piyolog

2019年10月頃*1より、Twitterやブログへラクマの不正ログイン被害の報告が複数投稿されています。不正ログイン後に、第三者により高額取引や売上金振込が行われたとする報告もあります。ここではこれらの報告内容をまとめます。
2019年6月以降、運営会社の楽天から不正ログイン発生についての報告や注意喚起などは出ていない*2ため、非公式の情報をソースとしている点に留意ください。

ラクマ不正ログイン後に起こること

f:id:piyokango:20191112173128p:plain

報告されている内容より不正ログイン後に起こることは主に3つ。

被害アカウントの情報の書き換え
被害アカウントが保有する楽天キャッシュ/ポイントの利用
被害アカウントの保有する売上金の出金

(1) アカウント情報書き換え

不正ログイン後にアカウントの情報が第三者のものに変更される。*3
メールアドレスも変更されるため、ラクマアカウントへ元の情報を使ったログインができなくなる。但し、連携済みのサービス（楽天ID）からログインは出来る。

勝手に変更される主な情報
- 氏名（カナを含む）
- 郵便番号、住所
- 電話番号
- 銀行口座
- メールアドレス

(2) 楽天キャッシュ/ポイントの利用

楽天キャッシュ・ポイントを使ってラクマに出品されている商品が購入される。
売上金を楽天キャッシュに変換されて購入される場合もある。*4
服*5 *6や靴、椅子等で数万円の高額設定品の購入手続きが行われ、取引が成立する。*7 *8
取引相手とは「ご愛顧ありがとうございます。」「これで取引は完了です。」といったメッセージがやり取りされる。*9 「山口組の小次郎」と名乗り、触れ回るとトラブルを招くと脅迫するようなメッセージを受けたという投稿もある。*10
アカウント保有財産全てが使われるため、人によっては数万～数十万の被害*11 *12 *13 *14 *15が報告(解決済のものを含む)されている。中には80万超の被害（既に解決済）のケースもある。

(3) 売上金の出金

(1)で変更された内容を受け、第三者の銀行口座宛に売上金の振り込み申請が行われる。
不正アクセス元が行ったとみられる振込申請を受けて、システムより自動的に本人確認の書類提出依頼が届く。
これにそのまま答えてしまうと出金が完了してしまう場合がある。

不正ログイン原因の言及確認できず

piyokangoが確認した限りでは、不正ログインを受けた被害原因を言及している投稿は確認できず。(例えばパスワードを使いまわしていた等)
ラクマは電話番号認証を提供しているが、出品やコメント投稿時に要求されるものでログイン機能には対応していない。

f:id:piyokango:20191112170038p:plain — 設定後もログイン時に要求されることはなかった

ラクマはこれまでに不正ログインの注意喚起を行っている。*16 呼びかけの内容はパスワードの使いまわしに注意を呼び掛けるもの。
- 2018年10月30日【重要】情報セキュリティに関するお知らせとお願い
- 2019年6月6日＜再掲＞パスワード管理についてのお願い
2019年10月21日にアプリ利用者向けには6月に掲示した注意喚起を再掲載していた。

f:id:piyokango:20191115062734p:plain — アプリで表示されるお知らせ

被害を受けたら運営へ連絡

被害後はサポート窓口へメールsupport@fril.jpへ連絡する。
ラクマ側と連絡が付き確認が取れればラクマアカウントの復旧はすぐに行われる。
被害が発生していたのかは不明だが、楽天IDも同様に楽天から停止される場合がある。

被害金額の補填に関してはラクマの利用規約では管理不十分の場合は以下の記述がある。

第4条（ログインIDとパスワードの管理等）
：
2. ログインIDおよびパスワードの管理不十分による情報の漏洩、使用上の過誤、第三者の使用、不正アクセス等による損害の責任はラクマ会員が負うものとします。万一、ログインIDおよびパスワードが不正に利用されたことにより当社に損害が生じた場合、ラクマ会員は当該損害を賠償するものとします。