用なんて言うシビラティの高そうな事案にも関わらず、内勤の方々は土日休み宣言です。
一般的なIT企業の感覚ではないですね。普通に考えると超大事なので土日出勤当たり前だと思うのですが…
又、電話では簡単な質問をもらいました。
・どこで不正利用を知ったのか(最後までPontaWeb経由だと言うことは理解してもらえず、使ったこともないGEOアプリ経由での確認と言うことにされていました。)
店長の感覚的にはすぐにポイント返還して終わりでしょうって感じでした。
因みにPontaカードのない状態でPontaを使うには
生年月日と名前、身分証が必要らしいです。
ただ、身分証は目視確認のみで、コピーなどはとらないらしい。
つまり、ターゲットの生年月日、名前、適当な身分証(最悪誰のでもOK?)があれば
ザル店員相手の場合、使うことが出来ます。
店長曰くバーコードの読み取りミスでたまたま私の番号が使われたのと
同じくらいの確率でありえないそうですが…
私にはとてもバーコード程優れた仕組みには思えません。
又、Ponta番号直打ちでの会計は出来ないらしい。(本当でしょうか…
Pontaポイント不正利用対応2日目
Pontaカスタマーセンターに電話2
40分近くかかってようやく電話がつながりました。
PontaWeb等の不正アクセスが怖かったのでダメ元でアクセスログ下さいって電話してみました。
オペレータには全く通じず、「PontaWebのID/PWがわからないと言うことでよろしいですか?」
と言われながらも何とか意味合いを理解してもらいました。
が、結果的にPontaWebはリクルートのシステムなのでリクルートに確認してくださいと。
ロイヤリティマーケティングは一体どういうときに電話すれば解決してくれる場所なんだよ…
堂々とPontaの裏面にCSとか書きやがって…
結局PontaWebのログイン履歴は普通にWebで見れました。
特に不正な点は見当たりません。
警察に相談
警察庁のサイバー犯罪対策課に電話してみました。
この場合被害者はGEOであってあなたではないので被害届は受理出来ませんと一蹴。
俺も被害受けてるんだけどな…
実際、警察の言うとおりなのでこれ以上なにも出来ませんでした。
警察官の理解が高い場合は被害届を受理してくれるそうです。
そうするとGEO等のPointサービスをやっている会社としては
警察から要請がある以上動かざるをえないので調査が早くなるらしいのですが。
Pontaポイント不正利用対応4日目
店舗責任者(店長)から電話がくる2
予定通り週明けに電話が来ました。
ポイント返還の手続きをしようと思います。
カードを使っての不正利用なので一度再発行してから云々と説明され、
最後にいくつか追加質問がいくつかきました。
・近隣に住んでいたことは?この店舗を利用したことは?
・カードが無い中どうやってPontaIDが分かった?(普通は覚えているはず無いと思っての質問)
そもそもカードは無くしていません。手元にずっとあります。
でもカードが「紛失」ステータスになってますが?と問い詰められ、カクカクシカジカで納得してもらう。
ロイヤリティマーケティング社の一時停止=紛失のステータスになるんでしょう。
カードが手元にあると言う話をした途端、話が一転、
状況が全く変わったのでサイドエリアマネージャーに確認すると言われ電話が終了。\(^o^)/
↓
店舗責任者(店長)から電話がくる3
内容の抽出に10日かかるとか訳の分からない回答がその日のうちにきました。
結局システム部てきなところで、原因調査しているのでしょう。
それに10日もかかると。
流石にそれでは困るので
「10日もPontaを使えないのは辛いし、なに経由で不正利用されたかも分からない状態で10日も待つのは出来ません。
システム部に催促し、翌日には進捗だけでも電話してくれ」と依頼しました。
結局、翌々日に電話と言うことで落ち着きました。
Pontaポイント不正利用対応6日目
折り返し電話が来ないのでこちらからGEO店舗に電話
翌々日にも関わらず折り返しが来ないのでGEO店舗にこちらから電話。
なんと店長はその日夜勤で24時出社らしいです。
絶対翌々日に電話かけられないシフトじゃねーか…
必ず折り返し下さいと伝え電話は終了。
Pontaポイント不正利用対応7日目
店舗責任者(店長)から電話がくる4
夜勤明けの店長から9:30AMくらいに折り返しの電話が来る。
結局進展は無いらしく、抽出に時間がかかるの一点張り。
ITエンジニア相手にこの言い訳は苦しすぎます。100%嘘です。
たった一人分のデータ抽出に10日も掛かってたらそのシステム破綻してますよ。
まぁ電話してるのが店長でITリテラシーは非常に低いので、
システム部あたりからそうやって回答しとけと言われているのでしょうが。
Pontaポイント不正利用対応12日目
店舗責任者(店長)から電話がくる5
予定より数日早く電話が来ました。
結論から言うとPontaポイントは返還しますが原因は不明でしたと。
Pontaポイント返還までの流れ
・電話の繋がらないロイヤリティマーケティングに再度電話し、一時停止措置を解除してもらう。
・最寄りのGEO店舗に行って再発行
・GEOアプリ経由の不正も考えられるから連携解除を店舗で行う。(個人では出来ないことらしい)
(不正利用されたGEO店舗から再発行する予定の最寄りのGEO店舗に話をしておいてくれるらしい)
・再度不正利用されたGEO店舗に電話し、ポイント返還措置。(数日かかるらしい)
GEOアプリなんて使った記憶ないからログインすることすら出来ません…
しかも、こっち側でやること多すぎて超面倒くさい。
Pontaポイント不正利用の原因
全くわからないとのことです。(´Д`)ハァ…
GEOアプリなんて単語が出てきたので
そのアクセスログを貰えるのであれば貰おうと思っているのですが、
店長に全く話が通じないので困っています…
又、GEOのPonta関連のシステムが解決の数日前に改修されたようで、
店舗でPontaIDを打っても会員情報が一部しか見れなくなったそうです。
今まではGEO Pontaを作った時に入れた個人情報が全て見ることができたようです。
店員がPontaIDを入力すれば相手の住所、氏名、生年月日、電話番号全て分かってしまうシステムって異常ですよね。
可愛い、格好いい子が買い物してくれたら、その直後にID検索してその子に電話が出来ちゃうんですから。
バイトでも見れるとしたら普通にこんな事件起きますよね。(バイトではもともと見れなかった可能性もあります)
バイトの殆どはそんな教育もまともにされませんし、意識も低いですから。(実際そんなニュースを見た記憶もあったような。
私が問い合わせてから二週間程度でこんなピンポイントなシステム改修が走ると
私の今回の件も実は原因が分かっているのではないかと疑ってしまいます。
何も起きていないのに、セキュリティシステムをいきなり改修するなんて考えられません。
普通何かがあってはじめてセキュリティ的な改修を行うことが殆どだからです。
今のシステムで問題ないと思っているのに金メッキする民間企業は殆ど見たことがありません。
セキュリティと利便性、費用は殆どの場合トレードオフですからね。
Pontaポイント不正利用の総評
IT企業が素人企業相手に適当にてきとうな報告書を書いて出した形で収束してしまいました。
しかし、GEOはPointを返還してくれる優良企業と言う事も判明しました。
Pointは規約上返す必要はないですからね。
実際にPonta以外ではそういう事象も多いようなので、少額訴訟の準備も視野に入れていました。
事象解決まで約二週間。Pontaカードが使えないので全くポイントが貯められません。
しかもこの対応で使った通話料が10,000Pontaポイントとそんなに変わりませんorz
更に対応している工数を考えると大赤字です。
皆様被害には十分気をつけましょう。
Pontaポイント不正利用のエンジニア目線での後日談
適当に原因不明の報告をして裏でこっそりとシステム改修なんて言うせこいことはしないでもらいたいです。
この適当な報告のせいでポイントが戻ってきても納得いきません。
私もITエンジニアで良くエンドユーザへ報告書を出していますので、
同業他社の言い訳はおおよそ検討が付きます。
また、企業にはもう少しセキュリティ面にお金を掛けてもらいたいです。
売上につながらないので後回しなのは分かりますが、こんなことが起きる会社のサービスは使いたくなくなります。
そうやってちょっとずつ顧客が離れていきますよ。
こちらの記事もおすすめ!
コメント
この記事へのトラックバックはありません。
この記事へのコメントはありません。