人生で初めてネットサービスのアカウントを乗っ取られました。
おまけに、プレミアムプランの課金まで。
この記事では、Netflix(ネットフリックス)のアカウントが乗っ取られた場合に、どのように対応すればよいかを経験に基づいて紹介します。
以下の流れに沿って対応すれば、すぐに解決できますのでご安心を。
乗っ取り発見までの経緯
ある日の昼下がり。
ランチでラーメンを食べようと注文し、待っている時間にふとメールを開いたところ・・・
不審なメール群が目に留まりました。
受信は約1時間前。
Netflixから電話番号の変更通知、続いてスペイン語らしき件名の謎メール、そして代金引き落としの通知。
少し前にネットフリックスを利用し、一旦解約しておいたはずなのになぜ?
ただのスパムかとも思ったのですが、一応中を確認してみることに。
古い方から順番に、まずはメール一通目。
うん?末尾36の電話番号なんて知らんぞ??
続いてメール二通目。
- Google翻訳してみると:
- メールが変更されました
こんにちは1:
ご要望に応じて、お客様のアカウントのメール アドレスを変更しました。 ****@*** はご利用いただけなくなります。 Netflix にサインインするときは、新しいメールを使用してください。
メール アドレスの変更をリクエストしていない場合は、アカウントを保護するお手伝いをいたします。 お問い合わせください。
Netflixチーム
スペイン語?
ほぼ読めないものの、雰囲気からするとメールアドレスの変更通知のような気が・・・
最後にメール三通目。
・・・いや、ちょっと待って!
この口座、ネットフリックスに登録してたやつ!
銀行のアプリで残高を確認したところ、しっかりと引き落とされていました\(^O^)/オワタ
ここまで確認したところで、ようやく
という結論に達しました。
乗っ取りへの対応
出先では対応できないので、帰宅してからすぐ取り掛かりました。
一応ログインできるか確かめてみましたが、当然不可能。
そりゃそうだ。メアド変更されてるからね。
どうしようもないので、お客様サポートに相談するしかありません。
①カスタマーサービスへ電話
Netflixの問い合わせ先は、0120-996-012です。
朝9時から夜9時までは日本語のサポートで、それ以外の時間帯は英語対応になるようです。
私は昼に掛けたので、日本の方が対応してくださいました。
曰く
- 登録していたメールアドレスとパスワードが、どこかから漏れたものだった可能性が高い
- ネットフリックス内ではカード番号は末尾4桁しか見ることができないので、カード番号は漏れていない
(つまり買い物などに悪用される心配はない) - 乗っ取られたアカウントの抹消手続きをする
- 引き落とされた金額は返金する
とのこと。
お時間あればすぐに手続きを、とのことで了承。
所要時間は約10分。
以下、手続きの流れです。
②本人確認
本人確認は、アカウントに登録していたカードの番号を使いました。
手元にない場合は事前に準備をしておくとスムーズです。
電話口で伝えるのではなく、ダイヤルを押して確認する方式でした。
③アカウント変更・抹消
アカウントの抹消は、以下の順番で行いました。
- 登録していたものと別のメールアドレスに変更
- パスワードを変更
- アカウント抹消
元のメールアドレスは既に漏れてしまっているため、この状態では再度乗っ取りを受けてしまう可能性があります。
そこで、漏れていない別のメールアドレスに変更した上でアカウントのパスワードを再設定することで、安全に抹消することができるということでした。
④無事返金へ
アカウントの抹消が完了すると、最後に返金手続きをしていただけました。
通常であれば2,3営業日内、長いと2か月ほどかかる場合もあるそうです。
もし2か月経っても返金されない時は、再度カスタマーサービスに連絡してほしい、とのことでした。
その日のうちに無事に返金されました。
・・・と思いきや、もう少しだけ続きます。
続き 二重引き落としの罠
あれから数日後。
なぜか再び1,980円が引き落とされました。
焦って調べてみた結果、そういう仕様になっているらしいですね。
参考:Visaデビットで、二重引き落としがあったのですが、なぜですか。
そのうち返金されるようなので、もう少し待ってみようと思います。
⇒二日後に再返金されました。
反省点
最後に反省と対策。
そもそも、メールアドレスとパスワードの使い回しをしていたことが原因です。
何パターンか用意していたのですが、今回漏れた組み合わせはもう使いません。
ID・パスワードの使い回し、ダメ絶対!
しかし、ネットフリックスに対して思うところもないわけではありません。
サポートの迅速かつ丁寧な対応は良かったのですが、
登録済みの番号に確認や通知もなく、番号やアドレスの変更ができてしまうのはいかがなものか?
初めてのデバイスからログインする際に、ワンタイムパスワードなどで確認するようにすれば、こんな乗っ取りは起きにくくなるのでは?
もう少しセキュリティを厳しくしてもよいのではないでしょうか。