わしの日記

[ 表紙へ | 目次 | | ]

2025/07/26 (土)

楽天ポイントカードの不正利用



 「楽天カード」(=クレジット)じゃないよ、念のため。
 通知メールが来て気づいたが、以前勤めていた会社そばの、毎朝立ち寄っていたデイリーヤマザキで、昨日夕刻、残額すべてが不正利用されていた。
 (残額すべてと言っても幸い、千円未満なんだけどね)

 そこで楽天にアクセスして調べようとしたが、楽天グループのセキュリティ対応はホント、ロクなもんじゃないとあらためて痛感した。

 楽天ポイントカードは、楽天IDに15枚紐づけ可能である。
 実は、今朝ひさびさに思い出したが、私のIDには2枚の楽天ポイントカードが紐づけられていた。1枚は、はるか以前に失くしたものだ。
 失くして、すぐ、デイリーヤマザキで新しいカード(以下B)を作ってもらい、古いカード(以下A)のことは忘れていた。

 さて、ポイントの利用履歴には、場所・時刻・使用ポイントは表示されるが、当然ながら、いくら使ったか、などはわからない。
 特に問題なのは、サイトの情報、通知メールの内容どちらからも、使われた楽天ポイントカードの番号が特定できないことだ。
 カードA,Bどちらの番号を犯人が利用したか、少なくともユーザーのわしには、知る術がないのだ。

 これは楽天ポイントカード運営上の、たいへんな欠陥である。

 そこで問合せしようとすると、まず楽天グループ全体の受付をするAIに誘導され、ポイントカードの質問を書くと、ポイントカード問合せサイトに誘導される。
 ポイントカード問合せのページは、読者ももう想像がつくと思うが、まず、「よくある質問」のなかに、不正利用についての質問がない。
 どうやら、電話しないといけないようだ。
 どうせ電話しても繋がらないだろう、とわしは諦めた。楽天グループの思うつぼだ。

 不正使用されたコンビニは、我が家から1時間以上かかる以前の勤務地であり、1年以上、行っていない。
 カードAは冒頭書いたとおり紛失。カードBは手元にあるが、もう1年以上使っていない。

 ふつうに考えれば、「あー、失くしたカードを不正利用されていたんだ。利用停止しとこ」なんだけど、いや、ちょっと気持ち悪い。
 実は10日ほど前に、気まぐれで、運用中の楽天ポイントを下ろしていた。楽天ポイントなんてふだん使わないのに、数百ポイントあったから、「ポイント運用」とかいうやつに放り込んで、放置していたんだね。それが、数百ポイントたまってたのをたまたま見つけて
「本一冊買えるかな」
と思って、下ろして、そのまま使わずに数日忘れていたところだった。
 これが、気持ち悪いところである。

 1年以上使ってないカードに、ポイントが入ったと、なぜ、昨日急に、犯人は知り得たのだろうか。
 楽天IDのサイト、ログイン履歴は、7/10以降しか記録が表示されない、頼りないサイトだが、この期間内に、ポイントの移動をやっており、かつ情報を見る限り、わし以外はログインしていなかった。PCが覗かれていれば別だが。

 ふだんから、拾得したカードAを使っていたのだとすれば、ごくまれにブラウザでポイント確認するわしが、気づくはずである。
 なぜなら、使った瞬間に記録が残るからだ。
 勤務していた頃は、毎日、デイリーヤマザキでの買い物が履歴に表示されていたものだ。
 レジで、「残ポイントがあれば使います。なければ、ポイントカードは使わないでください」といちいち言う? ポイントはためないで、という言い方をする人はいるけど、それって、「いまついたポイントを使っちゃってください」と言う意味だから、ポイント取得・使用の履歴は残るんだよね。
 とにかく、「急に昨日使った」と思えて、それが気持ち悪い。

 あるいは楽天アプリに番号を登録すれば、そんなことができるんだろうか。
 楽天のセキュリティ姿勢には以前から疑惑を持っているので、アプリは入れていないし、この件の検証のために入れるのも危険だから、未検証だが。

 とにかく、1年以上ぶりに数百ポイントが入ったことを、この10日間程度の間に犯人は、何らかの手段で知った、という蓋然性が高い。
 使用場所は、数年前にわしの落としたカードAを拾得したコンビニ。
 犯人はわしの勤めていた会社のある近辺の誰かだろう。カードAの紛失時期は、おそらく、2022年以前だと特定できる。
 なぜなら、カードBの発行日をサイトで確認できたから。カードBは、Aを無くしたわしが、コンビニ店頭で申し込んだものだ。

■シナリオA
 犯人は、2022年にコンビニで拾得した楽天カードAを持っていたが、ポイントを入れるような間抜けなことは一切しないまま数年、息をひそめていた。
 そして、なぜか昨日はじめて突然、カードを不正利用した。
■シナリオB
 ぜんぜん別の方法で、カードAまたはBの情報を入手してアプリに登録、あるいはカードを偽造等して、昨日はじめて、カードを不正利用した。
 「拾得したカードを使った」より、はるかにタチが悪い。

 どっちであったとしても、気持ち悪いでしょう?

 アプリか実カードか、カードだとしたら、AかBかもわからないのは大欠陥だ。
 とにかくねぇ、こういう、頼りなく、ユーザーに寄り添わないセキュリティの怪しい企業とは、もう関わらないつもりである。


[ 表紙へ | 目次 | | ]