スポンサーリンク

「Amazon.co.jpからセキュリティコードをお送りします」というメールを突然受信した際にやったこと

その他

ある日、私の元にAmazonから1通のメールが届きました。

Eメールアドレスの確認のため、以下のセキュリティコードを入力してください:

XXXXXX

Amazonはお客様のアカウントのセキュリティ対策について真剣に取り組んでおります。

Amazonから、お客様のパスワード、クレジットカード情報、および銀行口座番号をEメールでお尋ねすることは決してありません。

ご登録情報の更新を促すリンクが掲載されたEメールを受け取った場合は、リンクを決してクリックしないでください。また、調査のため、そのEメールについてAmazonまでご報告ください。

Amazon.co.jpのまたのご利用をお待ちしております。

メールを受信した前後にAmazonは利用していなかったので、こんなメールが来ること自体が普通ではありません。

何が起きたか?

考えられるのは下記2つです。

  • アカウント情報の奪取を目的としたフィッシングメール
  • 誰かがアカウントをリセットしようとした

上記についてそれぞれ見ていきます。

フィッシングメールでないかの確認

メール内のリンクのURL(アドレスが)”https://www.amazon.co.jp/”になっているかを確認します。

PCではマウスカーソルを当ててブラウザのステータスバーを見る、スマホではリンクの上でタップ長押しを使用して、リンク先URLを確認したりコピーしてエディタアプリに貼り付けるといった作業を行います。

HTMLメールの場合、表記のURLが正規のものでも、そのリンクのURLがフィッシングサイトのURLになっていることがあるので注意が必要です。

また、出来ればメールの送信元や署名が”amazon.co.jp”になっているか、メールヘッダ―を見ておきます。例としてGmailの場合は、PCでメールボックスにアクセスし、”メッセージのソースを表示”をクリックして”DKIM”のドメインが”amazon.co.jp”になっている事を確認します。

フィッシングメールであれば、そのまま削除して放置すれば良いのですが、私の場合はフィッシングメールではありませんでした。

※フィッシングメールかどうか判別付かない場合は次に進んで下さい。また、メール内のリンクはクリックしないで下さい。

送信された要因となった操作を知る

フィッシングメールではなかった事から、特定の操作を行ったことにより正規サイトから送信されたメールのようです。Amazonのヘルプを調べると、このメールはログインパスワードを忘れた場合に再設定する為の操作を行った際に送られるものだと分かりました。

つまり、誰かが私のメールアドレスを入力し、パスワードリセットのリクエストをする事でアカウントを乗っ取ろうとしたわけです。

被害にあう可能性

パスワードを勝手に変えられてしまっては、ログイン出来なくなります。それ以上に、もっと面倒な事になります。(容易に想像出来るでしょうから省略します)

ただし、メールが送られてきたように、パスワードをリセットする為にはメールでセキュリティコードを受信して画面上で入力する必要があります。セキュリティコードは数字6桁なので、適当に入力すれば当たる確率は1/1000000…現実ではありませんが0では無いですね。

000000~999999までひたすら自動で入力し続けるようにしたら当たるんじゃないかと考えるでしょうが、一定数以上間違えればロックされるでしょうし、セキュリティコードは一定間隔で変化するものです。それでも、スーパーラッキーが発動して1/1000000の確率で突破されるかもしれませんので早めに対応します。

なお、二段階認証(記事最後に後述します)が設定されていれば、認証を突破出来ないはずなので、放置でも良いです。しかし、また同じようなことが起きる可能性があるので、対応はしておいた方が精神的に良いでしょう。

今回やるべきこと

今回問題になっているのは、このメールアドレスがAmazonに登録されているという事が知られてしまったということです。つまり、やるべきことは“それまで設定していたメールアドレスを別のメールアドレスに変更する”という手続きをします。

もし、利用しているメールアドレスが”エイリアス”に対応しているなら、それを使えば簡単です。(GmailProtonMailは対応しています)

エイリアスを用いたメールアドレスの作成方法

所有しているメールアドレスの、@の前の文字の後ろに半角の”+”を挟んで好きな半角英数字を繋げるだけで、別のメールアドレスとして扱うことが出来ます。

例えば、今使っているメールアドレスが

foo@example.com

というものであれば

foo+amazon@example.com

といったメールアドレスに書き換えて登録します。エイリアスで作成したメールアドレス宛てに送られたメールは、元のメールアドレスと同じ受信箱でメールを受信出来ます。

とても便利ですが、このエイリアスのメールアドレスでは登録出来なかったり、登録出来てもメールが届かなかったりするサービスもあるので注意が必要です。

パスワード変更の必要は?

メールアドレスさえ変更すれば、これまでの「メールアドレス+パスワード」の組み合わせでは無くなるので、特に変更する必要はありません。しかし、あまりにも推測しやすい・簡単なものであるならば、ついでに変えておきましょう。

パスワードは、覚えられないような難解な文字列であることが推奨されます。そのようなパスワードの管理には「パスワード管理ソフト」が便利です。例えば、「1Password」「LastPass」「Norton パスワードマネージャー」などがあります。また、入力支援機能を持つパスワード管理ソフトを使えば、フィッシングサイト対策にもなります。

フィッシングサイトにパスワード等を入力してしまうことを防ぐ方法
インターネット上には、ユーザーアカウントを乗っ取ることを目的として、IDやパスワード等の個人情報を盗み取る、公式サイト(ホームページ)と全く同じように作られたフィッシングサイトが多数存在しています。 ユーザーアカウントが乗っ取られると...

メールアドレスが知られた原因

攻撃手法の中に”リスト型攻撃”というものがあり、これは流出したアカウント情報のリストを元に、あらゆるウェブサービスにログインを試みてアカウントを奪取するというものです。同じメールアドレスやIDとパスワードを使いまわしていると被害に合います。今回は、この攻撃よるものと推測されます。

補足

自分のメールアドレスが流出しているかどうかは、Have I Been Pwned で調べられます。メールアドレスを入力してpwned?を押し、”Oh no”と出てきたら残念ながら漏れています。流出元も教えてくれるので、そのサービスに登録していたメールアドレスとパスワードの組み合わせは、今後絶対に使わないようにしましょう。

さらなるセキュリティ強化の為に

Amazonでは二段階認証システムが導入されています。これを利用すると、メールアドレスとパスワードの認証に加え、手持ちのスマホでの操作も必要となる為、少し手間はかかりますが安全性は向上します。

もし、まだ利用していない方は、この機会に設定しておきましょう。詳細は下記Amazonのヘルプを参照して下さい。
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202073820

最終的には自己責任

自分の個人情報は自分で守る必要があります。でもそれは、何が起きていて何をどうすべきなのか知っていなければなりません。情報収集方法は様々ですが、その中でも役に立つtwitterアカウントを紹介しておきます。

内閣サイバー(注意・警戒情報):@nisc_forecast

警視庁サイバーセキュリティ対策本部:@MPD_cybersec