マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話
やられました。一応,全容がわかってきたので記録として残しておきます。
クレジットカードの不正利用されてしまった【マックデリバリーでセゾンアメックスが被害に】|モチのブラックカードが欲しい!
かなりの部分は上記の方と類似していましたので,こちらもご参照ください。
セゾンポータルアプリへの通知で気付く
最初に気付いたのは,セゾンポータルアプリへの通知でした。
この時点では「ショッピング利用」としかわからなかったので,身に覚えがなく不審には思いましたが,まだ不正利用を確信できませんでした。
続いてクレディセゾンモニタリング担当からSMSが
セゾンポータルアプリへの通知とほぼ同じタイミングで,クレディセゾンからSMSが届きました。
上記,ものすごくフィッシングっぽいですが,「0366883248」からのSMSは本物ですので見過ごさないようご注意ください。
クレディセゾンからSMS(ショートメッセージ)が届きました。本当にクレディセゾンからですか。
SMSのリンクをクリックすると,上記の通り表示されました。この時点で不正利用を確信しました。
ただ,この時点では気付いてなかったのですが,最初のセゾンポータルアプリの通知と,SMSの通知はなんと別のカードでした。同時に2枚が被害に…。
- カードA:セゾンポータルアプリに通知(320円)
- カードB:SMSに通知(850円未遂)
クレディセゾンモニタリング担当に電話
気付いた時点でぎりぎり18時になっていなかったので,すぐにSMSに記載されていたクレディセゾンモニタリング担当に電話をしました。
■お問い合わせ先
株式会社クレディセゾン モニタリング担当
03-6688-3248(10:00~18:00)
幸いにすぐに電話につながり,SMSで通知されたマクドナルドモバイルオーダーの注文に心当たりがない旨を告げたところ,カードBの停止と再発行の手続きをしてくれました。
ただ,このとき出張中でカードが手元になかったため,その他の問い合わせは帰宅してカードを手元に置いて再度の連絡となりました。
- カードA:セゾンポータルアプリに通知(320円)
- カードB:SMSに通知(850円未遂)
念のためにカードAもアプリから24時間停止をしました。この時点では2枚のカードの関連性はわからずじまいでした。
3日後に再度クレディセゾンモニタリング担当へ電話
3日後に再びクレディセゾンモニタリング担当へ連絡し,折り返しの電話をもらいました。
- カードA:セゾンポータルアプリに通知(320円)
- カードB:SMSに通知(850円未遂)
ここで,カードAもマクドナルドモバイルオーダーによる決済と判明しました。そして,カードAは注文が通ってしまっていました。
改めてカードAも停止と再発行の手続きをしました。カードAの320円は保障されるとのことでした。
電話を切った後,「マクドナルドモバイルオーダー セゾン 不正利用」で検索したところ,冒頭で紹介した類似例の記事に当たりました。
クレジットカードの不正利用されてしまった【マックデリバリーでセゾンアメックスが被害に】|モチのブラックカードが欲しい!
これでマクドナルド公式アプリが原因と気付きました。ただ,上記の方はモバイルオーダー直後の注文メールで気付いておられます。私にはメールは来ていませんでした。
マクドナルド公式アプリの「会員情報」を見てみると,メールアドレスが見知らぬものに変更されていました。これでメールが来なかったのです。すぐにメールアドレスを元に戻し,パスワードも変更しました。ログイン状態なのでなんとか変更できましたが,そうでなければどうなっていたでしょうか。
マクドナルド公式アプリのクレジットカード登録も確認したところ,下記のキャンペーンでアメックスカードを3枚登録していました。
マクドナルドで30%キャッシュバック AMEXブランドのクレジットカードでアプリ決済が対象|Yahoo! ニュース
さて,私が気付いていたのはカードAとBだけでしたが,もう1枚あったのです。すぐにアプリで確認してみると…
- カードA:セゾンポータルアプリに通知(320円)
- カードB:SMSに通知(850円未遂)
- カードC:気付いてなかったもう1枚(5件で1,860円)
しっかりやられてました。カードAとBを止めたあとにも,追加で5件やられていました。
アメックスプロパーに電話
カードCはアメックスプロパーカードだったので,そちらに電話しました。
こちらもカード停止と再発行の手続きはすぐにしてくれました。
ただ,「不正利用についてマクドナルドに連絡してから,保障しないと言われたらまた電話してください」と言われました。
レシート記載のご利用店舗、または”お客様サービス室フリーダイヤル” (0120-010-916/受付時間9時〜17時)までご連絡をお願いいたします。
不正利用された店舗名はアプリの注文履歴からわかっていたので,そちらに電話しても良かったのですが,現場は忙しそうですし確認しようもないかと思い,上記の”お客様サービス室フリーダイヤル”にかけました。
するとまさにけんもほろろで,「こちらではお調べできないので,クレジットカード会社にご相談ください」の一点張りでした。まあ,それはそうでしょうね…。
というわけで,再びアメックスプロパーへ電話。疲れてきました。そうすると,今度はセキュリティ担当という方につないでいただき,5件の保障を約束してくださいました。
そして,いくつか質問されて終了。クレカ不正利用の被害者はあくまでクレジットカード会社なのでこれ以上の犯人捜しはできませんが,これで一旦は幕引きとなりました。
まとめ:どうやってアプリを乗っ取ったのか?
以上でとりあえず解決となりました。被害金額はたいしたことがなかったものの,いろいろと対応に追われて無駄に疲れました。
しかし,最後までわからなかったのが「犯人はどうやってアプリを乗っ取ったのか」という点です。
現在(2024年7月7日時点)のマクドナルド公式アプリは,一度ログアウトすると再ログイン時に登録メールアドレスに認証コードを送る仕組みになっています。
犯人はログインしていないから状態なのですから,IDとPWが漏れていたとしてもログインできないはずなんです。
しかし,実際にはログインされてメールアドレスを勝手に変更&注文されていました。
つまり,単純にメールアドレスとパスワードの組み合わせが漏洩していた(それはそれで大問題ですが)というだけでは説明がつかないのです。
犯人は何らかの方法で,2段階認証をすり抜けてログインができていることになります。
何らかの方法でログインできるのなら,新しく登録したいメールアドレスを入力すれば(元のメールアドレスに通知無しに)メールアドレス変更可能です(だから逆に言うとアカウントを取り戻せる)。
しかし,2段階認証すり抜けログインの理屈が不明です。お手上げですね…。
マクドナルドモバイルオーダーでクレカの不正利用が増えてるらしく、クレカ登録してセキュリティレベルが上ったらしい( ´_ゝ`)
— まつける (@Matsukeru) September 24, 2023
上記のように対策も取られているそうですが,それでも類似の被害も報告されています。
JCBゴールドカードでマックデリバリーの不正利用にあいました|Recon-ReviewDays
みなさんもお気を付けください。
