「Amazon.co.jpからセキュリティコードをお送りします」というメールを突然受信した際にやったこと

ある日、私の元にAmazonから1通のメールが届きました。

Eメールアドレスの確認のため、以下のセキュリティコードを入力してください:

XXXXXX

Amazonはお客様のアカウントのセキュリティ対策について真剣に取り組んでおります。

Amazonから、お客様のパスワード、クレジットカード情報、および銀行口座番号をEメールでお尋ねすることは決してありません。

ご登録情報の更新を促すリンクが掲載されたEメールを受け取った場合は、リンクを決してクリックしないでください。また、調査のため、そのEメールについてAmazonまでご報告ください。

Amazon.co.jpのまたのご利用をお待ちしております。

メールを受信した前後にAmazonは利用していなかったので、こんなメールが来ること自体が普通ではありません。

何が起きたか?

考えられるのは下記2つだと思います。

  • アカウント情報の奪取を目的としたフィッシングメール
  • 誰かがアカウントをリセットしようとした

上記についてそれぞれ見ていきます。

フィッシングメールでないかの確認

メール内のリンクをくまなく探します。HTMLメールの場合は表示されているURLが正規のものでも、実際のリンクURLがフィッシングサイトのものになっている事が多いので、必ずカーソルを当ててステータスバーで見たりして確認します。

ただし、スマホだとこういう操作が出来ないのでホールドタップメニューからリンク先URLをコピーしてエディタアプリに貼り付けるという面倒な作業が必要です。

また、出来ればメールの送信元や署名が”amazon.co.jp”になっているか、メールヘッダ―を見ておきます。(詳細な確認方法はここでは割愛します。)

調べた結果、フィッシングメールではありませんでした。

送信された要因となった操作を知る

フィッシングメールではなかった事から、特定の操作を行ったことにより正規サイトから送信されたメールのようです。さらにヘルプを漁ると、このメールはログインパスワードを忘れた際に再設定する為の操作を行った際に送られるものだと分かりました。

つまり、誰かが私のメールアドレスを入力し、パスワードリセットのリクエストをする事でアカウントを乗っ取ろうとしたわけです。

被害にあう可能性は?

パスワードを勝手に変えられてしまっては、ログイン出来なくなります。それ以上に、もっと面倒な事になります。(容易に想像出来るでしょうから省略します)

ただし、メールが送られてきたように、パスワードをリセットする為にはメールでセキュリティコードを受信して画面上で入力する必要があります。セキュリティコードは数字6桁なので、適当に入力すれば当たる確率は1/100000…現実ではありませんが0では無いですね。000001~999999までひたすら自動で入力し続けるようにしたら当たるんじゃないかと考えるでしょうか、普通に考えれば一定数以上間違えればロックされるはずです。

Amazonのがどのような設計になっているのか知る由もありませんが、しっかりとした対策はしているはずです。それでもスーパーラッキーが発動して1/100000の確率で突破されるかもしれませんので早めに対応します。

なお、二段階認証を有効にしていれば、”信頼済みの端末”以外からの初ログイン時に、さらにセキュリティコードを求められるはずで、これは30秒程度の区切りで変化し続けるので特定は困難を極めるはずです。

とりあえずやっておいたこと

狙われたからには何も対策しないわけにはいけません。今回問題になっているのはAmazonで利用しているメールアドレスが知られているということです。つまり、それまで設定していたメールアドレスを別のメールアドレスに変更する手続きをします。

メールアドレスは利用するサービス毎に異なるものを使い分けるのが望ましいと言われています。”エイリアス”を使うと楽です。下記サイトが参考になります。

メールアドレスのエイリアスは、用途によって使い分けられるので便利!

http://illarena.com/other/webservice/mail_alias/

攻撃手法の中に”リスト型攻撃”というものがあり、これは流出したアカウント情報のリストを元に、あらゆるウェブサービスにログインを試みてアカウントを奪取するというものです。同じメールアドレスやIDとパスワードを使いまわしていると、この被害に合います。

最終的には自己責任

自分の情報は自分で守らなければなりません。でもそれは、何が起きていて何をどうすべきなのか知っていなければなりません。情報収集方法は様々ですが、その中でも役に立つtwitterアカウントを紹介しておきます。

内閣サイバー(注意・警戒情報):@nisc_forecast

警視庁サイバーセキュリティ対策本部:@MPD_cybersec

スポンサーリンク
スポンサーリンク



フォローする