先日、クーポンを使用した場合の Xperia 10 VII の購入金額を確認してみようと、ソニーストアへログインしようとしました。
すると、パスワードが違うとエラーが。
「おかしいな。パスワードは変えていないはずなのに」と不審に思いながら、パスワードの変更を要求。
送られてきたパスワード変更メールの URL にアクセスしてパスワードを変更。
再度ログインを試みると、今度は 2 段階認証 が有効になっており、確認コードを求められる事態に。
「はて?2 段階認証を有効にした覚えはないぞ?」と戸惑いました。
認証アプリを確認しましたが設定は見つからず、SMS で届くだろうかと待ってみても一向に届かず。
なんかおかしいなと感じていると、そういえば少し前に何かメールが来ていたことを思い出す。
慌てて受信ボックスを探すと、約 10 日前に「お持ちのアカウントに関する重要なお知らせ」という件名のメールが届いていました。
内容は、
最近、お客様のアカウントで不規則なアクティビティーが見つかったため、お客様のパスワードをリセットいたしました。
というもの。
そのメールを見た記憶はあったものの、寝る直前だったか何かで、そのままスルーしていた。
さらに、このメールが届く約 30 分前には、「2 段階認証が有効になりました」という件名のメールも届いていた。
そして、パスワード自動リセット後にも、パスワード変更を要求するメールが 2 回届いていた。
ここでようやく、自分のソニーアカウントが乗っ取られ、勝手に 2 段階認証 を有効にされてしまったことに気づく。
慌てて受信ボックスを確認するも、購入明細メールなどは届いていなかった。
また、クレジットカードの明細も確認したが、PSN やソニーストアでの決済履歴は確認できず。
考えてみれば、PlayStation Network ではもう何年も購入をしていないため、紐付けていたクレジットカード情報が古く、決済ができなかったのだと思う。
もしかすると複数回決済に失敗しており、それが「不規則なアクティビティ」として検知され、パスワードが自動リセットされたのかもしれない。
ひとまず、サポートに連絡するため、ログイン画面の「サインインでお困りですか?」→「ソニーアカウントにサインインできません」→「サポートに連絡」の順にリンクをクリック。
ソニーのさまざまなサービスが表示されましたが、どれに問い合わせるべきか迷ったので、まずは「My Sony」を選択。
しかし、時刻はすでに 22 時を過ぎており、電話はもちろんのこと、LINE もチャットも受付時間外。
仕方なくメールフォームから問い合わせを送信。
パスワードは既に変更済みで、パスワード自動リセット後にパスワード変更要求が 2 回来て以降はメールも来ていない。
「おそらく犯人もログインできなくなっているはず」と思いつつ、一旦落ち着くためにネットサーフィン。
すると、PlayStation サポートサイトにアカウントが乗っ取られた場合の情報を発見。
チャットボットで問い合わせを試みるも、2 段階認証の解除はオペレーターでないとできないそうな。
仕方なく朝まで待つことに。
翌朝、ソニーのサポートから返信が来ており、内容は
該当のソニーアカウントは PSN アカウントと紐付けられているため、2 段階認証の解除は PSN のサポートに問い合わせてほしい
というものだった。
ということで PSN のサポートへ問い合わせ。
チャットボットよりもスマホで手軽にやり取りでき、通知が来て分かりやすい LINE での問い合わせを選択。
PlayStation の公式アカウントを友達追加して問い合わせを開始。
オペレーターとのやり取りの前に、氏名や連絡先、サインイン ID などの情報を入力。
この際、直近で購入したコンテンツの発行番号や、使用機器のシリアル番号の入力がありましたが、分からなかったため両方とも「不明」と回答。
それから約 20 分後、オペレーターから連絡が来ました。
事情を説明すると生年月日の確認と、アカウントに紐付けていたクレジットカードの下 4 桁を尋ねられました。
しかし、おそらく古いクレジットカード情報が紐づけられていたため、正確な下 4 桁が分かりません。
とりあえず、手元にある現在のクレジットカードの下 4 桁を回答。
次にアカウント作成後に初めてサインインした機器のシリアル番号を聞かれましたが、自宅にいなかったため確認できず。
「今は分からない」と伝えると、今度は最近購入したコンテンツの発行番号を聞かれました。
ソニーからのメールを探してみるも、購入明細メールが見当たらず。
ログインできないため購入履歴も見れず。
「発行番号もわからない」と伝えると、残念ながら本人確認ができないため対応ができないとの返答。
ただ、アカウントに紐づけられていたクレジットカード情報や決済関連の情報は、念のためすべて削除してくれたとのこと。
そこで一旦問い合わせは終了。
帰宅後、PSN アカウントでログインしたことのある機器のシリアル番号を調査。
再度 LINE から問い合わせ、前回「不明」と入力した使用機器のシリアル番号に PS3 のシリアル番号を入力。
今回は 5 分ほどでオペレーターから連絡が来ました。
前回同様に生年月日を聞かれたあと、先に入力した機器以外に入力できるシリアル番号はあるか聞かれたため、PS4 と PS5 のシリアル番号も入力。
ここから本人確認が行われ、無事に本人確認ができたとのことで、2 段階認証を解除してもらえました。
解除後、すぐさまアカウントにログインし、改めて 2 段階認証を設定。
念のため、購入履歴を確認しましたが、不正な購入はありませんでした。
今回の筆者のケースでは、以下の要因が重なり、被害が少なくて済んだと考えています。
- メールアドレスを変更されなかった
- たぶん登録していたクレジットカード情報が古かった
- 不規則なアクティビティ検知でパスワードが自動リセットされた
もしメールアドレスを変更されてしまうと、パスワードの変更もできなくなり、かなり厄介なことになるようです。
そして、今回の根本原因は、おそらくパスワードの使いまわし。
実は、約 10 年前に Adobe で情報流出事件があった際に、筆者のログイン情報が流出しました。
そのため、パスワードの使いまわしはせず、古いパスワードを設定しているアカウントは適宜変更するようにしていました。
しかし、長年使っている一部のアカウントではまだ変更していなかったものがあり、それが今回のソニーアカウントでした。
今回の件を受けて、パスワードマネージャーを確認し、古いパスワードのままになっているものは急いで変更。
2 段階認証 を設定できるサービスはすべて設定しました。
みなさんもパスワードの使い回しには十分ご注意ください。
そして、2 段階認証を設定できるサービスは積極的に設定しましょう。
ただし、最近は 2 段階認証を突破する方法もあるらしく、「パスキー」がより安全な認証方法とされているようです。
パスキーが設定できるのであれば、パスキーを設定するのが良いかもしれません。