クレジットカード会社に請求が入りました．
楽天ダウンロードで不正購入された話 - なぜか数学者にはワイン好きが多い

楽天からの購入確認メールが3件，実際に購入履歴頁を見ても3件です．

しかしカード会社で確認すると，購入が5件で2件がマイナス請求（要はキャンセル），合計すると3件の購入となっておりました．

どういうマジックを使った不正取引なのか．．．

楽天ダウンロードFAQサイトによると，キャンセルはできないそうです．
ダウンロード商品 | 楽天ブックス ヘルプページ

ご購入後のキャンセルは、ダウンロード商品の性質上、原則としてお受けできません。

そして，この「ドラゴンクエストX　目覚めし五つの種族　オンライン」だけを狙った犯罪は何なのか．．．
とりあえず，犯人もしくは踏み台になってしまったパソコンのIPアドレスやプロバイダは分かっていますので，警察が被害届を受け付けてくれれば，そしてプロバイダがユーザ情報を開示してくれれば，すぐに分かるはずです．

高々1万円，それもDCカード様がキャンセルしてくれそうなので，被害は無さそうなのですが，犯人及び動かない楽天やスクエア・エニックスが許せない感じです．

楽天ダウンロードには問い合わせをしました．24時間以内にメール返事が来たのは好感が持てるところです．しかし．

とにかく，楽天ダウンロードのサイトにはバグかセキュリティホールがあります．

まず，見に覚えがない購入だったので楽天ダウンロードに問い合わせてみたところ，クレジットカードのセキュリティについての回答は以下のような感じでした．

まずはじめに、楽天ダウンロードではセキュリティコード認証はございません。

3Dセキュアが導入された商品をお買い求めいただくには、事前にお客様がクレジットカード会社にてご登録した
パスワードが必要となっております。

はっきりとセキュリティコード認証は存在しなく，3Dセキュアのみだと回答がありました．
専門家だと思うので信用することにします．

にも関わらず，セキュリティコードの入力を求められました．

ということは，運営者が仕様として把握していないわけで，バグかセキュリティホールでしょう．
むしろ，犯罪を助長した可能性さえあります．

そりゃ，購入が増えれば楽天は儲かりますから．．．

さて，今回，被害にあいかけたシナリオを整理してみます．

1. 楽天会員のID/パスワードを突破された→クレジットカードの3Dセキュア認証を突破して購入された
2. 楽天会員のID/パスワードを突破された→クレジットカードのセキュリティ認証を突破して購入された

私が確認したのは2.で，楽天が主張しているのは1.です．

楽天経由のドラゴンクエスト被害はまだまだ増えそうです．もしアカウントやカードを不正利用されたと思ったら，まずはカード会社に連絡して下さい．
見たところ，大抵のカード会社は，オンライン取引の不正使用に関しては，2ヶ月程度以内なら（莫大な額でなければ）キャンセルしてくれはるようです．

このまま，カード会社から「不正使用でした」と主張するための書類が届き，記載し，送付して問題がなければ個人的には一段落です．
でも，この場合，被害が無かったので警察の被害届は出せない気がします．

犯人，もしくは犯人に踏み台にされたプロバイダアドレスは，既に書いた通り次の2つです．

175.179.137.57
nttkyo193057.tkyo.nt.ngn.ppp.infoweb.ne.jp

218.42.96.162
FL1-218-42-96-162.tky.mesh.ad.jp

ドラクエ被害にあった人は連絡を下さいね．

とりあえず，まだお金が引き落とされていないため，カード会社のモニタリング課に連絡を取ったところ，既に把握していて，Web明細を見ると即効で削除されていました．
まだ，不正使用の申し立て書類も出していないのですが．．．
神対応の再来かもしれません．
夜のDCカード盗難紛失受付センターは最悪である - なぜか数学者にはワイン好きが多い

「なお，ゴールドカードユーザさまですので，再発行の際の手数料はかかりませんので」

そしてWebで請求明細を見ると，楽天ダウンロードからのものは全て消えていました．

去年2013年の秋と，今，2014年の2月に多発しているような感じですね．
かるみれ on Twitter: "楽天アカウントを不正アクセスされ、ダウンロード版ドラクエＸ買われたなう。"

まずは楽天は，バグってるかセキュリティホールのある，楽天ダウンロードのショッピングカートのシステムを直すように．