マレーシア生活ログ04 　同時多発アカウント乗っ取りの話

朝起きたらすんごい数のメール通知、ほとんどが「指定されたアドレスへ届けられませんでした」って内容。さらに遡っていくと「パスワードがリセットされました」というのを発見。実際、メールアプリを開こうとしたらパスワードを求められ、入力しても弾かれ。

あとで明らかになるのですが、複数のアカウントが同時に乗っ取られていました。
Hotmail、Gmail、Facebook、Instagram、Amazon。
ここまで一気にやられたのはパスワード使いまわしが一因だと思われます。使いまわし、ダメ、絶対。

（同居人が連れてってくれたワンサマジュのラマダンマーケット、1キロくらいお店が延々と続いてる。クアラルンプール随一の規模らしい）

朝から真っ青な事態でしたが、とりあえずちゃんと仕事に出かけた私、えらい。かえって気が紛れてよかったです。合間に同僚捕まえてチャットで相談、終業後も付き合ってもらってVPN入れたりメールアカウントの奪取を試みたり。このときGmailのアカウント奪取（パスワード変更）に成功したんですが、なんとその2時間後には再び乗っ取られるという。怖すぎ。

（ラマダンマーケットは昼過ぎから夕方までの開催。日没後の食事を調達する場所って感じです）

InstagramやFacebookはトップ写真や名前が変えられていて、気づいた友人からLINEで教えられ。Amazonは乗っ取られた後にAppleギフトカードを購入されそうになってたんですが、Amazon側セキュリティに検知され、不正アクセス扱いでキャンセルされてました。ありがとうAmazon。

（露店が並ぶ様子はお祭の屋台のようですが、実際にはすべて持ち帰りが前提。日没前の食べられない時間帯に買いに来るわけなので。というわけでお弁当スタイル多し）

手持ちの各種クレカはすべてストップ手配。マレーシア発行のカードはカスタマーセンターに連絡し、経緯を説明したら即再発行されました。電話口のおじちゃん、私のつたない英語にもめちゃ優しかった。
複数持ってた日本のクレカはアプリから利用制限をかけ、再発行やら解約やらの手続きを。このうち三井住友カードの本人認証が日本国内からの電話のみっていう難易度で詰むかと思ったんですが、両親の協力を得てなんとかなりました。実家のありがたみ半端ない。

（茶色くなりがちなマレーシアのローカルごはん、申し訳程度な緑の葉っぱは彩りか、健康への良心か）

以下、各アカウントへの対応と顛末です。

Gmail：先に書いた通り一度は奪取成功も再乗っ取りされ、敗北。
Instagram：もともとそこまで稼働していなかったこともあり、そのまま敗北。
Facebook：これも一度は奪取したものの、その後Facebook側でブロックされ、本人確認がうまくできず、敗北。ただ、アカウント2つ持ってたうち片方は無傷。
Amazon：カスタマーサービスに連絡し、無事奪取。これも再乗っ取りされかけたのですが、なんとか守り通せた。

（お魚は姿そのままで焼いたり揚げたり。切り身の場合はブツ切りスタイルで馬蹄型が多い印象です。日本の鮭とか鯖、あの形状はあまり見かけないような）

一番大変だった、というか、印象深かったのがHotmailアカウント。奪取のためにいろいろ試してたら、私のPCに設定していたパスキーのお陰で中に入れるようになり、そこから無事に取り戻せました。メールの履歴を見てみると、大っっっ量のスパムメールの発信履歴があったり、乗っ取られ後に私が解約したPaypalアカウントの再開を試みた形跡があったり。運営元に「何者かに解約されてしまいました、助けて！」なんてメールしててワロタ。どの口が言う。

（甘いものもたくさん売ってます。ココナッツミルクやココナッツシュガー、パンダンリーフで濃厚な香りと甘さ。スパイシーな食事とコッテリな甘味、振り切ってるマレーシアローカル飯）

Hotmailアカウントを奪い返された犯人、腹を立てたのか乗っ取ったGmailでメールを複数回送ってきました。アカウントを戻して欲しかったら仮想通過で100ドル払えだの、個人情報をブラックマーケットに流すだの。後者のメールには私がアカウント内に保存していたパスポートのスキャン画像が添付されていて、さすがに怖かったです。念のため領事館に再発行について相談しましたが、現時点では不要とのこと、ただし、念のため警察への届け出（かくかくしかじかな被害を受けました、というポリスレポートを発行してもらう）を行うようアドバイスを受けたので、そちらに従い警察署デビューと相成りました。

（こっちは同期と行ったカンポンバルのラマダンマーケット）

まず自宅最寄りの警察署に行き事情を説明し、その後本部に行きレポートを発行してもらう、という手順。出来事を時系列でまとめたメモを準備しておき、警察官の方とは翻訳アプリ（英語↔︎マレー語）を介しながらのやり取り。

（名物らしいムルタバ屋さん。挽肉たっぷりの生地を型に入れて厚焼きにする、マレーシア版お好み焼きです。行列ができてる店だけあって美味しかった）

アカウントだけでなく、スマホそのものの乗っ取りという可能性もあったので、こちらはAppleに相談。予約入れて店頭で見てもらうも異常なし。スペシャリストの電話サポートを提案されたので承諾し、リモートでの診断などを受け。リセットした方がいいのか確認してみたら、そこまでする必要はないとのことで安堵。

（コテコテな色艶の牛肉串。安いし美味しそうだし、と思って買ったんですが、ほとんどが脂身というどえらい食べ物でした。安いだけのことはありました）

その後しばらくは使ってないアカウント類の断捨離とパスワード変更に勤しむ日々。使いまわしは本当に危ないと学んだので、すべてのサイトで別パスワードを設定、スマホのパスワード管理アプリをフル活用。スマホ失くしたらどうなるんだろう、想像もしたくない。と思ってたら、こないだ同期が「スマホを車に轢かれて破損」という目に遭い。結局は手書きのメモで保管しとくのが最善なのか。

（同期の自宅で買ってきたもの並べて晩ご飯。ロティジョン・ムルタバ・牛串ほか、カロリーの暴力。「男子高校生みたいな食事」と言いながら美味しくいただきました。うん、美味しかったけど、年に一度くらいがちょうどいい感じの味わいでした。次のラマダンでまた会いましょう）

不幸中の幸いだったのは、金銭的な被害がゼロだったこと。Amazonのカスタマーサービスに電話連絡するのに通話料が相応にかかったけど、結果的に口座もクレカも無事でほんと良かった。

ようやく落ち着いたな、と思えたのは一か月ほど経ってから。なかなかの経験でした。

（警察に行ったときの入館証、ちゃっかり記念撮影）