パスワードを忘れた? アカウント作成
11919980 story
犯罪

コンビニでiTunesカードによる不正チャージを行っていた高校生が逮捕される 62

ストーリー by hylom
その手があったか 部門より
insiderman 曰く、

最近ではコンビニの店頭でiTunesストアなどにチャージできるプリペイドカードが販売されるようになっているが、これを使って不正にチャージを行っていた高校生らが逮捕された(朝日新聞)。

これらのプリペイドカードはコンビニレジのPOSと連動しており、購入するとカードに書かれたシリアル番号が有効化される仕組みになっている。そのため、単にカードを盗むだけではチャージは行えない。そこで、この高校生らは1人がレジにカードを持ち込んで有効化させたタイミングでもう一人がチャージを行い、その後「財布を忘れた」などとして支払いをせずに店から出て行く、という手口で不正にチャージを行っていたという。

同様の手口は都内でも複数確認されているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年02月17日 10時34分 (#2762466)

    5年ぐらい前に、
    1. 税などの請求書をPOSに打ち込む
    2. 客から領収金を貰う
    3. 客にハンコを押した受領書を渡す
    4. POSを操作して請求書を取り消す
    5. 領収金をレジではなくポケットに入れる
    という操作をして店員が横領する事件(ローソンの事例 [lawson.co.jp])がたびたびありました。

    その後、色々な対策が取られるようになり、最終的に客に確認ボタンを押してもらうという操作が入るようにPOSを改良してこの手の横領事件が起きなくなりました。

    今回のiTunesカードについては、店員であれば簡単に1人で横領できたわけで、その辺りを事前に把握して潰しておかないのは設計者に問題があるのではと思います。

    • by Anonymous Coward on 2015年02月17日 11時32分 (#2762513)

      最終的に客に確認ボタンを押してもらうという操作が入るようにPOSを改良して

      おぉぅ!
      レジで「確認」ボタンを押させる操作にはこんなウラがあったのですか。

      税とかって年齢確認は関係ないし何でかなぁ? ってずっと不思議に思ってきたんだけど、納得。
      個人的に「参考になる +1」でした。

      親コメント
    • by Anonymous Coward
      コンビニで税金や公共料金払うときって確認ボタンなんて求められたっけ?
      • by Anonymous Coward on 2015年02月17日 13時48分 (#2762620)

        したらば掲示板の朝日新聞(?)の転載 [shitaraba.net]ですが、

        ローソン…レジの画面で利用者が支払い内容を確認する。取引が中止されたら、自動的に本部に連絡が入る。
        サークルKサンクス…取引を中止する場合は利用者がボタンを押すようにする。
        セブン―イレブン…レジの画面で利用者に内容確認を求め、音声でも注意を促すようにする。
        ファミリーマート…画面での確認機能を導入済み。

        サークルKサンクスは中止する場合だけ利用者がボタンを押すみたいですね。

        親コメント
      • by Anonymous Coward

        コンビニチェーンや収納代行によるんじゃないですかね。三井住友なんちゃらという収納代行のレシートを発行するようになった店もあります。

      • by Anonymous Coward

        求められるね。
        レジで打ち込んだ金額と振り込み用紙の金額が合っているか確認しろという意味かと思っていたよ。

        しかし、コンビニのレジで横領したら振り込み先からの「早く金を払え」というフィードバックが顧客にあって
        簡単に発覚するのに、どうしてやろうと思ったのだろうか?
        ネットオークションなんかの詐欺に引っ掛かったのと同じに見せることができると思ったのだろうか?

  • by Anonymous Coward on 2015年02月17日 7時41分 (#2762350)

    iTunesカードの番号を控える
    高校生A、レジに持っていく
    POSに打ち込まれる→有効化
    すかさず高校生B、自分のiTunesアカウントにカードをチャージ
    高校生A、「財布忘れた」
    そして伝説へ…

    ということですかね。有効化されるタイミングがキモ?

    • 支払完了で有効化にしないとダメでしょうね。

      親コメント
    • by Anonymous Coward

      だとしたら、コンビニ支払後30分間は有効化しないとかの対策ができますね。

      • by Anonymous Coward

        領収した段階で有効化すれば済む話です。
        設計したやつがアホ過ぎる。

        まぁ、ここまでバカな学生なら次は、「オレ、これの為にコンビニバイトするから、お前は客として来い」とかありそうだなぁ。

        # 盗んだプリペイドでパズドラかー。ハイリスク・ローリターンの模範的な事例だなぁ。

        • 設計したやつはアホ、そのアホな設計を悪用した客はバカと、人を次々罵倒するのは楽しそうだね。

          親コメント
        • たぶん、後で誰かが購入した時点で、
          1、「そのカードが既に使用済み」という状態になっていて、クレームが付く。
          2、そのカードを使用したアカウントが特定され、所定のチェックの後ケーサツに通報。
          とかすることになってるんでは。

          親コメント
          • >そのカードを使用したアカウントが特定され

            ここに頭が回らないのが子供らしいですよね.

            こんなもん特定されるに決まってるんだから
            犯罪者予備軍でも普通はやらないんですよね.

            親コメント
          • by Anonymous Coward

            > 後で誰かが購入した時点で、
            > 1、「そのカードが既に使用済み」という状態になっていて

            一度POS通したカードはもう売らないですよ。

            ネタを書かないでね。

            • >POSに打ち込まれる→有効化
              で、それを売らずに無効化して戻すかと思ったけど、
              「一度有効化したら二度と無効化できない」というなら、

              「これは売ったけど、使わずにそのまま無効にする」
              とか、何かの仕組みがあるってことでは。
              でないと、そのまま売った店の損失になるから。

              親コメント
              • > でないと、そのまま売った店の損失になるから。

                あれ仕入れ値あるのかな?
                万引きしてもなくなっても平気な感じで
                けっこういい加減な扱いしておいてあるよね?

                親コメント
              • by Anonymous Coward

                ITSじゃないけど、プリカをレジ通したら「期限切れ」とかで交換されたことがある。

              • by Anonymous Coward

                あの手は「売れた瞬間に仕入れて売るので在庫リスク0」がウリだったはずです。
                一方、提供者側は

                ・ある程度見込でカードを作らないと機会損失がでる
                ・実質タダでカード配るので、作りすぎるとカード作成費で損
                ・3ヶ月ぐらい前から発注しないとカードができない

                あたりがリスクだと知り合いが言ってました。

              • あれ、コードが印刷されてるだけで、中にICとか入ってるわけじゃないですよね。
                額面から考えると、印刷代なんて知れてるのでは?

                親コメント
              • POS通さないとただの板きれですから扱いがぞんざいでも特に問題ない(と言うと言い過ぎか)でしょう。
                POS通したら店に仕入れと売り上げが発生するんでしょうが、こういう支払い拒否に対する対応はどうなっているのだか?

                #親の方のコメにもあるけど、なんで決済段階で有効化するような設計になってないんだろう

                --
                RYZEN始めました
                親コメント
              • って別枝読んで気がついた、店員が決済処理を投機実行してた可能性があるのか
                …そりゃあかんやろ…

                --
                RYZEN始めました
                親コメント
        • by Anonymous Coward

          番号がスクラッチになっていることを忘れていませんか?

          スクラッチが壊れているカードをレジで受け付けないようにすればよいのです。

          まあ、どのみち、使えばすぐに足がついて捕まるので放置で良いかと。

          • > スクラッチが壊れているカードをレジで受け付けないようにすればよいのです。

            台紙とカードの間にテープなりで隠してあるので見にくいような?
            チェックすればいいんですけどもね。

            シュリンクでもして破いたらアウトにしておいてもいいのに。

            親コメント
          • by Anonymous Coward

            最近のはスクラッチじゃなくてテープになってたよ
            一度剥がすと引っ付かなくなるやつが貼ってあった

    • by Anonymous Coward

      金を払ったタイミングで有効化できないんでしょうかね?
      そうあるべきだと思うんですが。

      • by Anonymous Coward

        マニュアルはそうでもバイト店員が横着したんでしょ
        クレカの署名を確認しないのと一緒

        • マニュアルでは iTunes カードの販売に関して他の商品とは違う手順を要求していたのに、アルバイト店員が従わなかったってこと? 仮にそうだとしたら、そのマニュアルに無理があるんじゃないかなあ。

          親コメント
        • by Anonymous Coward on 2015年02月17日 8時32分 (#2762381)

          横着と言えば横着ですが、客を待たせないたの投機的並列処理ですね。

          お金を受け取るまで単に待っているだけでなく、レシートの印刷とかカードの有効化とかを、客が財布からお金を出して差し出すまでに済ませてしまう。客はお金を渡してから店員の操作を待つことなく、お金と交換のタイミングで有効化済みのカードとレシートを受け取れる。
          店員にとっては単なる待ち時間が減って、単位時間当たりの仕事量は増えますから、自分のための横着ではないんです。

          振込みでも、銀行だと用紙とお金を受け取った後しばらく客を待たせて、処理とか丁寧な確認とかを進めますが、多くのコンビニだとこちらが財布を出す前に領収印を押していますね。危なっかしいなあと思います。

          親コメント
          • by Anonymous Coward

            なんか、不正会計で捕まった経理部長みたいな言い草だな。

            • by Anonymous Coward

              プリカってレジ通してからレシートが出てくるまで時間が掛かるので、その間に有効にしているのかと思ってた

              • by Anonymous Coward on 2015年02月17日 11時07分 (#2762496)
                知ったかぶりのコメント多すぎ(笑)。
                店頭ではアクティベーション操作なんてしてません。
                コンビニからは販売情報が発行元に伝達されるだけで、アクティベーションは発行元が処理してます。(だからプリカは原則的に返品・返金不可になってる)
                今回のでコンビニ側のミスとされる可能性があるのは、「財布を忘れた」と言っているのに精算キー(お預かり・合計ボタン等)を押してしまった点。
                さらに言えば、プリカのように原則的に返品・返金不可の商品を含む精算でそれをやっちまったのが痛い。
                マニュアルでは、現金支払の場合は実際に現金を受領してからキーを押すように指導されているけれどなかなか徹底できないんだよね。
                律儀にそれやるとレジ行列がのびるから。
                親コメント
              • by Anonymous Coward

                上の「レシートが出てくるまで時間が掛かってた」ってのが、ホストと通信して(有効にして)いる時間かと思ったたんだが
                「店頭でアクティベーション」なんて誰も言ってないし

              • by Anonymous Coward

                > 店頭ではアクティベーション操作なんてしてません。

                店頭ではアクティベーションしているなんて誰も言ってないし。

                  > 今回のでコンビニ側のミスとされる可能性があるのは、
                  > 「財布を忘れた」と言っているのに精算キー(お預かり・合計ボタン等)を押してしまった点。

                精算キー押してないです。

                  > マニュアルでは、現金支払の場合は実際に現金を受領してからキーを押すように
                  > 指導されているけれどなかなか徹底できないんだよね。
                  > 律儀にそれやるとレジ行列がのびるから。

                おつりがあるので、現金受領前に清算キー押すようなことはありません。

          • by Anonymous Coward

            こういう件 [goo.ne.jp]が増えてきたから、今時そういう処理のさせ方をするところは減っているはずですよ。
            それがサボりに見え、不愉快に思う人もいるので、難しいところではありますが。

        • by Anonymous Coward

          > マニュアルはそうでもバイト店員が横着したんでしょ

          もともとどうなっていて、どう横着したんだと判断したのか?

        • by Anonymous Coward
          >マニュアルはそうでも

          マニュアルにはどう書かれているの?
    • by Anonymous Coward
      そうそう。
      そのタイミングで有効化される事実をどのようにして知ったのかが気になります。
      ここでの他のコメントを見ても、設計が馬鹿だの実装が馬鹿だの言う人はいても、そもそもそういう仕組みであることを知っていた人すらいないわけですし。
      • by Anonymous Coward

        高校生のバイトとか普通にあるから、それで知ったんじゃないの
        有効化するステップがあるのを知って、支払前に有効化されてるかどうか試したらできたから詐欺を働こうと

      • by Anonymous Coward

        確かカードの裏面にその旨が書いてあったと思いますよ。
        買ったことがある人は知っている、買ったことがなければ知らない。
        高校生はカードを買って利用してたことがあるので知っていた、ここの人はカードを買わないので知らなかった。
        それだけのことのように思います。

        • by Anonymous Coward

          確かに、カードはもらったことはあるけど、わざわざ自分で買うことはないなぁ
          クレジットカード持てない高校生ならではってことか

          そもそも後でカウントを追跡されたら直ぐにバレるってことにも頭がまわらないのも、やっぱり高校生らしいwww

  • by Anonymous Coward on 2015年02月17日 9時32分 (#2762417)

    店というか、グループでやってる分こっちの方が悪質だと思うんだけど
    (ソースが2chだから、事実だったらっていう前提だけど)

  • by Anonymous Coward on 2015年02月17日 9時51分 (#2762434)

    iTunesアカウントで買ったものはそのアカウントでしか使えない。
    ギフトはあるが、その送付も記録されてる。

    発覚した段階でアカウント停止などの措置が取られるだろう。
    結局誰得な詐欺なのか。
    iTunesカードそのものなら現金化もしやすいけど、そうじゃないしなあ・・・

    • by Anonymous Coward

      発覚して捨てIDが停止されるまでに、CD1枚ダウンロードするぐらいの時間はあるでしょうよ。

  • by Anonymous Coward on 2015年02月17日 10時23分 (#2762460)

    これもいわゆるソーシャルハック、ってやつですか?

    • by Anonymous Coward

      ひと手間加えてるってだけでやってることはただの万引き
      足がつかない工夫まで加えてやっとニュース性があるくらいの話だと思うんだけど

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...