Agodaのアカウントをハッキングされ不正利用されてしまいました。
Agodaから予約した覚えのないホテルからのレビュー依頼が来て不正利用に気がつきました・・・
単なる迷惑メールかな?と思いながらも念の為、Agodaのアカウントにログインしてみたら、知らない予約が二つ、金額にして40万円超を不正利用されていました。
なかなか大きな金額ですよね・・・
最終的には、請求を止めることができたのですが、どういった手続きをしたのか、また対策はどうすれば良いのかなど、経緯も含めて紹介します!
被害額40万円超!Agodaで不正利用されました・・・発覚後はどんな手続きをすればいい?
まさに寝耳に水とはこのことで、知らない間にAgodaで40万円利用していました。。。Agodaは事後に調べてみたら、この手の話がいっぱい出てきたので、注意が必要です!!
Agoda不正利用の経緯
Agoda不正利用発覚までの大まかな流れは次のとおりです。
- 見覚えのないレビュー依頼のメールがAgodaから届く
- Agodaにログインしようとするとパスワードが変わっていてログインできない
- パスワードをリセット
- ログイン後に不正な予約を発見
Agodaは、1年以上利用していませんでした。
でもある日、突然レビュー依頼のメールが届きました。
最初は迷惑メールかと思ったのですが、念の為ログインしてみることにしました。
すると、ログインできませんでした、、
この時点で、不正ログインされてパスワードが変更されてしまった可能性が出てきました・・・
パスワードをリセットしてからログインしたところ2件の予約(総額40万円以上)がされていることを確認しました。。
発覚後にしたこと
発覚した時点で、対応したのは下記の対応です。
- Agodaに連絡
- ホテルに連絡
- クレジットカード会社に連絡
まずはじめに、Agodaに連絡しました。
電話で不正利用された旨を伝え、ちょうど宿泊日にもなっていたことから、すぐに対応してほしい旨を伝えました。
おそらく、外国人の方が対応してくれたのですが48時間以内に、調査結果をご連絡しますということで電話を終わりました。
次に、宿泊日だったので、ホテルにも連絡しました。
一つのホテルは、Agodaのアプリから連絡をして、もう一つのホテルはメールを送りました。
ホテルの反応の詳細は後ほど紹介します。
最後に、クレジットカード会社にも連絡します。
三井住友カードでしたが、通常の窓口は営業が終了していましたが、緊急時と判断して、盗難や紛失窓口に電話しました。
不正利用された旨を伝えると、請求が上がってこないと対応はできないので、請求が上がってきた時点で、オンラインで申告ができるので、そちらで対応してくださいということでした。
また、カードを止めてもらって、再発行になりました。
ホテルからの連絡
2つのホテルのうち、メールを送った方のホテルは反応がありませんでしたが、Agodaのメッセージ機能で連絡したホテルから次のとおり連絡がありました。。
Yeah, we also now contacted the person, who made this reservation. THe police is getting her. We hope everything goes well on your side. We will inform booking, that someone took your account. Did you made the payment?
最初に、「The police is getting her」のところで、え?犯人は女性で、もう捕まったの?と思ったのですが、おそらく「The police is getting here」で、警察がいま向かってきているということかと思います。
ホテルとしても、損失になるので、被害届を出すということなのかもしれません。。
Agodaからの連絡
Agodaからは48時間以内に連絡が来ると聞いていましたが、1件分は4日後に一通のメールが「Agoda Customer Service」から届いていました。
しかも、メールの先頭の名前と本文中の名前が不正に予約した中国人の名前になってました。。。
もうちょっと調べてから連絡して欲しかったw
弊社の専門の窓口にて調査を依頼いたしました。 生憎、過ぎたご予約のため、弊社では直接返金の処理が出来かねます。 しかし、お手数をおかけしますが、〇〇 〇〇様よりカード会社に不正利用の申し出をお願い申し上げます。 その後カード会社より弊社の専門の窓口に連絡があり次第、対応させていただきます。
二件目分は、さらに二日後に回答が来ていました。(今度は名前は訂正されていました。)
お問い合わせを頂戴した件に関しまして、担当部署にて調査したところ、不正利用の可能性が高いとの回答がございました。しかしながら、あいにく弊社にてキャンセル及び返金のお手続きをすることができかねております。カード会社の承認ののちにお取引が成立されておりますため、返金の対応につきましては、ご利用のカード会社へ補償のご相談をしていただきますようお願い申し上げます。
不正利用の可能性が高いって・・・
定型文じゃないのは評価できますが、Agodaのカスタマーサービスはイラッとさせるのが得意なようです。
そもそも48時間以内に連絡すると言われていて期待はしていませんでしたが、48時間は全く守るつもりがないようなので、気長に待つのがいいと思います。
また、Agoda側のサポートは期待できないのでカード会社に連絡するようにしましょう。
とはいえ、クレジットカード会社からAgodaに調査が入るのでは?と思うので、確実に連絡はするようにしておきましょう。
カード会社の対応
発覚直後にカード会社に電話した時は、請求に上がってきたら、アプリから申告ができるということだったので、数日後にまず1件目が請求に上がってきたタイミングで、Vpassアプリのメニューから、申請しました。
「サポート・チャット問い合わせ」→「身に覚えのない明細や利用通知でお困りの方」から入り、「身に覚えのない明細がある」のところで「当てはまらない場合(お手続き)」というところがあるので「不正利用として申請する」を選択して、あとは、画面の指示に従い、実際の明細から不正利用分を選択して、申請を行いました。
申請の数日後にSMSが届いて「ご照会いただいたご利用内容の結果連絡です https://XXXXXX」というメッセージが来て、URLが記載されています。
そのURLに飛ぶと、最終確認で指定の明細に「利用に覚えがない」という最終確認をして申請が完了します。
その翌日くらいに「ご利用覚えのない請求に関するお問合せ結果」への解答の受付が完了いたしました。受付番号:V -XXXXXX-XXXXXX」というSMSのメッセーが届きました。
三井住友VISAカードのよくある問い合わせによれば、このメッセージが届いた時点で補償対象になっているということなので一安心です。
クレジットカードの明細に請求が上がったタイミングが別々だったので、手続きもそれぞれ行いましたが、無事に両方、補償を受けることができました。
後日、クレジットカードの請求から消えていました。
タイミングによっては、一旦引き落とされた後に返金などになる場合もあるようです。
特に、警察に被害届を出しに行ったりということも必要なかったです。
三井住友カードは手続きの60日前に遡って補償
今回は三井住友カードに助けられましたが、三井住友カードはVpassなどでカードの利用停止のお手続きをした日の60日前から、損害を補償してくれるみたいです。
なぜAgodaは狙われやすい?
ネットで調べると同様に事例がAgodaには多くありました。
なぜ、被害が多いのかと考えてみましたが、昔から設定を変えていなければ、ログイン通知がなかったり、パスワードもメールアドレスに通知することなく、変更できてしまっていました。(この点はなぜなのかわかりませんが・・・)
おそらく、ハッカーにとって、好都合な設定のユーザーが多いのだと思います。
ただ、自分のアカウント管理方法にも問題があったので決してAgodaが全て悪いとは思っていませんが、被害者が増えている中で、そこに対して対策をしていないAgodaにも非があると思っています。
デフォルトで強制的に2要素認証にしたり、パスワードを変更する場合は通知したり、普段とは違う環境からアクセスがあった場合は通知したりといったことはしてほしいなと思いました。
被害に遭わないために何をすればいいか?
まず、普段使っていないサイトのアカウントは、消しておくのがいいと思いました。
また使う可能性があるからという場合でも、頻繁に使わないのであれば、クレジットカードを登録したままにしておくのは非常に危険ということがわかりました。
今回も1年以上利用がないにも関わらず、アカウントを放置して、クレジットカードを登録したままにしてあったのが良くなかったです。
他にもサイト側が対応していれば、ログインの際には2要素認証を設定したり、パスワードは定期的に変更したりと、自分でアカウントを守る行動をしないといけないと再認識させれらました。。。
被害額40万円超!Agodaで不正利用されました まとめ
今回はAgodaでアカウントをハッキングされ、不正利用されてしまったので注意喚起の意味で紹介させてもらいました。
不正利用がわかってもAgoda側ではできることはないようで、クレジットカード会社にできるだけ早く連絡して、カードを止めたり、補償の申請をする必要があります。
ただ、クレジットカード会社からAgodaに調査が入ったりするかと思うので、Agodaにも連絡しておく必要はあるかと思います。
また、ネットで情報を調べた限り、Agodaでの不正利用の報告は非常に多かったので、皆さんも気をつけてください。
コメント