2019年11月17日 朝6:01に

[ラクマ] パスワード変更のご確認

という件名で、新ラクマカスタマーサポート（旧フリル）という送信元からメールが送られてきました。

どうせまたフィッシングだろうと思ったら、送信元のメールアドレスのドメインがfril.jpで本物？っぽい。

パスワード変更の「申請」だけだったのでまだログインされてませんでしたが、念のために（メールからではなく自分で検索して）公式サイトへアクセスしてパスワードを変更しておきます。

実際に不正ログインの被害があるのかと思って「ラクマ　パスワード　変更」でTwitter検索してみたら、出るわ出るわ不正アクセスされてしまったユーザーのツイートが。

どうやら2019年10月から頻繁に発生していたらしく、特徴はざっと以下のような感じ。

• Twitterで「ラクマ 不正 OR パスワード」で検索して見るだけでも少なくとも数十人、100人以上いるかも（もちろん実際の被害者はそれ以上ということになる）。毎日のように被害が発生している。
• 犯人は深夜から早朝にかけて動くことが多そう
• 「ラクマの売上金を犯人の口座に振り込み」もしくは「ダミー出品して購入から評価まで数分で終わらせる」事例が多い
• 被害金額は1万円弱から10万円以上まで（2万円以上が多い）
• すでにユーザーが何人も消費者センターへ報告したり報道各社に報じるようお願いしている。
• 12月20日頃、売上金が現金振込で返金されるユーザーが出てきた

そしてとにかく不思議で、（この記事を書く動機にもなっている）なぜラクマ公式は不正アクセスが明らかなのに注意喚起もしないのかということ。

アナウンスをすれば少なくとも、ユーザー側で以下のような対策ができるのに。

• 事前に売上金を振り込み処理
• パスワードを使い回さずに強固なものに変更
• アプリのバージョンが古い場合は最新版に更新

しかも返金するにはラクマへの連絡や本人確認など、非常にストレスを感じている人が多いことがわかります。

そのうちネットのニュースに出てくるんじゃないかと思ってましたけど、なかなか記事にもならず、ユーザーがそれぞれのブログを書くくらいにとどまっています。

メール・iPhoneアプリ・公式サイト・公式Twitterいずれも、今回の不正アクセスについて公式からは何もアナウンスがされていません。

ーーー

※こちらのブログによると、ラクマはパスワード管理について何度か注意を呼びかけるお知らせはしているようです。（ただし "今回の" 不正アクセスについて言及はありません）

アプリ内のお知らせに10月21日に
＜再掲＞パスワード管理についてのお願い
が掲載されていたとのことなので確認してみるとありました。

ただ、この「お知らせ」欄は画面上部の「あなた宛」の状態から「ラクマ」をタップしなければならず、未読のバッジがつくわけでもなく、ユーザーが能動的に見ないと確認できないので、お知らせの役割を果たしていないんじゃないかと思いました。

実際、自分がTwitter検索したあとにアナウンスがあるのか探そうとしたとき、お知らせ欄は開いたと思いますが、11月17日時点ではすでに上から21番目に埋もれていたのでそこまでスクロールしなかったんだと思います。12月10日時点では45番目まで埋もれています。

それに、このお知らせの「ラクマ」タブではキャンペーンなどの告知が多く、ラクマで売り買いするユーザーからは重要な一覧だと認識されていない可能性があります。

ユーザー側からすると、アプリ起動時のポップアップメッセージや、ホームや取引画面のファーストビューに見えないと気づかないでしょう。

また、同様のメッセージが「＜再掲＞パスワード管理についてのお願い - ラクマお知らせブログ」に掲載されていますが、これも同様に、能動的なユーザー以外の目に触れる導線ではありません。（アプリ内のお知らせよりは、固有のURLがあるので拡散される可能性があってまだマシですけど）

繰り返しになりますが、これは一般的なパスワード管理についてお知らせしているだけで、10月から頻発している不正ログインについてアナウンスしているわけではないので、根本的には今回の不正アクセスについて、外部に報告していません。

↓先ほどリンクしたブログのpiyokangoさんが楽天に取材した際にも同様の回答をもらっているようです。

楽天は10月21日に利用者へパスワード管理の注意喚起を再掲していますが、これについては「定期的に掲載しているもので被害増加が理由ではない」と話していました。
被害が増えているのか、不正ログインの原因はパスワードの管理方法に起因するものなのか、はっきりしていない状況です。

— piyokango (@piyokango) December 11, 2019

ーーー

ラクマ公式Twitterのリプ欄には不正アクセスされたユーザーが書き込んでいますが、ラクマ公式は一切反応してません。

「ラクマ　不正アクセス」でGoogle検索してみると、トレンドブログだけでなく、実際に被害にあった人のブログも上位にヒットします。

（ブログにまとめるのはTwitterよりもかなりエネルギーのいる行為なので、それでも書こうと思ったのは大変なことです。）

 ラクマのスマホアプリの脆弱性について

一連の被害を検索していて初めて知ったことですが、どうやら古いバージョンのアプリには脆弱性があるようです。

参考：楽天アプリ「ラクマ」に認証情報が漏えいする脆弱性（JVN） | ScanNetSecurity

Android アプリ「ラクマ」バージョン 7.15.0 およびそれ以前
iOS アプリ「ラクマ」バージョン 7.16.4 およびそれ以前

これらには、認証に関する情報が漏えいする脆弱性（CVE-2019-6024）が存在する。

iOSのラクマアプリのバージョン履歴から日付を見てみると

• 7.16.4（脆弱性あり）2019/9/27
• 7.16.5（脆弱性無し）2019/10/1

 となっているので、10月以降にアプリのアップデートをしているにも関わらず被害にあっていたら、アプリの脆弱性以外が原因ということになります。

Twitterを見ると12月10日時点でも毎日のように被害が発生しているので、それ以外の原因もありそうですが、確たる情報はありません。

パスワードの使いまわしや楽天IDについて

まず考えられるのはパスワードの使いまわしで、以前調べた記事によると66～85%くらいのユーザーは使いまわししてるので、どこかからパスワードが漏洩したら簡単にログインできそうです。

他には、楽天IDと連携している場合は楽天IDでのログインが可能となるようなので、「ラクマのパスワードを変更」しても意味がない、という事態が考えられます。

Twitterでは、パスワードを使いまわししていない難しいものに変更したけど再び不正ログインされたというものを数件見かけたし、楽天IDが原因かもしれません。ただ、可能性がありそうだが断定できているわけではない、という感じ。

10月以降Twitterへ被害報告が続いているラクマの不正ログインですが、「不正ログイン後にパスワードを変更したのにまた不正ログインされた」という報告が気になっています。使いまわしもしていないそうです。そして同様の報告を複数見かけます。https://t.co/Plk0R5Woos

— piyokango (@piyokango) December 11, 2019

なんにせよ、ラクマがアナウンスをしないと、

• 被害が無駄に広がる
• 犯人の抑止にもならない

ということになるので、ラクマにとって今回の件は優先順位が低い、もしくは隠蔽したいのか？と感じてしまいます。