先日、Gmailのフォルダに覚えのないオンラインゲームの購入履歴が連続で5件くらい入っていてあせりました。メインのアドレス(こちらは2段階認証使ってるので盗まれることはないはず)ではなく、大昔にYouTubeの投稿用に作っておいて捨てアドです(メインのアドレスのサブアカになっているのでメールが転送されていたわけです)。この捨てアドは作っていたことすら忘れてたので2段階認証の設定はしていませんでした。
Googleアカウントの購入履歴を見ると、このゲーム購入履歴も表示されるのでクレカ情報が盗まれたのかとあせりました(後でよく調べてわかったことですが、Googleアカウント画面の購入履歴は、Gmailの内容を見て購入履歴ぽいものを列挙しているだけなので、決済が行なわれたどうかとは関係ありません)。
以前もiCloudで同じようなトラブルがありましたが、その時はメインアカウントにぶらさがるファミリーアカウントを勝手に設定されてメインアカウントに紐付いたクレカを使われたというものでした。この時は、Appleのサポートに電話をして緊急対応してもらいました(大変丁寧な対応でしたがクレカ購入の取消ということになるので、担当者入れ替わり立ち替わりでかなり時間がかかりました)。今回も同じパターンでクレカを勝手に使われたのかと思ったわけです。ちなみにクレカの不正使用では、オンラインゲームのような安い買い物でテストして問題なく帰ることが判明してから金額が大きい買い物をされるパターンが多いようです。
Googleのヘルプ情報にしたがってアカウントの復元を試みましたが、パスワードだけでなく、復元用の予備電話番号まで変えられていたようで復元できません。
Googleは人間による電話サポート対応なんてないと思っていましたが、ちゃんとありました。Google Playの料金請求に関するサポート電話です。ここには載せない(変わる可能性もあるので)ので知りたい方はググってください。日曜日だったにもかかわらずちゃんと対応してもらえました(大変ていねいな対応でした)。ただし、担当者が代わりにログインして状況を見てくれるということはプライバシー保護上できず、私のクレカ情報がこの捨てアドに紐付いていないことを確認できただけでした。自分的には、クレカが不正使用されていないことだけ確認したかったのでこれで一安心です。
その後、落ち着いてからGoogleのアカウント復元のサポートチャット(英語)で担当者に聞いてみましたが、パスワード破られて、復元用電話番号を変えられると、もうGoogleとしてできることはないようです。とは言え、ちゃんと報告しておかないと、このアドレスで後に詐欺行為が行なわれたときに自分に疑いがかかってしまうので報告は必要でしょう。その後、自分のメインアドとの連携も切られたようでメールすら来なくなりました。捨てアドはちょっとナイスなメアドだったので残念ですがしょうがありません。