マリオットポイントを約50万ポイント・・ほぼ所有全ポイント不正利用されるという被害に遭いました。
結果として、マリオット・ボンヴォイのリスクチームさん&電話オペレータさんの迅速かつ的確なご対応によりポイントは全額戻ってきたのですが・・。
正直、全額戻ってくるまでは気が気じゃありませんでした。
当然ながらこういう犯罪行為については問答無用に「盗む犯人が150%悪い」のですが、不正利用被害にあった私自身にも隙がなかったかといえばあったんですけどね(笑)。
この対応の過程で色々と勉強になる点も多かったので、今後このような被害に遭われる方がいなくなるよう、また、不幸にして被害に遭われた際の参考になるよう・・。
経緯と対処法、返還までの期間と、ポイント不正利用された場合って、ポイントの補償ってあるの?ってことなどを、まとめておきたいと思います。
スポンサーリンク
目次
経緯
不正利用発覚のきっかけ
- 最近、Marriott Bonvoy® アカウントのポイントを使用して航空会社のマイレージ特典が購入されました。
- セキュリティ対策の強化により、あなたのアカウントは保留されています。
- アカウントの保留を解除するには、できるだけ早くメンバーサポートに連絡して、この注文を確認し、アカウントが安全であることを確認してください。
- Marriott Bonvoy® は、顧客情報を保護するための高いビジネス基準と実践を維持しています。 ご不明な点がございましたらお問い合わせください。
では、マリオットポイントの不正利用の経緯を簡単に。
まず、始まりは上記のようなマリオット・ボンヴォイリスクチームからの英語での一通のメールでした。
なんと、私のポイントで航空会社のマイレージ特典が購入され、セキュリティ対策により私のアカウントが保留されている!?アカウント保留を解除するにはできるだけ早くメンバーサポートに連絡せよ!!と書かれています。
当然ながら、私はマリオットポイントは基本ホテル宿泊に利用するので、マイルに交換することはほとんどありません。
普段から怪しい日本語での「Amazonへの異常なログインが検出された」みたいなフィッシング詐欺的メールは沢山届きますし、普通は無視しているのですが・・。
直感で「これはガチなメールだ!」と気づきましたね。これは本当に直感ですね。
で、慌ててマリオットアプリからポイントを見に行くと・・。
ポイントがほぼ0になっていて・・上記のとおり、パートナーポイントに48万ポイントも不正に交換されている!
しかも、ポイント交換先が航空会社マイルのため、60,000P以上の交換でボーナスポイントがつくのですが、そのボーナスポイントまで含めて全部で72万ポイントも不正に交換されている!!
これは本気でやばい・・ということで、メールに記載されているとおり、即マリオットのメンバーサポートに電話しました。
スポンサーリンク
サポート対応
ということで、血の気が引いたまま速攻マリオットのサポートに電話しました。
マリオットサポートの方との間で本人確認が完了したのちに、上記のような「ポイント不正利用された可能性がある」的なメールが、マリオットのリスクチームから届いた旨を伝えますと・・。
サポートの方もそのメールの内容は確認できる(「当方からのメールの内容を確認します」とのオペレーションあり)らしく、メールを確認していただき、少しだけ保留の後、以下のオペレーションがありました。
- ユナイテッド航空マイルとエアカナダマイルに24万ポイントずつ交換されているが、身に覚えがあるか。
- 身に覚えがない場合、両マイルのアカウントと連携されているが、この連携を切っても良いか。
- 普段使っている(登録している)メールアドレスのログインパスワードとマリオットのパスワードが同じではないか。
- メールアドレスログインで突破されている可能性が高いため、登録メールアドレスとパスワードをすぐに変えて欲しい。
- 不正を感知したため、エアラインマイルへの交換は保留されており、交換には至っていない。
- このため、不正に交換されたポイントは、約3週間〜4週間程度でアカウントに返却する。
まず聞かれたのが、1️⃣今回のエアラインマイルへのポイント交換が私が行ったものか・・ということ。
ユナイテッド航空マイル、エアカナダマイルに交換した覚えは全くないですし、エアカナダマイルはアカウントすら持っていないので、ここは当然「No」と回答。
そしてどうやら、不正利用犯が私のマリオットアカウントに不正アクセスし、この2つのエアラインマイルへの交換手続きを行ったため・・。
その結果、私のアカウントとこの不正利用犯の偽エアラインアカウントが紐付けられているらしいので、2️⃣この両マイルとの連携についても当然ながら「切断」を希望。
本当に・・気持ち悪すぎです。
そして、確認があったのが3️⃣普段使っている(マリオットアカウントに登録している)メールアドレスが私の場合Yahooメール(フリーメール)だったんですが・・。
そのYahooメールのログインパスワードと、マリオットアカウントのパスワードが同じではないか?ということ。
えーっと、これ、確かに同じでした。
このため、4️⃣Yahooメールのログインパスワードが何らかの原因で流出したため、同じメールアドレスで登録しているマリオットアカウントのログインが、この流出した同じパスワードで突破された・・。
という可能性が高い・・とのことでした。
さらに、Yahooメールのパスワードが流出しているので、マリオットポイントからマイルへの交換の際にはメールアドレスに認証コードが届くのですが、この認証コードもメールアドレス側に不正アクセスされ、簡単に入手されていたんです。
ということで、この場で5️⃣登録メールアドレスとパスワードを変更してくれ・・ということで、他ではほとんど使っていない携帯のキャリアメール&別パスワードにサクッと変更。
そして・・肝心の私の不正利用されたポイントですが・・リスクチームが不正を感知しマイルへの交換は保留しているので、約3〜4週間程度で全額返還される・・とのこと。
いや〜本当にホッとしました。
スポンサーリンク
不正利用ポイント返却までの期間
ということで、全額返却される・・という案内があったものの、ポイント返却までは気が気ではなかったわけですが・・。
上記のとおり、約3週間とちょっとで無事戻ってまいりました(笑)。
「TRAVEL PARTNER FRAUD REIMB(トラベルパートナーの不正行為に対する補償)」という名目になっていますね。
- Marriott Bonvoy® アカウントで不正な行為が行われたとのこと、大変申し訳ございません。報告を受けて、私たちは調査を開始しました。 ポイントはアカウントに全額復元されました。
- 記録には、お客様が完了したと思われる最近のオンライン パスワード リセットが示されています。 そうでない場合は、アカウントにログインし、できるだけ早くパスワードのリセットを行ってください。
- また、メンバーサポートに電話するときに使用する 4 桁の PIN と秘密の質問と答えを確立することを強くお勧めします。
私たちは、大切なメンバーの皆様に、不正アクセスから守るための予防策を講じるよう思い出していただきたいと考えています。 次のベスト プラクティスをお勧めします。
- Marriott Bonvoy® アカウントの設定で第 2 要素認証を有効にする
- Marriott Bonvoy® アカウントに関連付けられているメールアドレスの変更を検討してください。
- 複雑なオンライン パスワードやフレーズのオンライン パスワードを使用し、定期的に更新してください
- さまざまなアカウントで異なるログイン資格情報を使用して、1 つのアカウントで侵害されても他のアカウントに影響を与えないようにします。
- 関連付けられた電子メール アカウントのパスワードを定期的に更新し、不明なメッセージが自動転送されないようにします。
不明なデバイスや場所からログインしないでください - 定期的にアカウントを確認してください
- 潜在的な不審なアクティビティは速やかに報告してください
そして、ポイント全額返還後、上記のようなメールがマリオットのリスクチームから届いていました。
特に赤字の部分は私にも完全に当てはまる部分ですし・・同じような状況の方も多いと思うので、参考にしていただければと思います。
- マリオットに登録したフリーメールアドレスのパスワードと、マリオットアカウントへのログインパスワードが同じであった
- フリーメールのパスワードが流出したため、同じパスワードを利用しているマリオットアカウントへの「メールアドレスでのログイン」が可能になった。
特に、今回の私のマリオットポイントの不正利用の最大の原因は、上記のとおりメールアドレスへのログインパスワードと、マリオットアカウントへのログインパスワードが同じだったので・・。
メールアドレスのパスワードが流出したため、芋蔓式にマリオットアカウントへのログインが可能になってしまった。
さらに、マイル交換時に必要となるメールへの二段階認証コードも、メールアドレスに不正アクセスすることで突破されてしまった・・・ということです。
いや・・私はフリーメールアドレスは使ってない・・って方も、これ注意が必要です。
なにしろ、メールアドレスとパスワードの組み合わせは、最も流出しやすい組み合わせですからね。
これが流出してしまうと、マリオットアカウントのように会員番号+パスワード以外にもメールアドレス+パスワードでログインできるアカウントは、簡単にログインできてしまうんです。
例えば他のAというサイトのログインIDがメールアドレスだとしますよね?そして、パスワードが仮に「B」だとします。
このAというサイトのメールアドレス「A」とパスワード「B」の組み合わせが流出して・・マリオットに登録したメールアドレスが「A」でパスワードが同じ「B」だとしたら、簡単に突破されるんです。
この組み合わせが流出してもメールアドレスログインで不正アクセスされないよう、メールアドレスでログインできるサイトのパスワードは、他のサイトのログインパスワードとは使い回しをしないことがおすすめです。
いや・・本当に勉強になりました。
スポンサーリンク
マリオットポイント不正利用は補償される?
- 当社は以下について一切の責任を負いません。
- (b)ポイントまたはアワードの盗難、不正交換あるいは不正使用。
ちなみに、不正利用に遭ってから改めてマリオットのポイント規約を読み直したのですが・・。
今回は運良くマリオットのリスクチームが不正利用を発見していただけましたが、もし、仮に不正利用されてしまいもう取り返しがつきません・・って場合、マリオットポイント規約上、一切補償されないんですよね。
なんかクレジットカードの不正利用とかですとカード会社の補償サービスがあったりするのですが、意外にポイントの補償サービスってないんです。
私はマリオット・ボンヴォイ・アメックスプレミアムカード(MBアメックスプレミアムカード)を所有しているので、マリオットポイントの不正利用補償とかあるのか?と思いましたが、ありませんでした。
ということで、ポイントの不正利用には、自分で気をつけていくほかないんです。
これを知った際はまだポイントが全額戻ってくる前でしたので、本気で凍りつきました(笑)。
本当にお気をつけください。
スポンサーリンク
まとめ
以上、本気で肝を冷やすことになったマリオット・ポイントの不正利用被害と・・。
その経緯、注意点と対処法、ポイントが戻ってくるまでの期間などについて解説しました。
- マリオットアカウントなどメールアドレスでログインできるサイトの場合、「メールアドレス+パスワード」の組み合わせは最も流出リスクが高いので、マリオットアカウント独自のパスワードを設定する。
- Yahooメールやhotmailなどフリーアドレスを利用している場合、これらアドレスのパスワードとマリオットアカウントのパスワードは絶対に違うものにする。
- できれば、Yahooメールやhotmailなどのフリーメールは使わない。
- アカウントは定期的に見に行き、不審なポイントの減少などがあったら即時にサポートに問い合わせする。
- 不正利用され、結果として公式サポートでも取り戻すことが困難な場合、ポイントの補償はない。
- 運良くポイントを取り返せた場合、3〜4週間程度でポイントは返却される。
今回の件で私が学んだ教訓はこちらです。
特にメールアドレス+パスワードでログインできる、例えばマリオットアカウントの場合・・。
他の同じようにメールアドレス+パスワードでログインできるサイトで情報漏洩があり、かつ同じパスワードを使っていると、同じ組み合わせで一発でログインされてしまいます。
このため、特にメールアドレス+パスワードでログインできるサイトの場合、パスワード設定には慎重になった方が良いと思います。
また、少しでも怪しい兆候があれば、躊躇なくサポートに問い合わせすることが重要です。
以上、何かのご参考になれば幸いです。
貯めたマイルでハワイに無料で行ける!陸マイラーのはじめ方はこちらから
私は普段の生活にちょっとの工夫をするだけで、年間50万ANAマイルを貯めています。え・・そんなにマイル貯まるの?と興味が湧いた方は、ぜひこちらも併せてご覧ください。
当ブログにアップされている、年間50万ANAマイル貯めて特典航空券を発券する方法、マイルの価値、そしてマイルの使い方は、以下にまとめています。順に読んで行くだけで、陸でマイルを貯める方法が誰でも簡単に理解できます。
