Pontaポイントが不正利用されたので取り戻すまでの軌跡を書いてみた。

この記事はPontaポイントを不正利用されてから、ポイントを取り戻すための軌跡を書いています。
先に言っておきますが、ポイントを取り戻すのは本当に大変でしたのでポイントはこまめに消費するべきです。

さて、本題です。

たまたまPontaWebでPontaポイントを確認したらPontaポイントが0になっていました。
念の為ポイントの利用履歴を確認したら絶対に利用していない遠方の店舗で全て使用されていることが発覚しました。
表示のバグかと思っていた自分の危機意識の低さを呪いたいです。

カードを紛失したなど、身に覚えのあることは一切なく、
不正利用と言うものは本当に突然発生するのだなと衝撃を受けました。

結論としてはPontaポイントは全額返ってきました。
ただし、下記のようにものすごい労力と通話料がかかったので、Pontaポイントが不正利用されるとこうなるんだと言うことを皆様にもお伝えできればと思い記事にしました。

家からかなり遠いGEOでの不正利用が発覚

私は昭和シェル石油のヘビーユーザなので10,000ポイントくらいたまっていました。
PontaWebでポイントの利用履歴を確認したところ家から数百Kmも離れたGEOで不正利用されていることがわかりました。

Pontaカードは手元にある

今回、不思議なのがPontaカードは手元にあるんです。
つまり、存在しないはずのPontaカードを使って誰かが遠くのGEOで不正利用されています。

こういうパターンもあるので、定期的にポイントの利用履歴をチェックし、おかしな履歴がないか確認しないといけません。

Pontaカスタマーセンターに電話

身に覚えがない利用なので慌ててPontaカスタマーセンターに電話しました。
すぐポイントが戻ってきて終わりかと思いきや、ここからが地獄でした。

どのように地獄だったかは続きを読んでください!

Pontaポイントが不正利用されてからの時系列

1日目

Pontaカスタマーセンターに電話(1回目)

ロイヤリティマーケティングと言うPontaを取り纏めている会社のサポートに電話しました。

繋がるまでに1時間近くかかりました。(順番待ちにすら入れず強制的に切られるのが20分、順番待ちからは40分)
しかも携帯からは通話料がかかります。

経験上、サポートに繋がらない会社は大体ダメなサポートなのでこの時点で不安が募ります。

店舗での利用なので直接店舗に電話してくれと言われる。

その店舗行ったことすらないのですが、店舗に電話しろとの回答でした。
ロイヤリティマーケティングのこの姿勢はおかしいと思っています。せめて取りまとめてくれよと言う気持ちでした。

知らない店にいきなりPonta不正利用されましてなんて言う電話をしなければならない利用者の身にもなって欲しいです。

尚、ついでにカードは一時利用停止にしてくれました。

もうポイントが残っていないので一時停止にされたところでなんにも痛くないのですが…
寧ろ不正利用してポイント溜めておいてほしいくらいです。

不正利用されたGEO店舗に直接電話(GEO1回目)

何も知らない店舗従業員が電話に出るので全く会話が噛み合いません。
電話にでた方も、「はぁそうですか…」って感じです。 そりゃそうですよね。
結局責任者から折り返しもらうことになりました。

店舗責任者(店長)から電話がくる(GEO2回目)

金曜日のお昼に電話がありました。
店舗で不正利用の可能性は低いと節々に言われながらも、店長からエリアマネージャーにエスカレーションしてもらうことになりました。
しかし、回答は月曜日になるとのことです。

不正利用の原因によっては企業を揺るがすレベルの事案にも関わらず、内勤の方々は土日休みで対応できませんと宣言されてしまいました。
普通に考えると超大事なので土日だろうが調査、回答すると思うのですが意識が低いです。

また、どこで不正利用を知ったのかと言う質問がありました。
何度もPontaWeb経由だと言っているのにも関わらず、GEOアプリからですね。と言われてしまって全く会話が成り立ちませんでした。
結局、最後までPontaWeb経由だと言うことは理解してもらえず、使ったこともないGEOアプリ経由での確認と言うことにされていました。

2日目

Pontaカスタマーセンターに電話(2回目)

不正利用の原因を知りたかったので再度カスタマーセンターに電話することにしました。
今回も40分がかりでやっと繋がりました。

PontaWebの不正アクセス経由を疑っていたのでダメ元で私に関連するアクセスログ下さいと依頼してみました。
しかし、オペレータには全く通じず、「PontaWebのID/PWがわからないと言うことでよろしいですか？」と言われ続け、理解してもらうまでに30分。
結果的にPontaWebはリクルートのシステムなのでリクルートに確認してくださいと。

ロイヤリティマーケティングは一体どのようなときに電話すれば問題を解決してくれる場所なんですかね。
堂々とPontaの裏面にCSと書いている割には、Pontaの管理を殆ど行っていないように見えます。

結局PontaWebのログイン履歴は普通にWebで見ることができたのですが、特に不正な点は見当たりませんでした。

警察に相談

警察庁のサイバー犯罪対策課に電話してみました。
この場合、被害者はGEOであってあなたではないので被害届は受理出来ませんと一蹴されてしまいました。

私も被害を受けているのですが、こういう場合の被害者は不正利用された会社になるそうです。
私の被害はお国的には被害ではないとのことです。法律って難しいですね。

ただ、警察官の理解が高い場合は被害届を受理してくれるそうです。
結局は管轄と担当者次第になってしまい、警察の意識統一もされていないと思われます。
被害届が受理されれば、GEO等のPointサービスをやっている会社としては、動かざるを得ないので調査が早くなるらしいです。

4日目

GEOの店舗責任者(店長)から電話がくる(GEO3回目)

予定通り週明けに電話が来ました。
「ポイント返還の手続きをしようと思います。」とのことです。

カードを使っての不正利用なので一度再発行してから云々と説明され、最後にいくつか追加質問がいくつかきました。

この質疑応答が大失敗だったようでカードが手元にあると言う話をした途端、話が一転しました。

状況が大きく変わったので再度エリアマネージャーに確認すると言われ電話終了です。
初日の説明が全く通じていないことに大きな落胆を感じつつ次の連絡を待つことになりました。

店舗責任者(店長)から電話がくる(GEO4回目)

内容の抽出に10日かかると言う、訳の分からない電話がその日のうちにきました。
何をしているのか全く理解できない連絡でした。
システム部で原因調査でもしているのでしょうか。

流石にそれでは困るので「10日もPontaを使えないのは辛いし、どの経路で不正利用されたかも分からない状態で10日も待つことは出来ません。システム部に催促し、翌日には進捗だけでも電話してください。」と依頼しました。
結局、翌々日に電話と言うことで落ち着きました。

こっちは原因とポイント返還を行ってほしいだけなので、内容の抽出などと言った何をするのかも分からないことを言われても困りますよね。
全くユーザ目線になっていない電話連絡でした。

6日目

折り返し電話が来ないのでこちらからGEO店舗に電話(GEO5回目)

約束の翌々日になっても折り返しが来ないのでGEO店舗にこちらから電話しました。
なんと店長はその日夜勤で24時出社らしいです。
絶対翌々日に電話かけられないシフトじゃねーか…

必ず折り返し下さいと伝え電話は終了です。

7日目

店舗責任者(店長)から電話がくる(GEO6回目)

夜勤明けの店長から9:30AMくらいに折り返しの電話がありました。
結局、進展は無いらしく抽出に時間がかかるの一点張りです。

たった一人分で利用日付までわかっているデータ抽出に10日も掛かってたらそのシステム破綻してますよ。
私はITエンジニアですが、こんなシステム絶対に触りたくありません…

12日目

店舗責任者(店長)から電話がくる(GEO7回目)

予定より数日早い7日目あたりで電話がありました。
結論から言うとPontaポイントは返還しますが、原因は不明でしたとのことです。

たった一週間前の出来事なのに原因究明が出来ないシステムログや監視カメラの映像管理って、とても株式市場に上場している会社とは思えないです。
日本の会社って対応よりも原因報告に異常に固執するのでログやカメラのデータ管理は結構厳重に行うと思っています。
それを簡単に不明でしたと回答してくるあたり、まともに調査、回答する気がないのだと思われます。

Pontaポイント返還までの流れ

1. 電話の繋がらないロイヤリティマーケティングに再度電話し、一時停止措置を解除してもらう。
2. 最寄りのGEO店舗に行ってPontaカードを再発行してもらう。
3. GEOアプリ経由の不正も考えられるから、アプリとカードの連携解除を店舗で行う。(個人では出来ないことらしい)
   最寄りのGEO店舗で対応可能です。
4. 再度不正利用されたGEO店舗に電話し、ポイント返還措置を行う。(数日かかる)

GEOアプリなんて使ったことがないので、ログインすら出来ません。
しかも、ポイント返還までにこっち側でやること多すぎて超面倒くさいです。

全く使ったことのないアプリでIDすらないのにどうやって不正利用されているのかも分からず仕舞いです。

14日目

最寄りのGEOに行ってカードの再発行と、アプリの連携解除(再連携)を行う

わざわざ車で30分くらいかけて、最寄りのGEOに行き再発行と再連携の手続きを行いました。
こちらは、不正利用された店舗の店長から最寄りの店舗へ電話連絡してもらっていたようで、スムーズにことが運びました。

不正利用されたGEOに電話(GEO8回目)

不正利用されたGEOに電話をし、手続きが全部終了したのでポイント返還手続きを依頼しました。
すぐに了承してもらい、電話は終了です。

17日目

遂にポイントが返還される

その後特に連絡は有りませんでしたが、突然Pontaポイントが返還されました。
これにてようやく対応完了です。

2週間近く、ほぼ毎日電話をしてようやくポイントが返還されました。
今だったらたった10,000ポイントのためにここまで動こうとは思えません…

それくらい大変でした。

Pontaポイント不正利用の原因

原因不明のまま終結

全くわからないとのことです。

監視カメラの映像もたった1週間前なのに残っていない。
10日もかけてログを抽出しても何も分からない。

上場企業のセキュリティ体制とはとても思えません。

また、ロイヤリティマーケティングの姿勢もとても納得できるものではありません。
皆が安心してポイントを使えるようにある程度セキュリティレベルの統一や横断的な調査ができるようにするべきだと思います。

ポイントの仕組みだけ作ったから後は各社よろしく、不正利用されても知りませんと言うのは、ポイント管理会社としておかしな話です。

もともとのシステムが個人情報ガバガバだった模様

店長がぼそっと言っていたのですが、GEOのPonta関連のシステムが解決の数日前に改修されたようで、店舗でPontaIDを打っても会員情報が一部しか見れなくなったそうです。
逆に言うと今までは顧客の個人情報が見放題だったと言うことになります。

店員がPontaIDを入力すれば相手の住所、氏名、生年月日、電話番号全て分かってしまうシステムって異常ですよね。
可愛い、格好いい、超金持ちっぽい人が買い物してくれたら、その直後にID検索してその子に電話が出来ちゃうんですから。

バイトでもこの情報を見られるとしたら普通にこんな事件起きますよね。(バイトはもともと見れなかった可能性もあります)

私が問い合わせてから二週間程度でこんなピンポイントなシステム改修が走ると、今回の件も実は原因が分かっているのではないかと疑ってしまいます。
システムに何も起きていないのに、セキュリティシステムをいきなり改修するのは普通じゃないです。

まとめ

ポイント返還手続きは本当に大変

Pontaポイントを返還してもらうまで、合計10回くらいの電話、そして、2週間以上の期間
と大変な労力がかかりました。
不正利用されてしまうと、こちらも膨大な労力が必要になるので、完全にやられ損です。

また、GEOはPointを返還してくれる優良企業と言う事も判明しました。
Pointは規約上返す必要はないようで、加盟店の対応に一任されているようです(これも驚きの規約ですが…)

実際にPointが返還されない事象もあるようで少額訴訟を起こしている記事もありました。
私も杞憂には終わりましたが、少額訴訟の準備も視野に入れていました。

ポイントはこまめに使うべき

こうなってしまうと本当に良いことがないので、ポイントはこまめに使っておいた方が絶対に良いです。
ポイントを10,000ポイント貯めたからって何か特別なボーナスポイントが入るわけもなく、得することは何もありません。