Uberのアカウントが乗っ取られた!?　対処方法は？　サポートの対応は？

自称タクシー評論家の私たちですが、世界的に流行している配車サービス「Uber」については、アカウントを作っただけで放置していました。

ところが1ヶ月ほど前から、なぜかUberからSMSが頻繁に届くようになりました。
調べたところ、誰かが悪意を持ってアカウントを乗っ取ろうとしていることが判明。

しかも、悪意のある相手が存在するせいで、通常の方法ではアカウントを削除することができません。

サポートに連絡し、何とか事態を収拾させることができました。

Uberアカウントは放置状態

世界各国で利用できる配車サービス「Uber」。

日本でも車（東京の場合はハイヤー）を呼べるというので、自称タクシー評論家として、これは一度体験せねば！と思いアカウントを作りました。

しかし、いざアプリを立ち上げてみると、自宅付近では空車がほぼ皆無です。
郊外では全く実用になりません。

ということで、登録後に付与される1500円のクーポンは期限切れで無駄にしてしまいました。
その後も利用することなく、2018年の夏を迎えました。

出前サービス「Uber Eats」など、他サービスも始まっていますが、こちらも現時点では縁がありません。

SMSで確認コードが送られてくる

ある日、オットーの携帯電話に、Uberから以下のようなSMSが送られてきました。

Uber コード: 7825
お心当たりがない場合、Reply STOP to (415) 237-xxxx to unsubscribe.

何通か来て、若干文面の違うものもありました。

お客様の Uber コードは 2525 です。
お心当たりがない場合、Reply STOP to (415) 237-xxxx to unsubscribe.

日本語と思いきや、最後の方が英語のままというのが妙です。

和訳すると、心当たりがない場合には、「STOP」と書いて指定の電話番号までSMSで返信せよ、ということかと思います。

日本国内とは思えない電話番号です。ちょっと返信するのはためらわれますね。
海外宛のSMSはけっこう高額になることがあります。

ともかく、最近Uberを利用していないのに、このようなSMSが届いたのです。

誰かが電話番号を間違った？

まさに「お心当たりがない」のですが、私たちはしばらく行動を起こしませんでした。

このSMSは、本人確認のために送られてくるものだと思われます。
つまり、Uberに携帯電話番号を登録する際、「今、電話番号を登録しようとしている人が、本当にその電話番号の持ち主であること」を確認するために送られてきていると考えられます。

オットーと似たような電話番号を持つ人が、Uberに登録しようとした際、誤ってオットーの電話番号を入力してしまった。
そう考えれば納得はいきます。

何度も送られてくる→新手の嫌がらせ？

これが一度だけなら気にしないのですが、その後、数日に一度、しまいには毎日、このようなSMSが届くようになりました。

何者かが悪意を持ってやっているとしか思えませんが、まだ私たちは静観していました。

電話番号は単なる数字の並びです。
適当に数字を並べたところ、たまたまオットーの電話番号になった可能性があります。
これをもって「個人情報が漏れている」と断定するのは早計です。

アカウント削除ができない！

1ヶ月ほど経ってもSMSが止まないため、オットーは重い腰を上げました。

ログインは正常

ひとまず、Uberのアカウントにログインしてみます。

これで、パスワードが勝手に変更されていたらアカウントの乗っ取りを強く疑いますが、実際には、以前に設定したパスワードでそのままログインできました。

また、ログイン直後に「新しい機器で、Uberアカウントが使用されました。」というタイトルのメールが届きました。
これまでアプリからのログインだったところ、今回初めてブラウザからログインしたためだと思われます。

このようなメールは見たことがないので、裏を返せば、何者かが不正なログインに成功したということはなさそうだ、と判断できます。

あらためて、登録してある個人情報を確認したところ、以下のような重要な情報が登録してありました。

全く利用していないアカウントなので、迷わず削除することにしました。

削除は猶予期間つき

Uberアカウントの削除方法は若干分かりにくいのですが、ヘルプからたどっていけば不可能ではありません。

2021年3月現在では以下のところに説明がありました。

https://help.uber.com/ja-JP/riders/article/uber-%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%AE%E5%89%8A%E9%99%A4%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%8C%E5%BF%85%E8%A6%81?nodeId=24010fe7-7a67-4ee5-9938-c734000b144a

help.uber.com

日々ヘルプの内容は改善されているようで、オットーが類似ページを見た段階（2018年9月）では、単に削除の手順が書いてあるだけでしたが、今は違うかもしれません。

ともかく、あっさりと削除はできたのですが、その後届いたメールを見て「まだ安心できないぞ」と思いました。

「Your request to delete your account was successful」というタイトルのメールが来たのですが（容赦なく英語です）、和訳すると以下のようなことが書いてあったのです。

30日も待たないと、完全に削除されないんですか!?

※2018年11月現在では、前述のヘルプのページにも「30日ルール」が記されていました。

1日後、勝手に復活される

ひとまずアカウントを削除したので、様子を見ていました。

ところが約1日後、夜中にSMSで起こされました。
またUberからです。

ほどなくメールも届きました。
「Welcome back to the Uber community」だそうです。

「Uberにおかえりなさい」ですと!?

背筋が凍りました。
誰かが、確実に悪意を持って、オットーのアカウントを攻撃しています！

パスコードを記したSMSがオットーの携帯電話宛に来ているため、敵は相変わらずログインできていないと思われるのですが、「数打ちゃ当たる」戦法で突破を狙っている可能性も大いにあります。

真っ先にクレジットカードの使用履歴を確認しましたが、少なくとも数日前まで、不正利用はないようです。

Uberのサポート体制は？

ひとまずUberのパスワードを変更したものの、このまま放置はできません。

アカウント乗っ取り専用の問い合わせ先がある

ヘルプを読むと、ご丁寧に「アカウントが乗っ取られた場合」の手順が書いてありました。

https://help.uber.com/ja-JP/riders/article/%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%8C%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%81%95%E3%82%8C%E3%81%9F%E5%8F%AF%E8%83%BD%E6%80%A7%E3%81%8C%E3%81%82%E3%82%8B?nodeId=f05c6c37-7dc0-497b-bebe-8e6c220545cf

help.uber.com

この手順に従い、早速、サポートに連絡します。

「退会したのに、意図せずアカウントが復活させられた。SMSが頻繁に来る。」

このようなコメントをつけてメッセージを送りました。

土曜日でも対応は早い

およそ4時間後、サポートからの返信メールが届きました。
土曜日なので「まさか次の平日まで待たされないだろうな」と思っていたのですが、それはありませんでした。

また、メールが全部英語だったらどうしようと思ったのですが、返答は日本語でした。

「送られてきた認証コードのスクリーンショットを添付の上、再度ご連絡を」とのことだったので、SMSを受信したガラケーの画面を写真に撮って送りました。

すると30分後に返信がありました。
今回の件は、可能性として以下2点があるとのことでした。

対処方法として「パスワードを変更せよ」とのことでしたが、「ご希望でしたらアカウントを削除します」と提案があったので、迷わず「即時削除」を希望しました。

もちろん、30日の猶予は不要なので、今すぐ完全に削除してほしい旨を伝えました。

黙って削除完了

その後、返信はぷっつり途絶えました。

しびれを切らして、再度Uberへのログインを試みたところ、ログインができなくなっていることが分かりました。

Webサイトからもアプリからもログインできません。
ログインしようとすると「Uberではこちらの携帯電話番号を認識することができません」と表示されます。

同じ電話番号で新規登録しようとしても、「こちらの携帯電話番号はすでに使用されているため、他のアカウントに移行することはできません」と出てきます。

同一電話番号での新規登録ができないことからして、完全な削除とは違うようですが、ロックアウトされていることは確かです。

返事はないものの、やることはやってくれたようです。

以後、同様のSMSは全く届かなくなりました。

事後処理：他サービスのパスワードを変更

Uberに関する対策は完了したといっていいのですが、オットーには事後処理が残っています。

同じパスワードを使っていた他サービスのパスワード変更です。

パスワードを使い回すと、被害は芋づる式に

お恥ずかしい話ですが、Uberに登録していたパスワードは、他サービスのパスワードの使い回しでした。

ということで、銀行や証券会社など重要そうなところを除き、パスワードは何種類かを使いまわしていました。

しかし今回、敵にパスワード認証を突破された可能性を否定できません。

携帯電話番号と使い回しパスワードが他人に漏れたとすると、いくつかのサービスで不正なログインを許してしまいます（2段階認証が失敗に終わったので、メールアドレスまでは漏れていない――と信じます）。

結局、対策は原始的なものに

パスワードの管理については以前から悩んでいました。

サービスごとに違うパスワードを使うべきだと分かってはいるのですが、とても覚えきれないのです。

ブラウザにパスワードを記憶させれば楽ですが、それが安全なのか確証が持てません。

結局、紙に書いて保存するという原始的な方法に落ち着きそうです。

8ケタで大丈夫なの？

ということで、すぐさまパスワードの全面見直しを敢行しました。

まずは銀行やクレジットカードなど、重要なところから着手しました（Uberとは別パスワードでしたが）。

驚いたことに、「パスワードは8文字以内」「記号・小文字不可」といったサービスも結構ありました。

もちろん、単純な総当たりでは8文字でも解読は結構厳しいと思います。

しかし、人間にもある程度覚えやすいパスワードにする前提では、8文字では甘いのではないかと思うのです。

まあ、私たち自身も偉そうに言える立場ではありませんし、そもそも現在のパスワードを思い出せなくて諦めたサービスがいくつかありましたが……

まとめ：グローバルなサービスは、敵もグローバル

以上、Uberでアカウントを乗っ取られそうになった件でした。

ウェブ上で調べてみると、Uberのアカウントを乗っ取られたという話は他にも目にします。

しかしこれは、Uberのセキュリティが甘いというよりは、Uberがそれだけ多くの人に狙われているということではないかと感じました。

ご存じのとおり、Uberは日本が発祥のサービスではありません。
また、1つのアカウントで、国内でも海外でも車を呼べます。

たとえば同じ配車アプリである「GO」と比べると、圧倒的に国際的なサービスといえます。

であれば、「Uberには各個人のクレジットカード番号が登録されている、ぜひ入手したい」と考える「敵」も、自ずと国際的になるわけです。

日本ローカルなサービスだと、海外の攻撃者は、そもそも日本語を解読するところから始めないといけません。これが大きな障壁となります。
そこへいくとUberは、基本が英語のようですから、攻撃するにもとっつきやすいのでしょう。

そんなわけで、Uberは日本ローカルなサービスに比べて、より多くの攻撃者に狙われているということがいえるでしょう。

その点をよく理解し、強固なパスワードを設定する等、十分な対策をして利用すべきだ、というのが今回得た教訓です。