Pontaポイントが不正利用されたので取り戻すまでの軌跡を書いてみた。

皆様こんにちは。

たまたまPontaWebでPontaポイントを確認したら、急にPontaポイントが0になっていました。。。
私は昭和シェル石油のヘビーユーザなので10,000ポイントくらいたまっていたのです。

慌ててPontaWeb上の利用履歴を確認すると全く私の住んでいる地域とは違う、家から何百キロも離れたGEOの店舗で全額利用したことになっていました。
身に覚えがない利用なのですぐさまPontaカスタマーセンターに電話することにしました。
すぐポイントが戻ってきて終わりかと思いきや、予想以上の労力がかかったのでポイントを取り戻すまでのやり取りをまとめておきます。
同じく不正利用された方の参考になれば幸いです。

結論を最初に話してしまいますと一応ポイントは返ってきました。
ITエンジニア(セキュリティ寄り)の人間からはとても納得できる最終回答ではありませんでしたので不信感は拭いきれませんでしたが…

Pontaポイント不正利用の時系列

Pontaポイント不正利用対応1日目

Pontaポイント不正利用に気付く

Pontaカスタマーセンターに電話1
ロイヤリティマーケティングと言うPontaを取り纏めている会社のサポートに電話しました。

つながるまでに1時間近くかかりました。(順番待ちにすら入れず強制的に切られるのが20分、順番待ちからは40分)
しかも携帯からは通話料がかかります。

電話の結果、店舗での利用なので直接店舗に電話してくれと言われる。
その店舗行ったことすらないんですけど!
ロイヤリティマーケティング社のスタンスに呆気にとられました。
知らない店にいきなりPonta不正利用されましてなんて言う電話をしなければならない利用者の身にもなって欲しいです。
尚、ついでにカードは一時利用停止にしてもらいました。

不正利用されたGEO店舗に直接電話
何も知らない店舗従業員が電話に出るので全く会話が噛み合わない。
電話でた方も、「はぁそうですか…」って感じです。 そりゃそうだ。
結局責任者から折り返しもらうことに…

店舗責任者(店長)から電話がくる1
金曜日のお昼に電話しました。
店舗で不正利用なんて可能性は低いと節々に混ぜられながらも店長からエリアマネージャー?にエスカレーションしてもらうことになりました。
しかし、回答は月曜日になると。
不正利用なんて言うシビラティの高そうな事案にも関わらず、内勤の方々は土日休み宣言です。
一般的なIT企業の感覚ではないですね。普通に考えると超大事なので土日出勤当たり前だと思うのですが…

又、電話では簡単な質問をもらいました。
・どこで不正利用を知ったのか(最後までPontaWeb経由だと言うことは理解してもらえず、使ったこともないGEOアプリ経由での確認と言うことにされていました。)

因みにPontaカードのない状態でPontaを使うことが可能なのかと聞いたら生年月日と名前、身分証があれば可能との回答をもらいました。
ただ、身分証は目視確認のみで、コピーなどはとらないとのことです。
つまり、ターゲットの生年月日、名前、適当な身分証(最悪誰のでもOK?)があればザル店員相手の場合、使うことが出来ます。

店長曰く身分証の確認ミスはバーコードの読み取りミスでたまたま私の番号が使われたのと同じくらいの確率でありえないそうですが…
私にはとてもバーコード程優れた仕組みには思えませんね。

又、Ponta番号直打ちでの会計は出来ないらしいです。(嘘か本当かは分かりませんが…

上記すべてが本当なら犯人はターゲットの生年月日と名前を暗記し、身分証まで偽造して不正利用するわけですからとても10,000ポイントでは割に合わないと思います。

Pontaポイント不正利用対応2日目

Pontaカスタマーセンターに電話2
不正利用の原因を知りたかったので再度カスタマーに電話することにしました。
今回も40分がかりでやっと繋がりました。。。

PontaWeb等の不正アクセス経由を疑っていたのでダメ元でアクセスログ下さいと依頼してみました。
しかし、オペレータには全く通じず、「PontaWebのID/PWがわからないと言うことでよろしいですか?」と言われ続けながら何とか意味を理解してもらいました。
が、結果的にPontaWebはリクルートのシステムなのでリクルートに確認してくださいと。
ロイヤリティマーケティングは一体どういうときに電話すれば解決してくれる場所なんですかね。
堂々とPontaの裏面にCSとか書いてるくせにPontaの管理を殆ど行っていないように見えます。

結局PontaWebのログイン履歴は普通にWebで見れたのですが、特に不正な点は見当たりませんでした。

警察に相談
警察庁のサイバー犯罪対策課に電話してみました。
この場合被害者はGEOであってあなたではないので被害届は受理出来ませんと一蹴されてしまいました。
私も被害を受けているのですが、こういう場合の被害者は不正利用された会社になるそうです。
私の被害はお国的には被害ではないとのことで法律って難しいですね。

ただ、警察官の理解が高い場合は被害届を受理してくれるそうです。
被害届が受理されればGEO等のPointサービスをやっている会社としては警察から要請がある以上動かざるをえないので調査が早くなるらしいのですが。

Pontaポイント不正利用対応4日目

店舗責任者(店長)から電話がくる2
予定通り週明けに電話が来ました。
ポイント返還の手続きをしようと思います。
カードを使っての不正利用なので一度再発行してから云々と説明され、最後にいくつか追加質問がいくつかきました。
・近隣に住んでいたことは?この店舗を利用したことは?
・カードが無い中どうやってPontaIDが分かった?(普通は覚えているはず無いと思っての質問)
「そもそもカードは無くしていません。手元にずっとあります。」と回答したら
「でもカードが「紛失」ステータスになってますが?」と問い詰められました。
初日にカードがないのにどうやって不正利用できるのか聞いたんだから状況は分かるだろうが…と思いながらもカクカクシカジカで納得してもらう。

しかもカードが手元にあると言う話をした途端、話が一転しました。

状況が大きく変わったので再度エリアマネージャーに確認すると言われ電話が終了。\(^o^)/
初日の説明が全く通じていないことに大きな落胆を覚えながら次の連絡を待つことになりました。

店舗責任者(店長)から電話がくる3
内容の抽出に10日かかるとか訳の分からない回答がその日のうちにきました。
システム部てきなところで、原因調査しているのでしょうか。
何をしているのか全く理解できない連絡でした。
それに10日もかかると。

流石にそれでは困るので
「10日もPontaを使えないのは辛いし、なに経由で不正利用されたかも分からない状態で10日も待つことは出来ません。システム部に催促し、翌日には進捗だけでも電話してくれ」と依頼しました。
結局、翌々日に電話と言うことで落ち着きました。

Pontaポイント不正利用対応6日目

折り返し電話が来ないのでこちらからGEO店舗に電話
翌々日にも関わらず折り返しが来ないのでGEO店舗にこちらから電話。
なんと店長はその日夜勤で24時出社らしいです。
絶対翌々日に電話かけられないシフトじゃねーか…

必ず折り返し下さいと伝え電話は終了。

Pontaポイント不正利用対応7日目

店舗責任者(店長)から電話がくる4
夜勤明けの店長から9:30AMくらいに折り返しの電話が来る。
結局進展は無いらしく、抽出に時間がかかるの一点張り。
ITエンジニア相手にこの言い訳は苦しすぎます。100%嘘です。
たった一人分のデータ抽出に10日も掛かってたらそのシステム破綻してますよ。

Pontaポイント不正利用対応12日目

店舗責任者(店長)から電話がくる5
予定より数日早く電話が来ました。
結論から言うとPontaポイントは返還しますが原因は不明でしたと。
たった一週間前の出来事なのに原因究明が出来ないシステムログや監視カメラの映像管理って、とても株式市場に上場している会社とは思えないです。
日本の会社って対応よりも原因報告に異常に固執するのでこういうログやカメラのデータ管理は結構厳重に行うんですよ。
それを簡単に不明でしたと回答してくるあたりが非常に不信感を覚えます。

Pontaポイント返還までの流れ
・電話の繋がらないロイヤリティマーケティングに再度電話し、一時停止措置を解除してもらう。
・最寄りのGEO店舗に行ってPontaカードを再発行してもらう。
・GEOアプリ経由の不正も考えられるからアプリとカードの連携解除を店舗で行う。(個人では出来ないことらしい)
(いきなり店舗に行っても話が通じないと思うので不正利用されたGEO店舗から再発行する予定の最寄りのGEO店舗に話をしておいてくれるとのことでした)
・再度不正利用されたGEO店舗に電話し、ポイント返還措置。(数日かかるらしい)

GEOアプリなんて使った記憶ないからログインすることすら出来ません。
しかも、ポイント返還までにこっち側でやること多すぎて超面倒くさいです。

Pontaポイント不正利用の原因
全くわからないとのことです。(´Д`)ハァ…

店長がぼそっと言っていたのですが、GEOのPonta関連のシステムが解決の数日前に改修されたようで、
店舗でPontaIDを打っても会員情報が一部しか見れなくなったそうです。
逆に言うと今までは顧客の個人情報が見放題だったと言うことになります。

店員がPontaIDを入力すれば相手の住所、氏名、生年月日、電話番号全て分かってしまうシステムって異常ですよね。
可愛い、格好いい子が買い物してくれたら、その直後にID検索してその子に電話が出来ちゃうんですから。
バイトでも見れるとしたら普通にこんな事件起きますよね。(バイトはもともと見れなかった可能性もあります)
バイトの殆どはそんな教育もまともにされませんし、意識も低いですから。(実際そんなニュースを見た記憶もあったような。

私が問い合わせてから二週間程度でこんなピンポイントなシステム改修が走ると今回の件も実は原因が分かっているのではないかと疑ってしまいます。
システムに何も起きていないのに、セキュリティシステムをいきなり改修するのは普通じゃないです。
タイミングもドンピシャすぎます。

Pontaポイント不正利用の総評

IT企業が素人企業相手に適当にてきとうな報告書出したような形で収束してしまいました。
いくら問い詰めても原因は全く分からない以外の回答を引き出すことが出来ませんでした。
おそらく個人相手なので最初から原因なんて話すつもりはないのでしょう。

しかし、GEOはPointを返還してくれる優良企業と言う事も判明しました。
Pointは規約上返す必要はないですからね。
実際にPointが返還されない事象もあるようで少額訴訟を起こしている記事もありました。
私も杞憂には終わりましたが、少額訴訟の準備も視野に入れていました。

事象解決まで約二週間。Pontaカードが使えないので全くポイントが貯められないですし、この対応で使った通話料が10,000Pontaポイントとそんなに変わりませんorz
対応している工数まで考えると大赤字です。
皆様被害には十分気をつけましょう。

Pontaポイント不正利用のエンジニア目線での総括

適当に原因不明の報告をして裏でこっそりとシステム改修なんて言うせこいことはしないでもらいたいです。
この適当な報告のせいでポイントが戻ってきても納得いきませんし、不信感が募るばかりです。

又、企業にはもう少しセキュリティやアフターサービスにお金を掛けてもらいたいです。
売上につながらないので後回しなのは分かりますが、こんなことが起きる会社のサービスは使いたくなくなります。
原因報告とポイント返還をもっとスパッとやってくれるならまだしもこのアフターサービスでは印象が悪くなりますし、GEOからしても対応工数ばかりかさんでいいことがないと思います。

 

※2018年9月22日追記

最近はPontaカスタマーへ電話するだけでPointが返還されるようです。
なので、私みたいに直接店舗へ電話し交渉なんて言う意味のわからないことをしなくても良さそうです。
サポートの品質が向上していることは素直に喜びたいと思います。

最近また一気に不正利用の件数が増えているようです。
ローソンID経由で大々的なDポイントの流出があったようなので、Pontaもそこから流出されている可能性が個人的には高いかなーと考えています。
皆様ポイントの不正利用には十分注意(自衛手段は限られていますが)し、安易に色々なサービスに会員登録しないようにすることをオススメします。
大概の企業の個人情報管理は皆様が想像している以上に雑ですよ。
あのソニーですらPSIDのパスワードを平文管理して大事件になっているくらいですからね。