マツダ RX-8タイプEやスマートウォッチ、気に入ったガジェットについて気ままに書いております。

Pontaポイントが不正利用されたので取り戻すまでの軌跡を書いてみた。

たまたまPontaWebでPontaポイントを確認したら、いきなりPontaポイントが0になっていました。
私は昭和シェル石油のヘビーユーザなので10,000ポイントくらいたまっていたのです。
慌ててPontaWeb上の利用履歴を確認すると全く私の住んでいる地域とは違う、家から何百キロも離れたGEOの店舗で全額利用したことになっていました。

身に覚えがない利用なのですぐさまPontaカスタマーセンターに電話することにしました。
すぐポイントが戻ってきて終わりかと思いきや、予想以上に大変だったのでポイントを取り戻すまでのやり取りをまとめました。
同じく不正利用された方の参考になれば幸いです。

結論を最初に話してしまいますとPontaポイントは返ってきました。
ただし、下記のようにものすごい労力と通話料がかかったので不正利用されないように徹底したいと思います。


Pontaポイント不正利用の時系列

1日目

Pontaカスタマーセンターに電話1

ロイヤリティマーケティングと言うPontaを取り纏めている会社のサポートに電話しました。

繋がるまでに1時間近くかかりました。(順番待ちにすら入れず強制的に切られるのが20分、順番待ちからは40分)
しかも携帯からは通話料がかかります。

サポートに繋がらない会社は経験上、大体ダメなサポートなのでこの時点で不安が募ります。

電話の結果、店舗での利用なので直接店舗に電話してくれと言われる。

その店舗行ったことすらないんですけど!
ロイヤリティマーケティング社のスタンスに呆気にとられました。
知らない店にいきなりPonta不正利用されましてなんて言う電話をしなければならない利用者の身にもなって欲しいです。
尚、ついでにカードは一時利用停止にしてくれました。

もうポイントが残っていないので一時停止にされたところでなんにも痛くないのですが…
寧ろ不正利用してポイント溜めておいてほしいくらいです。

不正利用されたGEO店舗に直接電話

何も知らない店舗従業員が電話に出るので全く会話が噛み合いません。
電話でた方も、「はぁそうですか…」って感じです。 そりゃそうですよね。
結局責任者から折り返しもらうことになりました。

店舗責任者(店長)から電話がくる1

金曜日のお昼に電話しました。
店舗で不正利用なんて可能性は低いと節々に混ぜられながらも店長からエリアマネージャーにエスカレーションしてもらうことになりました。
しかし、回答は月曜日になると。

不正利用の原因によっては企業を揺るがすレベルの事案にも関わらず、内勤の方々は土日休み宣言です。
普通に考えると超大事なので土日だろうが調査、回答すると思うのですが意識が低いです。

また、どこで不正利用を知ったのかと言う質問がありました。
何度もPontaWeb経由だと言っているのにも関わらずGEOの店長だからかGEOアプリの話に強制的に持っていかれてしまい全く会話が成り立ちませんでした。
結局、最後までPontaWeb経由だと言うことは理解してもらえず、使ったこともないGEOアプリ経由での確認と言うことにされていました。

Pontaカードのない状態でPontaを使うことが可能なのか質問してみました。

生年月日と名前、身分証があれば可能とのことです。
ただ、身分証は目視確認のみでコピーなどはとらないとのことです。
つまり、ターゲットの生年月日、名前、適当な身分証(最悪誰のでもOK?)があればザル店員相手の場合はかんたんにポイントを使うことが出来ます。

店長曰く身分証の確認ミスはバーコードの読み取りミスでたまたま私の番号が使われたのと同じくらいの確率でありえないそうですが…
私にはただの目視確認がとてもバーコード程優れた仕組みには思えません。

Ponta番号直打ちなど別の方法では会計することはできないようなので、犯人はターゲットの生年月日と名前を暗記し、身分証まで偽造して不正利用する必要があるわけです。
こんなことしていたらとても10,000ポイントでは割に合わないですよね。
どう考えても身分証確認が形骸化しているとしか思えないのですが…

2日目

Pontaカスタマーセンターに電話2

不正利用の原因を知りたかったので再度カスタマーに電話することにしました。
今回も40分がかりでやっと繋がりました。

PontaWebの不正アクセス経由を疑っていたのでダメ元でアクセスログ下さいと依頼してみました。
しかし、オペレータには全く通じず、「PontaWebのID/PWがわからないと言うことでよろしいですか?」と言われ続け、やっとの思いで理解してもらいました。
が、結果的にPontaWebはリクルートのシステムなのでリクルートに確認してくださいと。

ロイヤリティマーケティングは一体どのようなときに電話すれば解決してくれる場所なんですかね。
堂々とPontaの裏面にCSとか書いてるくせにPontaの管理を殆ど行っていないように見えます。

結局PontaWebのログイン履歴は普通にWebで見ることができたのですが、特に不正な点は見当たりませんでした。

警察に相談

警察庁のサイバー犯罪対策課に電話してみました。
この場合被害者はGEOであってあなたではないので被害届は受理出来ませんと一蹴されてしまいました。

私も被害を受けているのですが、こういう場合の被害者は不正利用された会社になるそうです。
私の被害はお国的には被害ではないとのことです。法律って難しいですね。

ただ、警察官の理解が高い場合は被害届を受理してくれるそうです。
被害届が受理されればGEO等のPointサービスをやっている会社としては警察から要請がある以上動かざるをえないので調査が早くなるらしいです。

4日目

店舗責任者(店長)から電話がくる2

予定通り週明けに電話が来ました。
「ポイント返還の手続きをしようと思います。」とのことです。

カードを使っての不正利用なので一度再発行してから云々と説明され、最後にいくつか追加質問がいくつかきました。

GEO : 近隣に住んでいたことは?この店舗を利用したことは?
私 : どちらもありません。
GEO : カードが無い中どうやってPontaIDが分かった?(普通は覚えているはずがないので)
私 : そもそもカードは無くしていません。手元にずっとあります。
GEO : カードが「紛失」ステータスになってますが?
私 : ロイヤリティマーケティング社にカード利用を一時停止してもらっています。
おそらく、一時停止=紛失のステータスになるのではないでしょうか。
初日にカードがないのにどうやって不正利用できるのか聞いているのだから状況は分かるだろうが…と思いながらもカクカクシカジカで納得してもらいました。

この質疑応答が大失敗だったようでカードが手元にあると言う話をした途端、話が一転しました。

状況が大きく変わったので再度エリアマネージャーに確認すると言われ電話終了です。
初日の説明が全く通じていないことに大きな落胆を覚えながら次の連絡を待つことになりました。

店舗責任者(店長)から電話がくる3

内容の抽出に10日かかると言う、訳の分からない電話がその日のうちにきました。
何をしているのか全く理解できない連絡でした。
システム部で原因調査でもしているのでしょうか。

流石にそれでは困るので「10日もPontaを使えないのは辛いし、どの経路で不正利用されたかも分からない状態で10日も待つことは出来ません。システム部に催促し、翌日には進捗だけでも電話してください。」と依頼しました。
結局、翌々日に電話と言うことで落ち着きました。

こっちは原因とポイント返還を行ってほしいだけなので、内容の抽出などと言った何をするのかも分からないことを言われても困りますよね。
全くユーザ目線になっていない電話連絡です。

6日目

折り返し電話が来ないのでこちらからGEO店舗に電話

約束の翌々日になっても折り返しが来ないのでGEO店舗にこちらから電話しました。
なんと店長はその日夜勤で24時出社らしいです。
絶対翌々日に電話かけられないシフトじゃねーか…

必ず折り返し下さいと伝え電話は終了です。

7日目

店舗責任者(店長)から電話がくる4

夜勤明けの店長から9:30AMくらいに折り返しの電話がありました。
結局、進展は無いらしく、抽出に時間がかかるの一点張りです。

たった一人分の特定日のデータ抽出に10日も掛かってたらそのシステム破綻してますよ。
私はITエンジニアですが、こんなシステム絶対に触りたくありませんし納品もできません…

12日目

店舗責任者(店長)から電話がくる5

予定より数日早い7日目あたりで電話がありました。
結論から言うとPontaポイントは返還しますが原因は不明でしたとのことです。

たった一週間前の出来事なのに原因究明が出来ないシステムログや監視カメラの映像管理って、とても株式市場に上場している会社とは思えないです。
日本の会社って対応よりも原因報告に異常に固執するのでログやカメラのデータ管理は結構厳重に行うんですよ。
それを簡単に不明でしたと回答してくるあたり、まともに回答する気が無いのではないかと疑ってしまいます。

Pontaポイント返還までの流れ

  1. 電話の繋がらないロイヤリティマーケティングに再度電話し、一時停止措置を解除してもらう。
  2. 最寄りのGEO店舗に行ってPontaカードを再発行してもらう。
  3. GEOアプリ経由の不正も考えられるからアプリとカードの連携解除を店舗で行う。(個人では出来ないことらしい)
    最寄りのGEO店舗で対応可能です。
  4. 再度不正利用されたGEO店舗に電話し、ポイント返還措置を行う。(数日かかるらしい)

GEOアプリなんて使った記憶ないからログインすることすら出来ません。
しかも、ポイント返還までにこっち側でやること多すぎて超面倒くさいです。

全く使ったことのないアプリでIDすらないのにどうやって不正利用されているのかわかりません。
最後まで的外れすぎる回答で困ります。。。

Pontaポイント不正利用の原因

全くわからないとのことです。(´Д`)ハァ…

店長がぼそっと言っていたのですが、GEOのPonta関連のシステムが解決の数日前に改修されたようで、店舗でPontaIDを打っても会員情報が一部しか見れなくなったそうです。
逆に言うと今までは顧客の個人情報が見放題だったと言うことになります。

店員がPontaIDを入力すれば相手の住所、氏名、生年月日、電話番号全て分かってしまうシステムって異常ですよね。
可愛い、格好いい子が買い物してくれたら、その直後にID検索してその子に電話が出来ちゃうんですから。

バイトでも見られるとしたら普通にこんな事件起きますよね。(バイトはもともと見れなかった可能性もあります)

私が問い合わせてから二週間程度でこんなピンポイントなシステム改修が走ると、今回の件も実は原因が分かっているのではないかと疑ってしまいます。
システムに何も起きていないのに、セキュリティシステムをいきなり改修するのは普通じゃないです。


総評

IT企業が素人企業相手に適当にてきとうな報告書を出したような状態で収束してしまいました。
いくら問い詰めても「原因は全く分からない」以外の回答を引き出すことが出来ませんでした。
おそらく個人相手なので最初から原因なんて話すつもりはないのでしょう。

しかし、GEOはPointを返還してくれる優良企業と言う事も判明しました。
Pointは規約上返す必要はないですからね。(これも驚きの規約ですが…)
実際にPointが返還されない事象もあるようで少額訴訟を起こしている記事もありました。
私も杞憂には終わりましたが、少額訴訟の準備も視野に入れていました。

事象解決まで約二週間。
Pontaカードが使えないので全くポイントがためられないですし、この対応で使った通話料が10,000Pontaポイントと対して変わりません。
対応している工数まで考えると大赤字です。
皆様被害には十分気をつけましょう。

エンジニア目線での総括

適当に原因不明の報告をして裏でこっそりとシステム改修なんて言うせこいことはしないでもらいたいです。
この適当な報告のせいでポイントが戻ってきても納得いきませんし、不信感が募るばかりです。

また、企業にはもう少しセキュリティやアフターサービスにお金を掛けてもらいたいです。
売上につながらないので後回しなのは分かりますが、こんなことが起きる会社のサービスは使いたくなくなります。
原因報告とポイント返還をもっとスパッとやってくれるならまだしもこのアフターサービスでは印象が悪くなりますし、GEOからしても対応工数ばかりかさんでいいことがないと思います。

 

※2018年9月22日追記

最近はPontaカスタマーへ電話するだけでPointが返還されるようです。
なので、私みたいに直接店舗へ電話し交渉などと言う、意味のわからないことをしなくてもよくなったみたいです。
サポートの品質が向上していることは喜ばしいですね。