- 私個人が収集した情報を公開しており、内容が古かったり不正確である場合が有ります。
- 当サイト内のコンテンツはキュレーションサイト等での利用を一切認めていません。
- 無断転載・改変(リライト)等は厳禁。 判明した場合は対処します。
あなたも他人事では無い! Steamアカウントハッキング被害
それは10年前のことであった・・・ 去年の秋の事である。
お恥ずかしいことにSteamのアカウントをハッキングされてしまった。
それどころかお金までだまし取らる始末。所謂フィッシング詐欺の一種だろうか。
そして一昼夜にわたる激闘の末、なんとかアカウントを取り戻す事に成功。
少額とはいえ被害も出たので、一応警察に届け出てきた。(事情聴取とか初めて・・・)
詐欺被害に遭うなんてとても恥ずかしい事なのだが、この事件を通じて色々貴重な経験が出来たのも事実。
ここではその一部始終を詳細に書いてみようと思う。
新たな被害者を生み出さないために・・・!
「フィッシング詐欺に合うなんてどんなおマヌケな奴なんだ?」
「自分は“情強”だからアカウントを乗っ取られるようなヘマはしないよ」
そんな油断・おごり高ぶりを一瞬で打ち砕いてくれた出来事でした。
ちょっとした気の緩みから窮地に陥るリスクが有る、そんな教訓を得た事件です。
あなたもおマヌケな私を反面教師にして、来たるリスクに備えるべし!
悪夢の始まり、それはとあるフレンドからの一通のチャットメッセージ
そもそもSteamとはなんぞやという話しだが、簡単に言うとオンラインを中心としたPCゲームのプラットフォームだ。
Steam自体はゲームでは無く、あくまでユーザーとゲームの間を取り持つプラットフォームである。
Steam(スチーム)は、PCゲーム・PCソフトウェアおよびストリーミングビデオのダウンロード販売とハードウェアの通信販売、デジタル著作権管理、マルチプレイヤーゲームのサポート、ユーザーの交流補助を目的としたプラットフォーム。
開発および運営は、Valve Corporationが行っている。
(Wikipedia・Steamのページより引用)
全世界でアクティブユーザー数だけでも一億を越えており、日本国内にもユーザーは多い。
私も十年以上に渡って使用しているベテランユーザーの1人である。
そう、まんまとアカウントをハッキングされるほどの凄腕ベテランユーザーなの!
社会人となった今は主に週末に利用することが多くなったが、そんなある週末、フレンド達とLeft4Dead2(通称L4D2)のサバイバルモードを楽しんでいた。
このサバイバルモードが実に楽しく、L4D2のプレイ時間の9割くらいはサバイバルモードを遊んでいるくらいだ。
後日詳しく紹介したいと思うのでお楽しみに。
そんな時、とある1人のフレンドからチャットメッセージが届く。
このフレンド、一ヶ月ほど前にフレンド申請をしてきたので特に何も考えずに承認したものの、その後特に交流もなかった人物。
使用言語からして外国人である。
みなさん複数のSteamフレンドがいると思うが、中にはほとんど交流の無いフレンドも居るだろう。
フレンドになったものの、その後全く交流していない、そんなフレンドも多いと思う。
で、こいつが何を言ってきたのかというと、
このアカウント、君のサブアカウントで間違い無い?
昨日このアカウントからトレードの申し込みが有ったから取引したのに、代価を支払わずにブロックしてとんずらしちゃったんだけど!?
まさしく「おまえは何を言っているんだ」状態だったので、即座に「知らん。俺のアカウントはこれ一つだけだ。」と返信。すると・・・
ええ、マジかよ?
俺の他の友達も君のアカウントから詐欺られたので、Steamのサポートに君の詐欺行為を通報してしまったんだ。
おいおいおい・・・ 寝言は死んでから言ってくれ。なにしてくれてんのォ!?
で、Steamのサポートに通報したら担当者から返信があったという。
何やら色々書かれているが、大体要約するとこんな感じだ。
こいつ(私の事)ぁとんでもねぇ悪人だ!
ひとまずアカウントロックしとくよ! その後本人から異議申し立てが無ければアカウント永久剥奪するよ~
勘弁してくれ。何なのもう。ホント勘弁してよ。
この時の私は「面倒くさいことになったなぁ」という気持ちで一杯で、少し混乱していたと思う。
だが、少し冷静に考えればおかしい点に気が付くはずだった。それは、
この「通報(BAN申請)→ アカウントロック」の流れがまかり通るならば、悪意のある嘘通報でいくらでも相手を陥れることが可能になってしまう。
運営担当者が私のコミュニティでのログを調べれば、私が無実である事は直ぐ分かるはずだ。
事実関係を調べもせずに、いきなりアカウントロックや剥奪を行う訳がない。
Steam(Valve)がそこまでマヌケなシステムで運営を行うとは思えない。
そう、悪戯通報し放題になってしまう訳なので、そんなのはあり得ないわけである。
ちょっと考えればおかしい事は分かったはずだ。
しかし、この時、私の判断を狂わせるとある出来事が起きた。
それは、その時プレイしていたL4D2の記録が閲覧できない状態になったのである。
前述の様にこの時はサバイバルモードという物を遊んでいた。
各マップ毎に達成時間などが記録され、後から各成績を閲覧できるようになっている。
しかし、この時、私の記録は何故か全マップが「00:00:00」みたいな感じで、全てがリセットされたような状態になっていた。
後から考えると、Steamのサーバー(データはココに保存される)との同期が上手くいかず、記録がちゃんと表示されない状態だったのだろう。
Steamのサーバー、或いは各クライアントのネット環境の不具合で、一時的にゲームの起動やログイン、データの参照が上手くいかない事は時々発生するが、大抵の場合は少し待つと復旧するのだ。
しかし! 「アカウントをロックされている」という前述の情報が有ったため、この状況がアカウントロックに起因する物だと早とちりしてしまったのだ。この時の私はかなり焦っていたと思う。
で、このフレンドが提示した情報によると、今回の処置に異議がある場合はSteamのモデレーター(担当者)に連絡を取って、事情を説明して欲しいとのこと。
そのモデレーターからの返答メッセージには、担当者への連絡先が記載されていたという。
Steam Moderator Contact Infomation : https://join.skype.invite/○○○○○○
注意深い人は直ぐに気が付くと思うが、この時点で「嘘確定」なのである。
担当者への連絡先として提示された情報がSkypeのアドレスとなっている。
Skype自体が怪しいと言っているのでは無い。Steamの担当者がSkypeを使って連絡してくるというのがおかしいのだ。
Valveの社員が、SteamチャットやDiscordなどのチャットシステムを使用して、アカウントに関してユーザーへ連絡することは「絶対に」ありません。 アカウントについてSteamサポートの担当者に連絡できる唯一の方法は、Steamサポートのヘルプサイトを使用することです。 問題を解決するために、ValveやSteamの社員へ直接の連絡が必要となることはありません。
(Steam公式サイトより引用。)
Steamの担当者が外部ツールを使ってユーザーに連絡を取ることは「絶対に無い」。そう断言している。
そもそも、仮に偽りの通報をされたとしても問題無い。
自分のアカウントが誤って、または偽って報告されました。 どうすればいいですか?
虚偽または誤った報告をされても、アカウント保護のために必要な行動は特にありません。
Steamチームは、そのような報告を無視します。
(Steam公式サイト「詐欺に関するFAQ」より引用。)
サポートFAQにちゃんと目を通しておけば、今回の件は何の問題も無く終わったはずだが、それを怠っていた私はまんまと詐欺に引っかかったというわけだ。
前述の様にちょっと不運な要素も絡んだとはいえ、完全に油断していたと思う。情けない限りだ。
「私は大丈夫」そんな油断が発端となり、気が付いたら被害者になっている訳ですな。
Steamを名乗る悪人との接触からアカウントの乗っ取りまで
まんまと騙された私はSteamのモデレーターなる人物に連絡し、Skypeを使った長い長いやり取りが始まる。
なお、この時相手の悪人が名乗った氏名および使用したアバター画像に関しては非表示とさせていただく。
なぜなら、その氏名や画像で検索したら、実在のValve社員のデータが見つかったからだ。
GDC等での公演もやっている人物らしく、それ故に個人情報を悪用されたのだろう。
こういったプロフィールが公表されている人物の情報は詐欺で悪用されやすいリスクが有る。
なので、悪用されたであろう無実の本人に配慮して伏せておきます。
詐欺被害の第一歩「アカウントのハッキング」
この手の詐欺ではまず最初にアカウントをハッキングする事から始まる。
アカウントをハッキングした後に何をするのかは犯人の目的次第だ。
そのアカウントをさらなる詐欺行為の起点として利用したり、アカウント復旧に必要だと称して金銭を巻き上げたりしたりする。
今回の私の場合は後者だった。
すると、「検証作業」と称していくつかやって欲しいことが有ると言う。
まず、私のこれまでの購入履歴のスクリーンショットを送って欲しいと言う。
今回はトレード詐欺の容疑で通報されたという事になっているので、私のゲーム・アイテムの売買・取引の履歴を見たいのだという。
まず貴方の購入履歴を確認します。
アカウントページから購入履歴の箇所を撮影して、その画像を送ってね。
てか今すぐ送れやゴラァ!
この「購入履歴のスクショ」というのがポイントで、後から分かった事なのだが、万が一アカウントの認証が出来なくなった場合、過去の購入額を使用した復旧方法が有るのだという。
今回は、それを悪用してハッキングされたわけだ。
アカウントをハッキングするためには、まず本来のユーザーをログアウトさせる必要がある。
今から検証作業をするからアカウントからログアウトしてね。
あ、途中でSteamからメールが幾つか届くけどスルーして!
途中でログインしたら駄目だからね! 駄目、絶対!
今から悪人にハッキングされる運命に有る私のアカウント。
何処の誰かも分からない奴に汚される・・・ああ、悲劇!
「購入履歴のスクショを渡す」「アカウントからログアウトする」
この2点を行った時点で、ほぼハッキングは完了してしまう。注意せよ!
程なくしてSteamからメールが届く。これは本家Steamから届いた正式な物だ。
どんな内容なのかというと、
メールアドレスの変更が完了しました。あなた自身による行為ならこれで完了です。
「○○○」からアクセスされているけど、もし承知していないならすぐに対処してね。
大体こんな感じのことを言っている。
そう、この時点で既にアカウントは乗っ取られている。
で、赤の他人である犯人の端末から私のアカウントにログインされたので、それを検知したSteamのシステムが、
いつもと違う端末からアクセスされたけど大丈夫? 問題有るなら対処してね。
そう警告してくれているのである。
よくよく見ると、アクセス元の地域が「England,United Kingdom」となっている。つまりイギリスからだ。
イギリスの端末から私のアカウントにアクセスしているという訳ですな。
この情報を持って「犯人はイギリス在住だ!」と判断するのは早計である。
何故なら、サイバー犯罪という物は複数の端末を経由して行われる事が多いからだ。
直接自分の端末から犯行に及ぶと足が付きやすいので、ハッキングした他の端末を経由して犯行に及ぶわけだ。
今回のケースでは、犯人は実際にイギリスにいたかも知れないし、犯行に使われたハッキング済みの端末がイギリスに有っただけなのかもしれない。
詐欺被害の本番「金銭の要求」
まんまとアカウントを乗っ取った奴らは、いよいよ金銭の要求を始める。
金銭の要求と言ってもその手法は色々有るだろうが、今回は「ギフトカードを購入する」とう方法で要求してきた。
何故この流れでギフトカードなど購入しないといけないのか? 奴らの言い分はこうだ。
あなたの無実を確認してアカウントを復旧するためには、まずあなたがアカウント所持者であるかの確認が必要です!
その為にはあなたの購買能力の有無を確認する必要があるの!
だからこのギフトカードを購入してアクティベートコードを私に送ってね!
・・・何を言っているのかサッパリ分からん。
アカウントの確認のために購買能力を証明する必要があって、その為にギフトカードを購入しろと?
2秒くらい考えたらおかしいと気が付くはずなのだが、この時の私は一連の流れで混乱しており、何より真夜中で眠く疲れていた事もあり、流されるままにギフトカードを買ってしまった。
10ドルくらいのそう高い物ではなかったが、それでも騙されてお金を失ってしまったのだ。
硬化する相手の態度、つり上がる要求
ギフトカードを決済してしまった事を切っ掛けにいくらか冷静になった私は、引き続き奴とSkypeでやり取りしつつ、同時にちょっと調べてみた。
すると、前述のSteam公式声明であるこの情報を発見した。
「Steamスタッフがチャットや外部ツールで連絡を取ることは絶対に無いよ!」
なので、これを相手に提示して反応を窺ってみた。すると・・・
あなたのストレスは理解するけど、これは必要なプロセスなの!
さっきあなたは私を信用してくれるって言ったよね? 違うの??
もしこのプロセスに同意出来ないなら直ぐに中止して、支払ったお金は全額返却できるよ。
でも、その場合は今後Steamのサービスを一切利用できなくなるからね!
直接相対している訳でも無いし、言語も違う。
しかし、画面の向こうからでも相手がイライラしてたたみかけに来ているのが伝わってきた。
そう、私が詐欺に感づきつつある事に対する怒りと、なんとか丸め込んで更なる金銭を引き出そうとしているのだ。
支払いを渋る私に対し、相手は検証作業を規定時間内に終わらせる必要があると言ってきた。
時間無いに終わらないとアカウントは永久に失われるのだという。
相手が提示した画像によると、あと33分程しか猶予が無いらしい。ほほー、なるほどね~
しかし「蒸気」ってあんた・・・ そこは訳さなくてもいいだろうに。
さらに相手はこうも言ってきた。
アカウントが凍結された場合、所持しているゲームは全て失われるし払い戻しもしないよ!
更に、詐欺犯罪の調査に対する非協力的な態度により法により罰せられる可能性があるからね!
ちなみに、現地時間○時までに検証作業が完了する必要が有るからね。あと○時間○分だから!
きた~、一気に高圧的な態度に打って出てきたぞ!
「アカウント凍結」「資産(この場合は過去に購入したゲーム全て)の没収」と立て続けに来た!
おまけに残り時間のカウントダウンも来た!
少ない残り時間を提示して相手を焦らせ、冷静な判断をさせないのは詐欺の常套手段だ!
しかし、このやり取りで私を最も焦らせた文言はこの部分だった。
詐欺犯罪の調査に対する非協力的な振る舞いは、法律により罰せられる可能性がある。
なぜ被害者である私が罰せられなければいけないのか?
実に理不尽極まりないのだが、この時私が「そんな馬鹿な」と切り捨てられなかったのには理由があった。
そう、国が違ったからだ。 どういう事か?
相手はホントか嘘かはともかくSteamの担当者を名乗っている。
SteamはValve Corporationというアメリカの企業が運営しており、当然所在地もアメリカだ。
そう、Steamに登録してサービスを利用している私は、言うなればアメリカの企業と取引しているような物だ。
Steamアカウントを作る際に表示されたであろう利用規約などの類は、ハッキリ言ってほとんど内容を確認していない。
おまけに相手はアメリカの企業。日本の法律をそのまま当てはめて論じる事も難しい。
さらにアメリカは連邦国家で有り、言うなれば独立国家の集合体みたいな物だ。
だから州毎に独自の政府や議会が有るし、憲法や法律も州毎に異なる。
もしかしたら本当に、相手の言う「非協力的な態度」で罰せられる可能性が有るのかもしれない。
法律や国際情勢のド素人である私は、相手の主張を否定するだけの知識を持っていなかった。
99.9%「コレはおかしい。騙されている。」と思いつつも、最後の0.1%を否定しきれなかったのだ。
これが国内の個人や法人が相手であれば、この時点でSkypeを打ち切ってさっさと寝ただろうが、前述の理由でそれが出来なかった。
しかし、99.9%詐欺だと感じていたので、これ以上の支払いだけは絶対阻止すると心に決めた。
相手の態度が段々と高圧的になっているのは英文のチャット画面を通じても伝わってきた。
更なる検証作業を勧めるために、これまでに購入した全てのゲームを再度購入して復旧させる必要があると言う。
つまり、購入総額と同額のギフトカードを買って、そのアクティベーションコードをよこせと言っている訳だ。
でえじょうぶだ!
この支払いは一時的な物で、検証が終わり次第あなたの口座に全額振り込むから!
さきっぽだけだから!
検証作業が終わり次第、かかった費用は全額払い戻されるという。
さらに、「ほら~、この人も全額返済されているでしょ? 安心してネ!」と言わんばかりに一枚のスクショを提示してきた。
SARというのはサウジアラビアの通貨「リヤル」の事で、この場合は約170万円弱ほどになるようだ。
・・・つまり、この人は検証作業を完了するために約170万も振り込んだって事? そう言いたいのか?
どうせでっち上げ画像なんだろうが、相手を騙すならもっと手頃な額にした方がいいんじゃないだろうか?
これを見て「じゃあ支払うか」と思う奴は多分居ないだろうに。
詐欺師の上司登場! ついには裁判をちらつかせて脅しに掛かる
段々相手の要求が過激化して来たが、私はのらりくらりと支払いを拒絶し続ける。
すると、相手はしびれを切らしたのか「ボス(上司)に替わるので、暫く待て」と言ってきた。
で、待つこと10分程。 次なる交渉相手が出てきたのだ。
「次なる」と表現したが、もしかしたら同一人物が演じているだけの可能性も有る。
ただ、一連のやり取りは長時間にわたっていたので、相手側は複数人いたかもしれない。
被害者側を疲労させ、正常な判断をさせないようにするのは悪の常套手段だ!
前任者の上司を名乗るそいつは、私を安心させるべくValveの社員証なるものを提示してきた。
なお、書かれていた氏名はやはり実在するValve社員の物だったし、顔写真も誰かの物を勝手に悪用していると思われるので、やはりここでは伏せさせていただく。
あのさあ、俺がValveの社員証のデザインを知るはずが無いんだから、これを提示したところであんたを信頼する根拠になるわけ無いだろ?
と、喉の所まで出かかったが、敢えてツッコミはしなかった。
既に完全に冷めていたので、もはや淡々と受け流していた様に思う。
担当者が替わった(?)とはいえ、言っている内容は基本的に同じ。
検証作業を進める必要がある。お金は後で戻って来る。そんな感じだ。
なぜ公式サイトのサポートフォームを使わないの? そっちでいいじゃん。
って具合に突っ込むと、相手は、
公式のサポートフォームは問い合わせ専用なので、定型文の返信しか出来ないのよ~
等と言いやがる。嘘つけ!
相変わらず支払いを求めてくるので断固拒否していると、こいつも段々と態度を硬化させてきて、法をちらつかせつつ脅しに掛かってきた。
○○時までに検証を完了させる必要があるんだけどOK?
作業に協力してもらえない場合、連邦法○○条により有罪となるかもよ。
その場合裁判は現地(米国)で行われるけど、あんたには弁護士を雇う権利があーだこーだ。
うむ、詐欺師が相手をたたみかける際の必殺文句「訴訟」「裁判」出たよ。
さっきも言ったけど、法律のド素人はこういったキーワードにとても弱い。
さらに、奴はこうも言った。
検証を終了した場合、本件は直ちに日本の当局へ引き継がれるよ。
そっちの警察から直ちに連絡が行くことになるよ。
後裁判所からの出廷命令があーだこーだ。
即座に日本の警察へ案件が引き継がれるってか!?
国をまたいだ犯罪捜査ってインターポールとかを介してやるんじゃないの?
同様に、複数国にまたがる裁判って、訴状や出廷命令は外務省とか大使館を通すって聞いたようなきがするなぁ。
便利な世の中になったもんだね!
そして、とどめの一撃とばかりにこの画像を貼ってきたのだ。
これは・・・こちらのIPアドレスからオイラの現住所を割り出したって事なのだろうか?
んで「お前の現在地なんてお見通しよ!」って言いたいのかな?
とりあえず「首都圏に住んでいる」って所までしか合っていないけど、面倒くさいから恐れおののいているふりをしておいた。
さらにもう一枚。
多分Wikipedia辺りから引っ張ってきた画像なんだろう。
「関東管区警察局」・・・普段あんまり関わる機会が無いな。というか初めて聞いた名だ。
関東管区警察局は、警察庁の地方機関の一つとして、関東地方の10県(茨城県、栃木県、群馬県、埼玉県、千葉県、神奈川県、新潟県、山梨県、長野県及び静岡県)を管轄区域とし、広域対応を必要とする警察事象が発生した際、管区内各県警察が連携して犯罪捜査や大規模災害への対応を迅速かつ円滑に行えるようにするなど、警察庁及び管区内各県警察の重要なパイプ役、調整役を果たしています。
なお、東京都を管轄する警視庁については、首都警察としての特殊性から、関東管区警察局の管轄からは除外されています。
(関東管区警察局公式サイトより引用。)
なるほど。しかし長野や新潟も関東に含めているのか。結構扱いがころころ変わる気がするが気のせいだろうか。
今頃はワシントンの警察からこの関東管区警察局に電話でもかかってきて、私に対する捜査令状が出た頃なのかなぁ。
お手数おかけしてすいませんね。
で、それからどうなったのかというと・・・寝た。
だって面倒くさくなったし、なにより疲れて眠かったんだもん。
もういいやと思って寝ちゃったのである。結構な時間爆睡してしまった。
後でSkypeを見たら、
おーーい、居る? 居たら返事くれよ~
みたいなメッセージが来ていたが、特に返事はしていない。もう飽きたのだ。
Steamサポート(本物)へ連絡してアカウントを奪還する
詐欺師とのやり取りが面倒になったので寝たと書いたが、実は奴らとのやり取りの途中で「これはおかしい」と気が付いてから、平行してSteamのサポートへ連絡を取っていた。
サポートからの返答はチャットと違ってある程度の時間が掛かるため、返答を待っている間は基本的に悪人達とのやり取りが続いていたわけだ。
Steamとのやりとりは基本的に公式サイトのサポートページから行う。
Steamのメールアドレス宛に連絡しても「サポートフォームから送ってね」と返事が来るだけである。
大まかな手順としては、まずはSteam公式サイトのサポートページへアクセスする。
そこから「アカウント」→「アカウントにサインイン出来ません」と進んで、後は適切な物を選んでいこう。
項目を選んでいった後は、問題の内容・状況などを文章で説明する事になる。
この時、一旦送信した後に追加メッセージを送ったり、画像を添付したりする事も出来る。
サポートチームが状況を把握しやすいように、必要に応じてスクリーンショット等を添付すると良いだろう。
Steamサポートに問い合わせる際に気になるのは「日本語で大丈夫なのか?」という点だろう。
Valveは米国企業だが、一応日本語が使えるスタッフも在籍しているようだ。
なので、日本語で問い合わせても大丈夫らしい。
ただし、日本語スタッフの人数や対応可能日時がそこまで多いとは思えない。
可能な限り英語で問い合わせた方が対応が早いと思われる。
翻訳ツール等を使えば、英語が苦手な人でもなんとかなるはずだ。
ここから申請すると、チケットと呼ばれる個別の管理コードが発行される。
このチケット番号を元にデータベースで管理することで、担当者が替わったり後日サポートを再開する様な場合でも、問題なくスムーズな対応が可能となる。
Steamから返答が合った場合、右上の方にチケット名が記載されているので参考までに確認しておこう。
早速サポートを依頼してみた。
前述の様に日本語では無く英語でメッセージを書いてみたが、果たして結果はどうだろうか。
なお、詐欺師共とのやり取りに関連したスクリーンショットを5枚ほど添付してある。
問い合わせから半日ほどして、Steamのサポートスタッフから返答が来た。
返答までに要する時間はタイミングや内容にも依るが、早ければ数時間程度で返答が有る様だ。
この返答に何と書いてあるのかというと、
情報提供ありがとう。
ご安心あれ! 我々は状況を把握しています。
んで、調査の結果、あなたがこのアカウントの正式な所有者であると確認取れたよ!
あなた宛に送ったメールの中に、アカウント情報を更新するためのアドレスが書かれているから、あとはパスワードのリセットとかやっておいてね。
アカウントのセキュリティを向上させるために、Steamガードとかを入れとく事をオススメするよ!
大体こんな事が書いてあった。
そう、既に私の無実は証明され、悪人からアカウントを取り返してくれていたのである。
返信が来るまでに半日ほどかかっていたが、その間、彼らは状況を精査して対応してくれていたのだ。
後はメールに記載されている情報やリンクに従ってアカウントにログインし、パスワードの更新などを行うと一応は完了である。
なお、Steamのスタッフとは何度かやり取りすることになる訳だが、その度に彼らからのメッセージの末尾に書かれている担当者の名前が違っている事に気が付くかも知れない。
これは実際に担当者が替わっているのを意味しているのだが、前述の様にチケットとデータベースで各案件を管理しているので、例え担当者が替わっても問題無く対応が出来る。
24時間体制で対応し、素早く解決出来る様になっているわけだ。
アカウントを奪還したらやる事1「悪人の通報」
アカウントの奪還はSteamサポートスタッフの仕事だが、奪還した後に被害者(この場合は私)がやるべき事が幾つか有る。
まずは「悪人の通報」だ。
そう、今回の事件の発端である例のフレンドをSteamサポートに通報するのだ。
彼から来たチャットメッセージに詐欺師へのコンタクト方法が記載されていた訳だが、これはつまり、彼が悪人の一味(或いは主犯格)である事を意味している。
プロフィールページにアクセスすると、ページの右上辺りにアカウントレベル表示が有り、その下に幾つかメニューがある。
右端のプルダウンメニューをクリックすると、その中に「プレイヤーの報告」が有るのでこれを選ぶ。
これはプレイヤーの問題行動などをSteamサポートに通報する機能でであり、普段はあまり使う事は無い。
お奉行様、コイツ下手人です! 詐欺犯罪者なんです!
今すぐ召し捕って寄場送りにしてやってください! いや打ち首獄門の方がいいです!!
こやつに厳しい処罰を下して欲しいと願い出たいところではあるが、ここは少し冷静になる必要がある。
というのも、このユーザーが本当に詐欺師の一味であるかは分からないからだ。
こいつから悪意のあるチャットメッセージが送られてきた。それは間違い無い。
しかし、それでもこいつが犯人であると断定出来ない理由がある。それはなにか?
ハッキング犯はハッキングした他人のPCを経由して犯行に及ぶのが基本。
同様に、Steamで悪事を働く奴は、乗っ取った第三者のSteamアカウントを利用して犯行に及ぶ場合がある。
つまり、このアカウントの持ち主ですらハッキングの被害者である可能性が有ると言うわけだ。
半休眠状態だったアカウントが何時の間にか乗っ取られて、知らず知らずのうちに悪用されたという例も有る。
真犯人 → ハッキングされたアカウント → 被害者
こういう流れで犯行が行われるケースがあるという訳だ。
今回のケースがどちらなのかは分からない。
こいつが本当に下手人だったのかもしれないし、或いは被害者の1人に過ぎなかったのかも知れない。
なので、Steamサポートに通報するにあたって、こんな感じで依頼しておいた。
こいつからのチャットメッセージで被害に遭いました。
でも、こいつのアカウントも乗っ取られているかもしれないので、その辺調べてから対処してね。
もちろん、Steamのスタッフは言われるまでも無くその辺の事情は把握していると思われる。
慎重かつ入念に調査を行い、しかるべき対処をした事だろう。
この通報をもってサポートチームが容疑者に対して即座に処罰を下す事は無い。
そう、虚偽の通報による被害を防ぐためである。
アカウントに関するログを慎重に調査し、しかるべき対処が必要と判断すれば、適切に動く訳だ。
アカウントを奪還したらやる事2「アカウントの強化」
「アカウントの強化」と言っても、アイテム等を購入してアカウントレベルをせっせと上げる事ではない。
ハッキング被害に遭わないように、システム面と知識面の両方から防御力を強化するという意味だ。
まずはログイン用パスワードから見直そう。
「分かりにくい文字列にする」「他と共用しない」「定期的に更新する」等々、これはパスワードに関する一般的な内容と一緒なので、特に説明する必要も無いだろう。
続いてSteam専用のセキュリティシステムである「Steamガード」の導入だ。
これを設定しておくことで、不審なログインが有った場合に認証を求められるなど、簡単にアカウントをハッキング出来なくなる。
詳細は公式ページを見て欲しい。
同時にモバイル認証も設定しておきたい。
自分の電話番号を登録しておくことで、アカウントの復旧などを行う際に色々便利になる。
なお、Steamアカウントに電話番号を登録する際、上手く設定出来なくて困る人が結構居る様だ。
かく言う私も設定で失敗しまくって困っていたが、なんとか解決した。
大まかな流れとしては「番号を登録して、SteamからのSMSで登録を完了する」という物なのだが、大きく二点ほど落とし穴が有る。
Steamに電話番号を登録する際の注意点1 【「0」は省く】
このモバイル認証で電話番号を登録する際は国コードも登録する。
日本の場合は「+81」なのだが、この国コードを使用する際に注意点が有る。
それは、登録する電話番号の頭に有る「0」は不要という事だ。
例えば「090-○○-○○」という番号を登録する場合、0を取った「90-○○-○○」という感じにする。
頭の0が付いたままだと上手く登録できない。
Steamに電話番号を登録する際の注意点2 【海外SMSの受信設定】
モバイル認証に必要な電話番号登録の際、Steamからショートメールが届き、そこに記載されている内容に沿って登録を完了する必要がある。
しかし、このショートメッセージが届かないことが有る。
私も何度も「ショートメッセージを送信」を試しても届かず、ほとほと困り果ててしまったのだが、後日原因が判明した。
それは、「海外からのSMSを受信可能に設定する」という事だ。
これはSteam側ではなく、各個人のスマホにおける設定の話しなのだが、端末やキャリアの種類・初期設定によっては、海外からのSMSを受信拒否する様になっている場合が有る。
これが何故困るのかというと、このSteamからのSMSは海外から送信されている様なのだ。
だから、海外からのSMSを拒否する設定になっていると、何度送信してもメッセージが届かないのだ。
国際SMS拒否
・海外事業者の利用者から送信されたSMSを拒否することができます。・設定が完了するとすぐに海外事業者の利用者から送信されたSMSが届かなくなります。
(NTTドコモ公式ページより引用)
設定されているかどうかやその解除方法は各個人で異なる。
もし届かないようだったら設定を確認してみよう。
なお、この番号登録作業を何度も間違うと、不正行為を疑われるためか、一定期間登録作業が出来なくなってしまう。
実に1週間もお預けを食らうことになるので、なるべく一発で完了させよう。
これらの設定を完了することでSteamアカウントの防御力は一段と高まる。
しかし、それを利用する者の行動次第ではセキュリティ設定も意味をなさない場合がある。
今回のケースのように、相手に誘導されて指示に従ってしまうと、せっかくのセキュリティも意味がなくなるというわけだ。
世の中にはどのような犯罪が有り、その手口はどうなのか?
こういった情報を日々仕入れておくことで、アカウントハッキングによる被害は激減することだろう。
人生で初めての詐欺被害 ~警察への届け出~
そこまで高額では無かったとはいえ、れっきとした詐欺犯罪に遭遇して金銭的被害も出てしまった私。
なんとかアカウントの奪還も果たしたが、一つ気がかりな事が有った。
それは「被害を届け出る必要は有るのだろうか」という点だ。
詐欺被害の届け出・相談先として考えられるのは「警察」「消費生活センター」「弁護士」などが考えられる。
弁護士はなんか違うし、今回の場合は警察が妥当な気がする。
相手は外国在住の外国人だろうし、犯人を特定して逮捕するのは困難だろう。
しかし、犯罪に遭った以上、警察への届け出る義務が有るのではないかと考えた。
警察も詐欺犯罪の統計を取っているだろうし、例え捜査を行わないにしても情報は必要では無いか?
今回の被害はインターネットを通じた物なので、所謂「サイバー犯罪」に該当する。
また、犯行の種別としては「フィッシング詐欺」に該当する様だ。
サイバー犯罪にフィッシング詐欺。どちらもしばしば耳にする事がある名前だ。
まさか、自分がその当事者になるなんて思いもしなかったが。
フィッシング詐欺に遭遇した場合、最寄りの警察署や都道府県警察の「サイバー犯罪相談窓口」へ連絡する事になっている。
火急の案件でも無いし、間違ってもいきなり110番通報はしないように。
しばし考えた結果、最寄りの警察署に相談することにした。
応対してくれた担当者はとても丁寧で、当日が日曜日だったので専任者が不在なので、週明けに署まで来て欲しいとの事。
その方が言うには生活安全課の刑事が対応するという。
生活安全課・・・ 名前は知っているが、数ある警察の部署の一つという事くらいしか知らない。
そこで少し生活安全課に関して調べてみた。
生活安全部(せいかつあんぜんぶ)は、都道府県警察本部に必置の部署の一つ。
少年犯罪、経済環境事犯およびサイバー犯罪など、防犯保安活動全般を手がける。
小さな警察本部では警邏を行う地域警察部門も併せて担う。
警察署には同様の業務を所轄レベルで行なう「生活安全課」がある。
なお、中・小規模の警察署では「刑事生活安全課」・「生活安全刑事課」のように刑事課との合同部署となっていることが多い。
(Wikipedia・生活安全部より引用)
なる程。部署名の通り、警察の各部門の中でも特に庶民の生活に近い業務を担当する部署のようだ。
近年急増しているサイバー犯罪も担当しているとのこと。
都道府県の警察本部に有るのが「生活安全部」で、各警察署に有るのが「生活安全課」らしい。
初めての事情聴取 ~充実した資料で勝負!~
この様な流れで後日最寄りの警察署へ行くことになった。
相手が状況を理解しやすくする為、こちらで色々資料を作って持って行く事にした。
テキストファイルやスクリーンショットをUSBメモリで持ち込めたら楽なので、確認してみたら持ち込み不可だと言う。
仕方が無いので印刷して持って行く事にした。
その日の夜、私はせっせと資料作りに励んだ。 気が付いたら明け方になっていたように記憶している。
「おマヌケな私はこんな感じでまんまと騙されたんですよ~」
それを説明するための資料を、ただ一心不乱に作り続けた。
自分の醜態を他人にプレゼンするための資料作り・・・ 多分一生で一度の貴重な経験だろう。
そして当日。自宅のプリンターのインクが切れていたので、途中のコンビニで印刷する事にした。
USBメモリにjpgファイルを入れ、警察署近くのコンビニに到着。
・・・が、なんとそのマルチコピー機ではjpgファイルの印刷が出来ないではないか!
これには参った。 大急ぎで自宅へ戻り、PDFに変換してなんとか間に合った。
ちゃんと端末の仕様は確認しておくべきだな。
マルチコピー機の種類に拠ってはjpgでも良いかもしれないが、基本はPDFの方が無難だろう。
警察署に到着し受付を済ませ、待合室にて時間まで待機。
警察署ってあまり来る機会が無かったが、何となく市役所っぽい雰囲気だ。
時間になると男性の刑事さんが登場。 軽く挨拶をした後、部屋に案内される。
そして自慢の資料を提出し、あれこれと説明をしたわけだが、緊急の案件でも無かったし、最初から犯人逮捕を望んでいた訳でも無いので、割と気楽に出来た気がする。
ただ、さっきも書いたが、刑事さん相手に自分のマヌケな被害状況を説明するのは、恐らく一生で一度の貴重な体験だった。
もう二度と経験することは無いだろう。多分。
一時間ほど掛けて色々やり取りしたわけだが、その中でクレジットカード会社に問い合わせるために必要な受理番号的な物を発行して貰った。(これを何に使用するのかは後述。)
で、最後に刑事さんに言われた言葉が印象的だった。
こんなに充実した資料を作ってきた人、初めて見たよ。
刑事さんにお褒めの言葉(?)を頂いた私は、何故か少し誇らしげな気分だった。
夜中まで頑張った甲斐が有ったという物だ。
前述の様に、「今すぐ捜査チームを組んで取りかかれやゴルァ」などとは思っていない。
フィッシング詐欺の参考になったら嬉しいし、何かのついでに情報が分かったら教えてね、くらいのスタンスだ。
対応してくれた刑事さんにお礼を言い、私は警察署を後にした。
何しろ充実した資料が褒められたのだ。 私の足取りは軽やかだった。
フィッシング詐欺の被害は保証されるか?
さて、今回の金銭的被害はギフトカードの購入を通じて発生した訳だが、その決済にはクレジットカードを使用した。
クレジットカード会社の多くは、こういったフィッシング詐欺の被害に対する保証制度を設けている。
不正利用に対しては、弊社は、三井住友カード会員規約第14条(会員保障制度)に基づき、特別なケースを除き、不正利用のご申告をいただいた日から遡って60日前までの利用について損害を補償いたします。
(三井住友カード「カードの不正利用に対する保障制度について」より引用。)
この様に、各カード会社は不正利用による被害に対する保証制度を設けている。
フィッシング詐欺による被害もそれに含まれる。
では、今回の私の被害は補償されるのだろうか?
結論から言うとノーだ。 その理由を説明しよう。
フィッシング詐欺によるクレジットカードの不正利用被害の際、クレジットカード会社は通常、被害額を補償します。
ただし、カード契約者に過失がない場合に限り、補償が適用されます。
(AIによる概要より引用。)
この「カード契約者に過失がない場合に限り」というのがポイントだ。
「カード番号やパスワードを盗まれた」など、知らず知らずのうちにカードを悪用された場合は基本的に保証の対象になる。
しかし、今回の場合は、カードを使った決済自体は私自身の意思において行われている。
それが例え相手に騙された上での行動だったとしてもだ。
例としてあげた三井住友カードの場合、「身に覚えの無い決済」は保証の対象となる。
しかし、今回のケースは「身に覚えの有る決済」なのだ。何故なら私自身が決済したのだから。
だから保証の対象にはならない。これはカード会社に直接確認した事である。
残念だが、今回の被害は勉強代だと思って受け入れるしか無い。
なお、前述の警察で発行して貰った受付番号は、カード会社に保証を依頼するときに使用する為の物だ。
残念ながら、今回は活用されることはなかった訳だが。
被害の内容や契約しているカード会社によっては結果が異なることも考えられる。
泣き寝入りする前に、必ずカード会社に確認しよう。
Steamアカウント被害のまとめ
この様に、今回私はまんまとSteamアカウントを盗まれてしまった。
多少時間は掛かったが、無事にアカウントを取り戻すことが出来た。
次の被害者が出ない様に、今回の事件を踏まえた教訓を纏めてみようと思う。
「私は大丈夫」とか思わないように。私がまさにそうだったのだから。
見知らぬユーザーからのフレンド申請はどうする?
今回の発端は1人のフレンドからの怪しいチャットメッセージから始まった。
前述の様に、こいつとは全く面識が無く、ある日突然フレンド申請を送ってきた。
おそらくこのアカウントはハッキングされた物であり、それを悪用して犯行に及んだ物と思われる。
これを踏まえると、面識の無いユーザーからのフレンド申請を受けるのはリスクが有ると思われる。
相手がどういう意思で申請してきたのかが不明な以上、拒絶するのが賢明と言えるかも知れない。
一方で、中にはあなたのプロフィール情報を見て興味を持ったユーザーがコンタクトを取ってくる場合も有る。
共通のゲームを持っているので嬉しくてフレンド申請をしたり、投稿したレビューを気に入ってくれたり等、その動機は様々だ。
また、過去にオンラインプレイで一緒にプレイしたユーザーがフレンド申請をしてくる場合も有る。
人気ゲームともなれば、一晩で多くのユーザーとマッチングする事が有り、誰と一緒にプレイしたのか覚えていないが、相手はあなたの事を鮮明に覚えている事だって有り得る。
なので、覚えが無いからと言って全てのフレンド申請を拒絶していると、折角の出合いのチャンスを潰してしまうことになる。
判断が難しい所だが、ケースバイケースで対応するのが望ましいだろう。
面識の無い相手からのフレンド申請は基本的に拒否しつつも、相手が本当に見知らぬ人物なのかは確認しよう。
Steamのセッキュリティシステムを過信するな
Steamには様々なセキュリティシステムがある事を説明してきたが、それを導入したからと言って過信すべきでは無い。
なぜなら、今回私がアカウントをハッキングされた際、Steamガードなどは設定済みだったからだ。
相手はSteamのシステムを良く研究しており、その隙を突く方法を日々研究しているはずだ。
今回のケースの様に、相手の誘導に従ってアカウントをさらけ出してしまっては何の意味も無い。
例えるなら、怪しい電話の指示に従って玄関の鍵を開け放つような物だ。
セキュリティシステムは、それを正しく使って初めて意味をなすと考えるべきだろう。
セキュリティシステムの導入はもちろん、それを正しく使える知識を持つことが大事である。
どのような犯罪がどのような手口で行われているのか、日々の情報収集が重要だ。
分かりにくいパスワードを設定し、定期的に更新するという基本も大事だ。
Steamのスタッフがサポートフォーム以外で連絡してくることは絶対無いという点も知っておこう。
万が一アカウントが奪われたら
上でも書いたが、SteamのスタッフがチャットやSkypeなどの外部ツールを使ってユーザーに接触してくることは絶対に無い。
これを知っているだけでもハッキング被害の多くを防げるはずだ。
しかし、万が一にSteamのアカウントを奪われてしまった場合でも諦める必要は無い。
Steam公式サイトのサポートページから申請すれば、早ければ当日中にアカウントを奪還することが出来るだろう。
その際、日本語で問い合わせても大丈夫だ。(英語を推奨するが、必須では無い。)
アカウントが奪われたら、直ぐに公式サイトのサポートページから問い合わせよう。
英語がベストだが、日本語でも受け付けて貰える。
アカウントを奪還した後は
アカウントを取り返した後は、パスワードやメールの再設定、セキュリティ設定の見直しなどやる事は色々有る。
犯人が何を目的にハッキングをしたのかはその都度違うだろうが、私の場合はお金を巻き上げるのが目的だった訳で、奪ったアカウント自体には何もしていなかった。
しかし、中にはユーザー名やプロフィールを改ざんしたり、所持しているアイテムをトレードしたり、チャットを利用して変なメッセージを送信する場合も有るようだ。
そうなっていた場合はかなり面倒な事になるが、まずはプロフィールの改ざんやチャットの履歴などを確認しよう。
もし変なメッセージを送った形跡が有ったら、送り先のユーザーに事情を説明して謝っておこう。
奪ったアカウントで何をするのかは犯人次第。 最悪の場合、あなたの信用は大きく損なわれる事になる。
今回の犯罪者はどういう人物(組織)なのか?
今回、ある意味で感心したのは奴らの犯行手口の用意周到さだ。
ギフトカードの購入やアカウント設定における手続きなど、文章だけで無く画像を使ってあれこれ指示してきた。
これにより、悲しいかな実にスムーズにハッキング処理が行われたわけだ。
奴らは相当手慣れており、こういった犯行に及んだ回数は一度や二度では無いと思われる。
相手を騙して奪い取るための一連行動が、とてもシステマチックだったと感じた。
そして、奴らが提示した画像の多くは日本語に翻訳されていた事も注目に値する。
そう、私が日本人のユーザーである事を理解し、それに対応した画像を予め用意していたわけだ。
Steamにおける日本人のユーザーは相応に多いと思われる。
つまり、被害に遭う絶対数も上位に位置するはずだ。
恐らく、奴らは犯罪に使用する画像を言語毎に用意していたはずだ。
英語版、中国語版、ドイツ語版、日本語版、等々・・・
一部翻訳が怪しい箇所も有ったが、基本的には良く出来ていたと思う。
それどころか、犯罪者の一味に日本人が居る、あるいはそもそも日本人の犯行で有る可能性すら有る。
関東管区警察局の情報を提示してくる等、日本の事情を知らない外国人では思いつきにくいだろう。
詳細はまだ不明だが、どこに犯罪組織が居るか解った物では無い。
ハッキング被害に遭わないために
繰り返しになるが、日頃から備えておくことが重要である。
強固で使い回しをしていないパスワードを設定し、定期的に更新する。
犯罪の存在や手口をしっかりと勉強しておく。
被害に遭っても慌てず冷静に対処する。
個別に見れば特に難しい事ではなく、これらはSteam以外の事にも応用できる物ばかりだ。
しっかりと備え、楽しいSteamライフを送って欲しい!
コメント