まだプログラマーですが何か?

プログラマーネタとアスリートネタ中心。たまに作成したウェブサービス関連の話も http://twitter.com/dotnsf

先日の、不正請求と思われる Google Wallet での決済に関する続報です。
過去のエントリはこちらこちら

Google Wallet チームからメールが届きました。内容は「銀行やカードの会社から chargeback(返金)してもらえ」というもの。つまり不正利用された分が請求されることが確定したらしいとのこと。 実際にカード会社のオンライン明細を確認すると確かに記録されていました。ふーん・・・「Google 側に問題はなかったのか?」と、なんとなく釈然としない所もあったけど、とりあえずはカード会社に電話連絡、と。

今回の不正請求で自分が購入したことになっている、と明細に記録されていたのは "Clash of Clans" などのゲームを制作・販売している SuperCell というゲーム会社の製品でした。1つ謎だったのはどこかにいる犯人は何を狙っていたのか、ということです。仮に情報をハックできていたとしても、僕のクレジットカードを使って購入したら商品は僕の元に届くわけで、それで一体何の狙いがあったのか謎でした。なお以前のブログエントリで僕が購入したことになっている商品が "Gems" だと記載しましたが、これもゲームの名前だったことがわかっています。

とりあえずカード会社経由で請求分をキャンセルするか、あるいは返金するような手続きを取っていただけることになりました。が、その会話の中で分かったのですが、「この SuperCell という会社からの不正請求報告が最近増えている」のだそうです。それは聞き捨てならんな・・・

というわけで「Google Supercell 請求」あたりでググってみると・・・、確かに同様の Supercell 絡みの被害報告がたくさん見つかります。全て Google Play 絡み、ということはカードの情報そのものが流出したというよりも、Google のアカウントがハックされたと考えるべき??

また犯人の狙いも少し分かった気がします。この Clash of Clans というゲームはいわゆる「アイテム課金」型のゲームで、リアルマネーを払うことでゲームを有利にすすめるためのアイテムが購入できます。つまり僕のカードを使って購入したものは物理的なアイテムではなく、ネットゲーム内で使える課金アイテムの購入に充てられた可能性があります。それなら住所が僕のものになっていても(犯人は既にアイテムを入手しているでしょうから)不思議ではありません。ちょっと納得できた気がします。

と、日本でも多く報告されている類似事例や、Google Play で扱っているゲームの課金アイテムの購入に充てられた可能性を考えた場合、やはりクレジットカード情報が流出したというよりは、Google アカウントがハックされたか、Google アカウントが流出し、そこから Google Play にログインして、Google アカウントに紐付けられたクレジットカードを使って、課金アイテムなど配達不要のものを購入した、という可能性を考える方が筋も通って現実的な気がしています。

一応念のため今のクレジットカードは解約して新しいカードを発行して、Google アカウントに紐づくクレジットカード情報も新しいものに更新すれば大丈夫かな・・・と思っていたのですが、よく考えたら何が怖いって、もし上記の推測が正しく Google アカウントそのものがハックされている場合(または流出していた場合)、アカウントに新しく発行したクレジットカードを紐付けても、その直後からすぐに使われてしまう可能性がある、ということです。 これを自力で予防するにはアカウントにカードを紐付けないようにするしかないんですが、でも AppEngine とか各種 API とか、有料か無料かはともかくクレジットカードを登録しないと使えない Google サービスもあったりするので、そこがまた悩ましいというか・・・

とりあえず Google アカウントのパスワードはより複雑なものに更新しておきました。単純ですが、アカウントがハックされていたのだとしたら、これも有効な対策になりえるので。


 

前回のエントリの続きです。
日本語では対応してもらえなさそうだったので英語で攻めてみました。英語が苦手な人の役に立てばと、自分の場合の対処手順を紹介します:

なんとなくですが今回の対応が正解っぽかったです。Google Wallet のヘルプページから「問題のトラブルシューティング」 - 「払い戻しと覚えのない請求」を選択。「オンライン購入」をクリックしてから、ステップ4の「こちら」と書かれたリンクをクリック。すると「お客様の言語ではサポートを提供していない」と書かれたページに移動します。意を決して "English" をクリック。

gw01

するとこんな英語の払い戻しフォームが表示されるので内容を埋めていきます。英語が苦手な人のために簡単な意訳を赤字で併記しておきます:

gw02


名前と苗字、メールアドレスは問題ないとします。問題の取引のあった日、時刻、額、決済相手、そしてオーダー番号は Google からの取引を知らせるメールに記載されているので、その内容を入力します。日は日本式の YYYY/MM/DD フォーマットではなく MM/DD/YYYY フォーマットで指定します。

キャンセルの理由欄では近い理由を選択しますが、「身に覚えのない取引」だとしたら一番上の "I don' recognize this charge" を選択します。またその下の説明欄にはその他の補足(私の場合はその前に行った 日本の Google Play チームとの咬み合わないやり取りの内容を記述しました)を入力します。また添付ファイルには該当の取引が表示されている Google Wallet 画面のスクリーンショットを取って添付しました。最後にチェックを入れて "Submit" ボタンで送信、以上です。

今回は担当外ではなかったらしく(苦笑)、数時間後に英語でメールが送られてきました。自分が受け取った内容では「まだ詳しく調査している」との内容で、まだどうなるか分からないのですが、そんな「調査中」であるという事実を知らせてもらうまでに3日を要してしまいました。

でもとりあえずこちらの意図が伝わったことは確認できたと思います、「担当外です」って言われるよりは数倍安心。


自分のタイムラインでも他の知り合いに同様の不正利用請求があったらしく、もしかすると大規模なトラブルがあったのかもしれません。将来も含めてそんな人の参考になれば。


 
 

先日、Google から立て続けにメールが届きました。

タイトルは全て同じで "Your Google Play Order Receipt from Nov 22, 2013" というもの、内容も似ているけどほぼ同じで、僕が11月22日に Google Play から購入した商品の確認メールでした。いや何も買ってないけど。。

Google Wallet の様子はこんな感じ。11月22日に6つの商品を購入したことになっています。この画面では詳細は分からないのですが、この6回の購入が4分の間に立て続けに行われていました。
gwallet

この件で Google に問い合わせた所、最初の1件は「今回のみ例外措置でキャンセルする」と連絡がありました(何で上から目線なのか分からないけど・・・)。 また最後の2つはおそらく Google の判断で(もしかしたらこの時点でおかしいと気付いていた?)トランザクションがキャンセル扱いになっていました。が、残る3つの購入は今も有効になっています。

ちなみに僕が買ったことになっている商品は "gems" 、つまり「宝石」。いらねーっての。 (^^;

困ったことに Google は Google Wallet に関して(少なくとも日本には)窓口がない模様。電話対応はそもそもなく、届いたメールからリンクをたどり、問い合わせフォームからメールを送ったところ Google Play チームに対応してもらうことになったらしいのですが、「担当外です」とか言われる始末。いや、俺だって担当外の人に頼んだ覚えはないよ(苦笑)。

カード会社にも問い合わせしました。カード購入の問い合わせ記録そのものは残っている模様。ただこの購入による請求額が確定していれば、それをキャンセルするかどうかを判断できるが、今の段階では請求額が確定していないのでカード会社では取れる措置がない、とのことでした。ちなみに購入元が「Google です」と伝えたところ、「電話で問い合わせできなくて、メールフォームで問い合わせを繰り返してもらうしかない」とやけに詳しく言われたので、過去にも同じようなことがあったのかも・・・と推測。
なお、今回のこの件以外に身に覚えのない取引はカード会社にも記録されていないようでした。

改めて Google の(担当外の)人に連絡して、何度かのやりとりの結論はこの通りでした:
 「身に覚えのない請求につきましては、下記リンク先でのみ対応させていただいております」(原文まま)
 https://support.google.com/googleplay/answer/2851610?hl=ja

まあとりあえずは担当外での対応ありがとうございました、と。

ただ上のリンクをたどると分かるのですが、結局「Google ウォレットチームに請求について報告」するしかなく、そのリンク先では請求書の詳細項目を記入して(おそらく)払い戻ししてもらうことになるのかな、と思ってます。要はやはり今の段階で何かできるわけではなく、請求額が確定したら教えろ、と。


普通に考えると Google Wallet ないしは Google アカウントに不正アクセスがあって情報が取られた、と考えるべきだよね。で、今の時点では何も打つ手がない、と。。


今回の件があったから言うわけではないけど、Goggle Wallet の問い合わせが日本でできない(しても担当外のチームが対応する)のはちょっと問題なんじゃないかなあ、と感じてます。以前に、その時は不正利用とかではなく、単に Google Wallet から請求された内容について確認したかった時にもなかなか話が伝わらずに苦労した記憶があるので。


さて次の手はどうしよう? 英語で問い合わせすればいいのか? ちと試してみよ。







このページのトップヘ