6月24日にハピタスから重要なアナウンスがありました。
この度、ハピタスにおいてアカウントのなりすましと思われる不正なポイント交換が発生いたしました。現在のところ、弊社からお客様の個人情報が漏えいしたという事実は確認されておらず、その点についてはご安心いただければと存じますが、皆様におかれましても、念のためパスワードを変更していただくとともに、秘密の質問が未設定の場合は、下記から設定いただくことを強くお勧めいたします。
なお、同様の事態を防止するため、ポイント交換完了までの期間を誠に勝手ながら6月23日申請分からは一時的に以下の通り変更させていただきます。
現在)
交換申請から約3営業日以内
6月23日申請分から)
交換申請から約5営業日以内
アナウンスの内容からすると、サーバーからの情報漏洩ではなく、「管理が甘く、パスワードを知人等に知られた」「秘密の質問が誰にでも簡単に推測できるものだった」など、個人に対するソーシャルハックが原因のようですね。
各ポイントサイトで、こういったなりすましによる不正なポイント交換は定期的に起きており、どのポイントサイトにとっても頭の痛い問題になっています。そのため不正防止策として強固なセキュリティ対策が施されるわけですが、これはユーザーの利便性とトレードオフ。事件が起こるたびにユーザー側は不便を強いられます。今回のケースでは、ポイント交換にかかる日数が増えてしまいました。
ハピタス→PeX→メトロポイント→ANAマイル というソラチカルートを効率良く回すには、毎月15日までにPeX→メトロの申請をする必要があります。今回の改悪を踏まえ、できれば毎月1日、遅くとも5日にはハピタス→PeXを申請するようにしましょう。
ポイントサイトの不正には自衛が必要
ポイントサイトでなりすましによる不正なポイント交換が行われた場合、基本的にはサイト運営側が補償してくれることはまずないと思っていた方がいいです。ユーザー側はしっかりと自衛する必要があります。
- パスワードは複数のサイトで使い回さない。
- 長く、英数字混在の強固なパスワードにする。
- 秘密の質問は、親族や知人でも容易に推測できないものにする。
- ポイントはやたらと貯め込まない。付与されたらすぐに交換したり利用したりする。
アメリカでは、秘密の質問「好きな食べ物は?」のほとんどが「Pizza」なため、意味を成していないという笑えない話もあります。馬鹿正直に答えを設定する必要はないので、事実と違う答えを設定しておくのもひとつの手です。たとえば、「最初に飼ったペットの名前は?」という質問の答えに「将来ペットを飼ったらつけたい名前」を設定しておくなどです。こうすればたとえ親族知人といえども推測はできません。もちろん自分自身が、質問と答えをセットで覚えておく必要はありますが。
また、付与されたポイントは、できればすぐに別のポイントや現金に交換していくのが一番です。貯め込んでおくと、それだけ不正利用やポイントサイト自体の破綻などのリスクが高まります。
クレジットカードの不正利用は怖くない
ただ、クレジットカードの不正利用に関しては、ポイントサイトとは全く事情が異なります。クレジットカード不正利用やスキミングのニュースを見て「やっぱりクレジットカードは怖い……。現金が一番……」という印象を語る人をよく見かけますが、心配は全くいりません。
なぜなら、実害を被るのは我々一般ユーザーではなく、カード発行会社の方だからです。ユーザーに落ち度がない場合、不正利用されたお金は、カードを使われた店舗でもなく、もちろんユーザーでもなく、カード発行会社が負担することになります。
現金を持ち歩く方がよっぽど危険です。落としたり盗まれたりしたら、誰も補償してくれないんですから。
