points.comからの不思議なメールにより、色々と調べたり、考えてみましたので、お伝えします。
朝、目が覚めると飛び起きるメールが
朝、起きてメールを開くと差出人"Miles and More"ドメインはpoints-mail.comからメールが来ました。タイトルは "Bundle&Go purchase receipt"(Bundle&Go 購入レシート)であり、時間はAM1:35であり、既に寝落ちている時間であります。
内容としては
Your transaction was successful.
Hello Dangan-Lucky
Your purchase of Bundle&Go was successful. 25,500 Miles will be credited to your Miles & More account. Information about how to use the benefits in your bundle, and a summary of your transaction is below:Purchase Summary
Confirmation Numbe
Purchase Date: 10/07/2022
Miles and More Number:
Name: Dangan-Lucky
Bonus Miles: 8,500
Bundle purchased: Bundle
内容としてはMiles and More用のポイントを購入した明細であり、25,000マイル購入し、ボーナスマイルが8,500マイルついていると言うものです。
基本的にはスターアライアンスはANAマイレージクラブなので、これはおかしいという事になります。一方で購入日が随分離れているので、変な気もします。
当然、寝ぼけは一瞬で消え、即座に確認に走ってしまいます。
これはまた、クレジットカード詐欺にあったかとすぐにログインして利用明細と利用可能額を確認してみると特に変化はなしとホッとします。
それでは、フィッシング詐欺ではと思い、F12を押したり、Nicとかでドメインを調べてみても判別つかずにリンクはクリックせずに削除フォルダに捨てていました。ツイートやFlyertalkで調べてみると怪しいなどの文言が出ており、同胞がいるようで個別事象ではないので、危険性は低まりましたが、とにかく、臭いものには蓋をしておくこととしました。何もないことを祈るだけでありました。
しばらくするとまたメールが来た
起きてから先メールを認知してから、1時間以上経過したAM8:18に差出人がpointsのメールを受信しました。ドメインは前回と同じ、points-mail.comでした。
今度のタイトルは"Confused by our previous email? Let us explain"(以前のメールで混乱していますか? 説明します)と言うものでした。
これは新手の二段階攻撃メールかと思い、リンクの情報など慎重に見てみますが、前回と同じところからのようでした。
内容は下記の通りでした。
Hello,
Earlier today, we mistakenly sent you an email that was intended as a test and included details from a prior transaction you made with Points.
We apologize for any confusion this may have caused and want to assure you that there were no charges made to your account and your information was not shared with anyone else.
If you have any questions or concerns, please reach out toカスタマーサポートのメールアドレス or visit our Points FAQ page.
Sincerely,
Points
日本語では
今朝早く、テスト目的で誤ってメールをお送りしましたが、これにはお客様がポイントで行った以前の取引の詳細が含まれていました。
これにより混乱が生じたことをお詫び申し上げます。また、お客様のアカウントに請求が行われたことはなく、お客様の情報が他の誰とも共有されていないことを保証したいと思います。
by Google 翻訳
事象とクレジット口座に請求がないため、事実であるようであり、さらにホッとしました。一応、リンクは触らずに削除しておきました。
ただ、気になるのはwant toと書いており、保証したいというところであります。保証されていますではないのがこれから怖いところであります。
Pointsとは
Points.comの正式名称はPoints.com Incであり、本拠地はカナダのトロントにあります。ロイヤルティ・プログラム業界に Web ベースのソリューションを提供しており、 同社はロイヤルティ・プログラム通貨の小売および卸売、eコマースなど、個人向けを中心にオンラインサービスを提供しています。
難しく書いてしまいましたが、マリオットやヒルトンやIHGやハイアットなどが実施しているホテル会員プログラムにおいて、本来は宿泊しないと積算しないポイントを購入できる仕組みを提供し、こうした企業とホテルを利用する個人をつなぐサービスを展開している会社であります。ホテル業界だけでなく、エアラインとの取引も多く、ルフトハンザやハワイアン航空、ユナイテッド、アラスカ航空、デルタ、エアカナダもパートナーであります。
良くポイントレートアップを頻繁にツイートする人はいますが、ここから何かを掴まされているとか想像してしまいます。
2000年に創業し、現在の社員数は260人以上でカナダ以外でも5事業所があるとのことです。ほとんどが北米の企業がパートナーであるのも特徴です。
Ponits.comの管理について
今回の誤配信が事実であると下記の点が気になります。
- テストメールにリアルな会員のリストを利用してテスト配信している。
- 配信先の会員の実際の利用明細を活用して、違う提携先のブクログラムのテストをしている。
前者は操作にまだ慣れていない担当、または、慣熟していても体調不良か作業当時の煩雑度に起因したものと想定されます。こうした場合、一人がミスを犯してもダブルチェックでそうした事象を救うことができるのですが、それがなされていなかったようにも見えます。
ダブルチェック的な体制がないか、有っても、形式的になっており、ミスを救うという事が出来ていなかったことが推察されます。
そして、後者はテストのために実際の別プログラムの取引履歴を利用しており、会員データと取引データをそのままリンクさせたものを使っているのはモラルと言うか大量の個人情報を扱う時点で危ないような気がします。どちらかのデータをマスキングしたり、全く架空のデータを作るのが妥当と言えます。
情報セキュリティとビジネスリスクについてはちょっと怪しいのかもしれません。社員数が260人とそれなりにいるので、拡大するビジネスの中で、なかなか目が届かなくなっているのかもしれません。
最後に
自分の過去の取引が全く関係のないプログラム名で取引があったように届くという、かなり怖い話であります。人間なので誰しも間違いはありますが、未然に防ぐ装置を設けられたり、ミスを犯した人を窮地に陥らせない仕組みが大事であります。
そうしたことが出来ていたのか不明であります。ポイント購入は便利でありますが、こうしたことがあると不安になってしまいます。
また、ポイント購入レートが良いという事をお勧めすることは個人情報の在り方に懸念を与えることに対して、先棒を担いでしまうのではないかと考えてしまいました。
