「Amazon.co.jpからセキュリティコードをお送りします」というメールを突然受信した際にやったこと

ある日、私の元にAmazonから1通のメールが届きました。

Eメールアドレスの確認のため、以下のセキュリティコードを入力してください:

XXXXXX

Amazonはお客様のアカウントのセキュリティ対策について真剣に取り組んでおります。

Amazonから、お客様のパスワード、クレジットカード情報、および銀行口座番号をEメールでお尋ねすることは決してありません。

ご登録情報の更新を促すリンクが掲載されたEメールを受け取った場合は、リンクを決してクリックしないでください。また、調査のため、そのEメールについてAmazonまでご報告ください。

Amazon.co.jpのまたのご利用をお待ちしております。

メールを受信した前後にAmazonは利用していなかったので、こんなメールが来ること自体が普通ではありません。

何が起きたか?

考えられるのは下記2つだと思います。

  • アカウント情報の奪取を目的としたフィッシングメール
  • 誰かがアカウントをリセットしようとした

上記についてそれぞれ見ていきます。

フィッシングメールでないかの確認

メール内のリンクをくまなく探します。HTMLメールの場合は表示されているURLが正規のものでも、実際のリンクURLがフィッシングサイトのものになっている事が多いので、必ずカーソルを当ててステータスバーで見たりして確認します。

ただし、スマホだとこういう操作が出来ないのでタップ長押しからリンク先URLを確認するかコピーしてエディタアプリに貼り付けるという作業が必要です。

また、出来ればメールの送信元や署名が”amazon.co.jp”になっているか、メールヘッダ―を見ておきます。(詳細な確認方法はここでは割愛します。)

フィッシングメールであれば削除すれば良いですが、私の場合はフィッシングメールではありませんでした。

※フィッシングメールかどうか判別付かない場合は次に進んで下さい。また、メール内のリンクはクリックしないで下さい。

送信された要因となった操作を知る

フィッシングメールではなかった事から、特定の操作を行ったことにより正規サイトから送信されたメールのようです。さらにヘルプを漁ると、このメールはログインパスワードを忘れた場合に再設定する為の操作を行った際に送られるものだと分かりました。

つまり、誰かが私のメールアドレスを入力し、パスワードリセットのリクエストをする事でアカウントを乗っ取ろうとしたわけです。

被害にあう可能性は?

パスワードを勝手に変えられてしまっては、ログイン出来なくなります。それ以上に、もっと面倒な事になります。(容易に想像出来るでしょうから省略します)

ただし、メールが送られてきたように、パスワードをリセットする為にはメールでセキュリティコードを受信して画面上で入力する必要があります。セキュリティコードは数字6桁なので、適当に入力すれば当たる確率は1/1000000…現実ではありませんが0では無いですね。

000000~999999までひたすら自動で入力し続けるようにしたら当たるんじゃないかと考えるでしょうが、一定数以上間違えればロックされるでしょうし、セキュリティコードは一定間隔で変化するものです。それでも、スーパーラッキーが発動して1/1000000の確率で突破されるかもしれませんので早めに対応します。

とりあえずやっておいたこと

狙われたからには何も対策しないわけにはいけません。今回問題になっているのは、このメールアドレスがAmazonに登録されているという事が知られてしまったということです。つまり、それまで設定していたメールアドレスを別のメールアドレスに変更する手続きをします。

もし、利用しているメールサービスが”エイリアス”に対応しているなら、それを使えば簡単です。(Gmailは対応しています)

使い方は、所有しているメールアドレス@の前の文字の後ろに”+”を挟んで好きな英数字を繋げるだけです。例えば、今使っているメールアドレスが

foo@example.com

というものであれば

foo+amazon@example.com

といったメールアドレスで、Amazonに登録されているメールアドレスを修正します。エイリアスで作成したメールアドレス宛てのメールは、元のメールアドレスと同じ受信箱でメールを受信出来ます。

攻撃手法の中に”リスト型攻撃”というものがあり、これは流出したアカウント情報のリストを元に、あらゆるウェブサービスにログインを試みてアカウントを奪取するというものです。同じメールアドレスやIDとパスワードを使いまわしていると被害に合います。今回は、この攻撃よるものと推測されます。

補足

自分のメールアドレスが流出しているかどうかは、Have I Been Pwned で調べられます。メールアドレスを入力してpwned?を押し、”Oh no”と出てきたら残念ながら漏れています。流出元も教えてくれるので、そのサービスに登録していたメールアドレスとパスワードの組み合わせは、今後絶対に使わないようにしましょう。

最終的には自己責任

自分の情報は自分で守らなければなりません。でもそれは、何が起きていて何をどうすべきなのか知っていなければなりません。情報収集方法は様々ですが、その中でも役に立つtwitterアカウントを紹介しておきます。

内閣サイバー(注意・警戒情報):@nisc_forecast

警視庁サイバーセキュリティ対策本部:@MPD_cybersec

スポンサーリンク
スポンサーリンク

フォローする