ある日、私の元にAmazonから1通のメールが届きました。
Eメールアドレスの確認のため、以下のセキュリティコードを入力してください:
XXXXXX
Amazonはお客様のアカウントのセキュリティ対策について真剣に取り組んでおります。
Amazonから、お客様のパスワード、クレジットカード情報、および銀行口座番号をEメールでお尋ねすることは決してありません。
ご登録情報の更新を促すリンクが掲載されたEメールを受け取った場合は、リンクを決してクリックしないでください。また、調査のため、そのEメールについてAmazonまでご報告ください。
Amazon.co.jpのまたのご利用をお待ちしております。
メールを受信した前後にAmazonは利用していなかったので、こんなメールが来ること自体が普通ではありません。
補足:
上記のようなEメールではなく、「XXXXXXはご自身の Amazon セキュリティコードです。」というSMS(ショートメッセージ)が届いた場合は、メールアドレスとパスワードが漏れており、他者にログイン認証を突破されて二段階認証に引っかかっている状態なので、Amazonにログインしてパスワードを変更して下さい。
何が起きたか?
考えられるのは下記2つです。
- アカウント情報の奪取を目的としたフィッシングメール
- 誰かがアカウントをリセットしようとした
上記についてそれぞれ見ていきます。
フィッシングメールでないかの確認
メール内のリンクのURL(アドレスが)”https://www.amazon.co.jp/”になっているかを確認します。
PCではマウスカーソルを当ててブラウザのステータスバーを見る、スマホではリンクの上でタップ長押しを使用して、リンク先URLを確認したりコピーしてエディタアプリに貼り付けるといった作業を行います。
HTMLメールの場合、表記のURLが正規のものでも、そのリンクのURLがフィッシングサイトのURLになっていることがあるので注意が必要です。
また、出来ればメールの送信元や署名が”amazon.co.jp”になっているか、メールヘッダ―を見ておきます。例としてGmailの場合は、PCでメールボックスにアクセスし、”メッセージのソースを表示”をクリックして”DKIM”のドメインが”amazon.co.jp”になっている事を確認します。
フィッシングメールであれば、そのまま削除して放置すれば良いのですが、私の場合はフィッシングメールではありませんでした。
※フィッシングメールかどうか判別付かない場合は次に進んで下さい。また、メール内のリンクはクリックしないで下さい。
送信された要因となった操作を知る
フィッシングメールではなかった事から、特定の操作を行ったことにより正規サイトから送信されたメールのようです。Amazonのヘルプを調べると、このメールはログインパスワードを忘れた場合に再設定する為の操作を行った際に送られるものだと分かりました。
つまり、誰かが私のメールアドレスを入力し、パスワードリセットのリクエストをする事でアカウントを乗っ取ろうとしたわけです。
被害にあう可能性
パスワードを勝手に変えられてしまっては、ログイン出来なくなります。それ以上に、もっと面倒な事になります。(容易に想像出来るでしょうから省略します)
ただし、メールが送られてきたように、パスワードをリセットする為にはメールでセキュリティコードを受信して画面上で入力する必要があります。セキュリティコードは数字6桁なので、適当に入力すれば当たる確率は1/1000000…現実ではありませんが0では無いですね。
000000~999999までひたすら自動で入力し続けるようにしたら当たるんじゃないかと考えるでしょうが、一定数以上間違えればロックされるでしょうし、セキュリティコードは一定間隔で変化するものです。それでも、スーパーラッキーが発動して1/1000000の確率で突破されるかもしれませんので、出来るだけ早めに対処します。
今回やるべきこと
今回問題になっているのは、このメールアドレスがAmazonに登録されているという事が知られてしまったということです。つまり、やるべきことは“それまで設定していたメールアドレスを別のメールアドレスに変更する”という手続きをします。
もし、利用しているメールアドレスが”エイリアス”に対応しているなら、それを使えば簡単です。(GmailやProtonMailは対応しています)
エイリアスを用いたメールアドレスの作成方法
所有しているメールアドレスの、@の前の文字の後ろに半角の”+”を挟んで好きな半角英数字を繋げるだけで、別のメールアドレスとして扱うことが出来ます。
例えば、今使っているメールアドレスが
foo@example.com
というものであれば
foo+amazon@example.com
といったメールアドレスに書き換えて登録します。エイリアスで作成したメールアドレス宛てに送られたメールは、元のメールアドレスと同じ受信箱でメールを受信出来ます。
とても便利ですが、このエイリアスのメールアドレスでは登録出来なかったり、登録出来てもメールが届かなかったりするサービスもあるので注意が必要です。
パスワード変更の必要は?
メールアドレスさえ変更すれば、これまでの「メールアドレス+パスワード」の組み合わせでは無くなるので、特に変更する必要はありません。しかし、あまりにも推測しやすい・簡単なものであるならば、ついでに変えておきましょう。
パスワードは、覚えられないような難解な文字列であることが推奨されます。そのようなパスワードの管理には「パスワード管理ソフト」が便利です。例えば、「1Password」「LastPass」「Norton パスワードマネージャー」などがあります。また、入力支援機能を持つパスワード管理ソフトを使えば、フィッシングサイト対策にもなります。
メールアドレスが知られた原因
攻撃手法の中に”リスト型攻撃”というものがあり、これは流出したアカウント情報のリストを元に、あらゆるウェブサービスにログインを試みてアカウントを奪取するというものです。同じメールアドレスやIDとパスワードを使いまわしていると被害に合います。今回は、この攻撃よるものと推測されます。
補足
自分のメールアドレスが流出しているかどうかは、Have I Been Pwned で調べられます。メールアドレスを入力してpwned?を押し、”Oh no”と出てきたら残念ながら漏れています。流出元も教えてくれるので、そのサービスに登録していたメールアドレスとパスワードの組み合わせは、今後絶対に使わないようにしましょう。
さらなるセキュリティ強化の為に
Amazonでは二段階認証システムが導入されています。これを利用すると、メールアドレスとパスワードの認証に加え、手持ちのスマホでの操作も必要となる為、少し手間はかかりますが安全性は向上します。
もし、まだ利用していない方は、この機会に設定しておくことをお勧めします。(詳細はAmazonにログインしてヘルプを参照して下さい)
日頃の対策と情報収集が肝心
Amazonについては、アカウントを狙ったフィッシングサイトが増えているようです。フィッシングサイトの見極めは気を付けていれば分かるものですが、楽な対処法があります。それは、パスワードを自動で入力する仕組みを作ることです。詳しくは下記記事をご参照下さい。
また、普段から何が起きていて何をどうすべきなのか知っている必要もあります。情報収集方法は様々ですが、その中でも役に立つtwitterアカウントを紹介しておきます。
内閣サイバー(注意・警戒情報):@nisc_forecast
警視庁サイバーセキュリティ対策本部:@MPD_cybersec
