iHerbトラブル　アカウントが乗っ取られた！解決までのレポート

iHerbで注文すると「注文承りました」という内容のメールがくる。他にも「今こんなセールしてるよ」とか時々iHerbからのメールはくるので見たりみなかったりしてます。

ある日、iHerbから変な言語でメールが来てるなとは気づきました。でも私は「文字化け？」くらいの軽い気持ちでスルーしてました。

iHerbにログインできない

そんなある日、買い物しようかなと自分のアカウントでログインしようとすると、入れない。

待ってみたけど状況は変わらず、iHerbのサポートに「アカウントが無効と出てログインできません」とメールしてみた。

すると2日後にこんな返信が届きました。

iHerbサポートからの返信

Google翻訳にポイっと放り込むと、ざっくりこんな感じ。

 

まてまてまて

もう7年か8年くらい使ってるiHerb、購入履歴もずっと残ってるしお気に入り商品のリストも作ってるし、ポイントもたまってるのに全部消えるって冗談じゃないよ！そんなサラッと言わないでよ（怒

そこで、今更ながらハッと気づきました。セキュリティ？そういえば変なメール来てたな・・。

ロシア語の注文メール

おかしなメールをちゃんと確認してみたところ、同じ日付で12通も来てました。

私が文字化けと勘違いしたメールの中身はこんな感じ。

これもGoogle翻訳に放り込むと「注文ありがとうございます。」という注文後にいつも送られてくる注文確認メールでした。

文字化けじゃなくてこれはロシア語・・・。

しかも注文は1件だけではなく、同じ日に立て続けに合計7件も。

しかし、注文はキャンセルされたりカード支払い不可だったりしてどうやら本当に購入はできていないみたい？

注文キャンセル？

こんな「注文キャンセルを承りました」というメールが「注文承りました」メールと交互に3通きてました。

でも翻訳すると「なるべく早く返品してね」って書いてあるから商品は発送されたのか？？

12通のメールを確認していくと、なんと1通だけ「発送完了したから配達日なんかは運送会社のサイトで確認してね」というメールがありました。

犯人へ商品発送のメール

え？犯人の名前・住所・電話番号書いてある・・。

なんと犯人わかっちゃいました。画像では一番下の四角で消しているところに配達先として書いてありました。ロシアの男性みたいです。

どこかの見ず知らずの人に盗まれたと言うもの気持ち悪いけど、ここまで名前とか住所とか分かるとホントに実在してる人間なんだなと言う生々しさで更に気持ち悪いし、怖い。

しかもね、注文してるのが普通に洗顔とかピーリングとかマスクとかなんですよ。7回の注文商品は毎回同じような内容。

自分で買えよ。

被害額

私も自分のポイントが今何ポイントたまってるか正確に把握して無かったけど、この配達メールの内容が使われたとしたら約14,000円分のポイントを盗まれました。

恐らくこの犯人はこんな風にしてアカウントを乗っ取れる人を探して、欲しいものを買ってる常習犯なのではないかと思います。

私のアカウントを長らく使っていくつもりもなく、今回の買い物分使って使い捨てみたいな感じでしょうか。

その証拠にこれ以降注文をした形跡はありませんでした。一気に複数の注文をしてそのどれか手に入ればラッキーくらいのもんでしょう。そして、一気におかしな動きをしたためにその後はiHerbにアカウントを無効にされるし。

私のアカウント復活は？

ロシア語の注文確認メールを見て、私はあわてて再度iHerbにメールしました。

いま冷静に考えるとアカウント無効になってるんだから犯人ももう使うことはできないんだけどね、テンパってるから私。

ポイントも消さずになんとかできないの？！って言ってみました。

iHerbからの返信

あ、そうなんだポイント移行してくれるのね、よかった。

でも今までみんなに紹介してきた紹介コードはどうなるの？使えなくなるの？ブログで紹介したのも全部書き直し？ものすごい手間なんですけど・・・。

ということで「今まで使ってた紹介コードを新しいアカウントに紐づけてくれませんか」とメールしたけど「それはできません」って丁寧でさっぱりした返事がきました（涙

新しいアカウント作成

新しいアカウントを作ってiHerbに知らせると「新しいアカウントにポイントを移行します、完了までに最大72時間かかります」文末には「Have a nice day.」とか書かれていて、いやniceって・・。と思ったけど。

今回アカウントを乗っ取られたということは、IDとパスワードが破られたってことだよね。新しいアカウントはアルファベット数字混在で前より長めのパスワードにしておきました。

っていうか、日本人のアカウントがいきなりロシア語利用になって、送り先ロシア在住の男性って、おかしいやろ。

このアカウントは日本以外の配送できませんみたいな設定できないのかなと思って、それも併せてiHerbサポートのメールに質問してみたけど、そこは完全にスルーされてた。そんな設定無いんだろうね。

今後のためにできる対策はパスワードを複雑なものにするくらいでしょうか・・もっと長くしておこうかな。

同じような被害にあった人はいないのかと「iHerb　アカウント乗っ取り」で検索するとAmazonのアカウント乗っ取りの件ばっかり出てiHerbは見つからない。

というかAmazonそんなに多いのかアカウント乗っ取り、2段階認証設定しておこう・・。

iHerbをご利用の皆様、こんなこともあります。ただ、レアケースなのかもしれません。特に紹介プログラムを利用の方、気を付けてください、クレジットカードはいきなりのロシアからの大量注文なんておかしいと拒否してくれますが、ポイント利用に関してiHerbは特に保護はしてくれないようです。
（今回移行してくれるのが犯人が利用したポイント分も補填してくれてるのかまでは確認してないのでわかりませんが、たぶんしてくれてない）

ポイントを盗まれたのも腹立たしいけど、今までブログやSNSで紹介してきた紹介コードが全て使えなくなって、手作業で全部書き換えかと思うと気が遠くなります。

1度購入しないと紹介コードも発行されないので、急いで注文しようと思います。でもお気に入りリストも今までの購入履歴も無いから買いにくい・・・。

※価格は変動するので、クリックして現在の価格を確認してください。

≪iHerbサイト≫　≪iHerb今のセール商品！≫　

　≪iHerb人気商品ランキング≫

後日談、その後どうなったか

iHerbサポートに新しいアカウントを連絡してから3日ほどでたまったポイントは新しいアカウントに移行されました。

よかったよかった、もう早速使っちゃおうと思ったら「使用不可」エーなんでー。

またまたiHerbサポートに「いつになったら使えるの？」と問い合わせてみたところ、5日ほど何の連絡も無かったので諦めかけてたら。

だからniceじゃないって・・と思ったけど無事「利用可能」になってました。そして、1度買い物しないと新しい紹介コードはもらえないと思ってたけど、こちらも表示されてて使えるようになってました。

これでやっとiHerbサポートにはもう連絡しなくても良さそう。

新しい紹介コードに変更

新しい紹介コードがふられたのは嬉しいけど、これ過去に紹介した分を訂正するのものすごい大変・・。とげんなりしてました。

そう思いついて調べると、そんな便利なプラグインがありました。

Search Regex

このプラグイン、使い方もシンプルで本当に簡単にすべての記事一括置換してくれました。

これで本当に今回の事件も一件落着しそうです・・・。ふう。

iHerb　二段階認証を設定

いつの間にかiHerbが二段階認証を導入してた。え、みなさん気づいてました？

私はけっこう最近気づいて、早速設定しました。

アカウント情報や注文履歴を見れるページの左側の項目の一番下「設定」の中に「二段階認証」の項目があります。

携帯電話番号を設定すると、ログインしようとする度に携帯にSMSメッセージで認証番号が送られてきます。その番号を入力しないとログインできないので、これはかなり強力なセキュリティ保護になり、アカウント乗っ取りはできない、はず。

ちょっとめんどくさいけど、これでもうあの嫌な思いをしなくて済むと思えば簡単なもんです。