- 「Amazonの不正使用が急増している」というのがSNSで話題になっていました。
- 念のため、Amazonの注文履歴で「Amazonギフトカード」などの不審な注文がないか確認しておくとよいです。
- 注文が非表示にされている場合もあります。PCサイト表示でアクセスして「表示の注文を表示」から確認すると確実です。
- 「2段階認証」にしていてもそれだけで安心というわけではありません。
セキュリティへの基本的な注意・備えは大切です。
YouTube動画でも話しています。
1. Amazonの不正利用
「Amazonの不正使用」といっても、
- クレジットカード不正利用によるAmazonギフトカードの購入なのか
- Amazonアカウントへの不正アクセスなのか
を切り分けて考える必要があります。
しかし、今回のケースでは 不審なAmazonギフトカードの注文が「非表示」になっているなどの報告があり、「Amazonアカウントへの不正アクセスでクレジット決済の被害にあった」と考えられるケースがあるようです。
また、詳しい状況は不確かですが「2段階認証が設定していたのに気づけなかった」という話もあります。
心配な場合は、PCから「注文履歴」を確認して、不審な注文が非表示に含まれていないか確認しておきましょう。
1-1. 非表示にされた注文履歴の見方
気づかないうちに、悪用されることもあるんだね。
自分が被害にあっているかはどう確認したらいいの?
まずは、「注文履歴」を確認して、身に覚えのない買い物がないか見ておきましょう。
ただし、場合によっては、注文が「非表示」にされていることもあるようです。
しかし、攻撃者に注文を非表示にされても、「非表示にした注文の表示」から確認できます。
PCで Amazonにアクセスし、「アカウント&リスト」のアカウントサービスから、「お買い物設定」をみると、1つ目の項目にあります。
もし、なければ「このアカウントで非表示にされている注文はありません」と表示されるはずです。
Amazonでは、注文履歴を整理するために「注文を非表示にする」機能があります。
それが悪用されてしまったわけです。
2. 詳しい事例(2023年9月3日)
mossyさんの一連の投稿(2023年9月3日)が、不正利用の詳しい状況がわかるので、一部引用します。
- 9万円分のAmazonギフトカードを勝手に購入された
- 2段階認証の確認SMSは届いていたが放置していた
(一部省略・順序入れ替え)
昨夜Amazonのアカウント乗っ取られ、勝手に大量のギフトカード注文されました
やられたのは5000円×18枚で9万円分
ちなみにギフトカードの送り先ドメインは中国のプロバイダ2段階認証掛けてるのに何故???となりながら
Amazonのパスワード変更&
カスタマーサポートチャットに連絡一昨日仕事中にAmazonの認証SMS届いてて
「あー誰かアクセスしようとしたな」
とは思ってたんだけど
「二段階認証あるから大丈夫」
って流したのが失敗だったアカウントロックしてもらって、不正購入された注文番号連絡
今日の昼に全件注文取り消し&
ロック解除のメールが来て一安心二段階認証破られたのがホントに謎
mossy / X 2023年9月3日
情報求む(怪しいメールとか踏んだ覚え無いです)
2-1. SNSでの他の被害報告など
その他の投稿もざっと確認してみます。
主な被害はアマゾンギフト券の購入。
Amazonで不正アクセスによりアマギフ15万円分くらい購入されていた。 Twitter遡ってみるとここ数日に同様の被害が集中。
恐ろしいのが、2段階認証のsmsメールが届いていなかった点。
ガチャ偏差値30のイケメン 2023年9月3日
不審な注文は、注文履歴から非表示に設定されている場合があくようです。
発覚を遅らせるために注文内容を非表示に設定されてる事例もあるようです。 発覚が早ければ被害も最小限に抑えられるため、今一度注文履歴の確認をおすすめします。
ネットで時短するプロECセラー|うえの 2023年9月7日
被害報告は、ここ2週間ほどに集中しているようです。
まだニュースなどでまとまってないからなんとも言えないけど、Xだとamazonの不正利用が九月に入って多発しはじめた、2要素認証も突破される、というのをちらほらみてこれやべーんじゃないのと思ってる。
たかふみ/ X 2023年9月9日
認証確認を偽装するメールもあるようで、かなり巧妙なようです。
詐欺っていう確認が取れたので改めて注意喚起。
Amazonから不正アクセスの連絡が来た。
送信メールもヘッダ情報も全部正規のものだけど承認/否認アドレスだけ http://amazon.co.jp じゃない全然別のとこ。
Amazonから不審なメールが来たらまずはアカウントのメッセージセンターで確認してとのこと。
笑うヤカン / X 2023年9月11日
3. 「2段階認証が突破されている」?
2段階認証の突破については、にわかには信じがたいです。
とはいえ、2段階認証も絶対ではありません。
いくつかの注意点があります。
3-1. パスワードの使いまわしに要注意(パスワードリスト攻撃)
まず、考えられるのは「パスワードの使いまわし」。
例えば、Amazonアカウントと連絡用メールアカウントが同じパスワードだったなら、2段階認証の確認メールも読み取られてしまう危険があります。
3-2. 偽のログインページ(中継型フィッシング)
次に、考えられるのは偽のログインページ。
「2段階認証があればパスワードを盗まれても大丈夫」と考えてしまいますが、そうとも限りません。
迷惑メールなどに騙されて、本物サイトにログインするつもりで偽サイトのログインページを使うと、認証処理の「間に割って入られてしまう」パターンがあるのです。
- 偽ログインページでパスワードを入力すると、攻撃者はその情報で本物サイトでログインしようとします。
- すると、2段階認証の確認になるので、本人が自分と思って承認してしまいます。
- 本物サイトから送られる「このブラウザがログイン中」を表す情報を、偽サイトが受け取ってしまうのです。
- あとは、その情報をブラウザに入れて、Amazonにアクセスすると不正ログインされてしまいます。
これを「リアルタイム中継型フィッシング」といいます1。
また、このときのログイン情報(クッキー)を攻撃者が保持されてしまうと、何度も不正アクセスされてしまうこともあります(パス・ザ・クッキー攻撃)。
この場合、Amazonのパスワード変更などで、いったん すべての端末を「ログアウト」させれば、とりあえず締め出すことができます。
3-3. 電話番号が盗まれている?(SIMスワップ)
そのほかの可能性としては、稀ですが「電話番号を盗まれている」パターンがあります。
2段階認証のSMSが別のスマートフォンに送られてしまっているかもしれません。
これは、携帯ショップで本人や代理人になりすまして、「SIMカードが壊れたから交換して」などと言って、新しいSIMカードを受け取るのです。
これは、「SIMスワップ」といいます。
こういう被害がありうるので、最近は携帯ショップでの本人確認は厳重になっています。今のところ、海外に比べて日本国内では稀です。
ただし、電話番号に対応したSIMは1つだけ。
もし、被害にあっていれば、自分への電話・SMSがつながらなくなるので、確認できます。
4. 日ごろのセキュリティへの意識が大切
これらの攻撃は脅威ですが、特別な対策が必要なわけでもありません。
- パスワードを使い回さない、
- メールからのログインページは使わない、
など一般的なセキュリティへの注意が基本的な対策になってます。
もちろん、未知の脆弱性によって 十分に注意できていても被害にあうこともありえます。
絶対安全はありませんが、できることから気をつけていきましょう。
今回の事例だと、あやしいメールに注意できていたり、確認SMSは届いていたり、ちゃんと対策できているはずなのにね。
しいていえば、確認SMSが届いた時点で、パスワード変更しておけばよかったのかな?
ただ、慌てて操作するのも危険ではあります。
私も念のために、Amazonのパスワードを変更して、2段階認証を認証アプリにしました。
ただ、PrimeビデオやKindle、Amazon Echoなどが全てログアウトされるので、再ログインが大変でした……💦
(補足)
