大好き! Amazon!
ぼくは日用品の9割と衣類の5割をAmazonに依存している!
……のだが。
ある日、スマートフォンにSMS(ショートメッセージ)が届いた。
“XXXXXX(6ケタ数字)は、Amazonのワンタイムパスワードです。誰とも共有しないでください。”
いや、ログインしようとしていないが……?
あ、あれかな。家計簿アプリの自動データ更新かな。Amazonと接続設定しているから、アプリ側で自動でログインしようとしているのかもしれない。
まあ、いまは仕事中だし、あとで休憩するときにでも軽く確認して……
あれっ!? 2通続けて来た!
5通続けて来た!
怖すぎる! さすがに犯罪の香りがする! 濃厚な不正アクセス禁止法違反の香り!
これは……急いで対処しなければ!
メッセージは、電話番号「0032064050」から来ていた。
これは、Amazonから本物のワンタイムパスワードが送られてくるときと同じ番号。偽装の可能性もあるが。
文面も、本物にありうる文面。たしか、2段階認証絡みの設定をするときなどに、この文面が使われることは実際にあるはず。
以上をふまえたうえで、おもにありうる可能性と、その対処法を整理していくと……
[A] Amazonに登録したメールアドレスとパスワードが流出しており、何者かにログインを試みられている。(可能性:中)
→ただちにパスワード変更をすべき。また、2段階認証が未設定なら設定すべき。
[B] Amazonに登録した電話番号が流出しているか、総当たり的に入力された電話番号がたまたま自分のものだったかで、電話番号を利用して「パスワードの再設定」メニューなどから何者かにログインを試みられている。(可能性:高)
→ただちに2段階認証を電話番号以外の手段(例:Google Authenticator)で設定すべき。
[C] どこかから電話番号が流出したか、総当たり的に入力された電話番号がたまたま自分のものだったかで、何者かに送信元を偽装したSMSを送られている。こちらが「こんなの来たんだけど……」とSNS等にスクリーンショット等をアップロードすることを狙われている(SMSの文面、6ケタの数字、送信時刻などから電話番号と紐づけて個人を特定できるため)。(可能性:低)
→何もしないべき。特に、送られてきたSMSをそのままネット上にアップロードしてはならない。
このどれかだ。
真っ先に思いつくのは[A]で、もっとも実行ハードルが低く可能性が高いのは[B]。可能性は高くないが、いちおう警戒すべきなのが[C]。
ちなみに[C]は、今回は可能性が低めだが、10代をはじめとする若年層をターゲットにした詐欺ではものすごくよく使われる手法。知らなかった人は覚えておこう。
また、[A][B]の場合も、来たSMSの情報をSMS等に上げることは厳禁。たとえば[A]だとして、あなたが「こんなの来た。怖い」などと投稿した内容を犯人が検索・発見することは当然可能なわけで、あなたがワンタイムパスワードをアップしたという助力によって不正アクセスが完遂されてしまう可能性がある。
今回、可能性が高いのは[A][B]。
この両方に対応するためには、「ただちにパスワードを変更し、電話番号以外の手段による2段階認証を設定する」が最適解となる。
それらの変更・設定は、PC・スマートフォンどちらからでもできる。
「アカウントサービス」>「アカウント設定」>「ログインとセキュリティ」と進み、パスワードの変更とアプリによる2段階認証の設定を行おう。
なお、明らかにリアルタイムで不正アクセスの試みが続いているなどの危険な状況の場合は、「ログインとセキュリティ」の最下部に「アカウントが不正にアクセスされましたか?」というメニューがあるので、これを使うのが早い。
一括サインアウトなどができるので、不正アクセスの手を遅らせられる。
よし、できた!
これで……
SMSはパタリと来なくなった!
ということは、やはり今回は[A]か[B]で間違いなかったようだ。[C]の場合は、Amazonが関係ないため、パスワードや2段階認証をいじってもSMSはずっと来る。
とりあえず、ひと安心! これで落ち着いて買い物ができる!
この手の問題は、いつ誰にでも起こりうる。特に、メールアドレスや電話番号の総当たり形式による不正アクセスはどうしようもない。
発生自体を完璧に防ぐのが無理な以上、発生した際の対処を知っておくのが大切だ。早く正確に対処できるようになっておこう。
まあ、ぼくはこの記事からもわかる通り、ITリテラシーが極めて高いので安心だが。
なんせ、いちばん治安が悪かったころのインターネットを生き抜いてきた歴戦の猛者なので……
……
…………
すみません、ウソつきました。そもそも今回の一件で気づくまで2段階認証がオフになっていました。
この世は自分で「リテラシーが高い」とか「歴戦の猛者」とか言う奴がいちばんのカモです。
コメント
ゲムぼくのPCトラブルシューティング記事
古の個人ブログ感あって好き
普通に役立つ記事だ
時々こういうのあるよな
これは家族に紹介できるお役立ち記事
情報セキュリティ会社の役員2社やってて二段階認証設定してないのはアカンでしょ
そんなバカなと思って自分も見てみたら2段階認証やってなかった
ありがとう
古の個人ブログ!古の個人ブログ備忘録じゃないか!
ゲムぼくさんの文章は堅苦し過ぎず、でも緩すぎず読みやすくて好き
ネットに疎い知り合いに安心して読ませられる記事
他の記事は見ないように言っておきます
Amazonじゃないけど似たような手口で一回乗っ取られてしまった事がある
正直全然使ってないサービスだったけど使ってなかったからこそ違和感に気づかなかった
みなさんも注意してください
将来のゲムぼく。はたまに学校に来るセキュリティ啓発のオジさん
この記事見て電話番号以外の2段階認証追加しました、ゲムぼく。さんありがとうございます!
ゲムぼく。の欠点は、お役立ち記事を書いてくれていても誰にも紹介できないことだ
なんてためになる記事だぁ、というのは置いといて「クロサギ」は詐欺師(通称シロサギ)を詐欺るとともに詐欺師の手口を紹介する名作漫画じゃないですか(ダイマ
えらいぞ、ゲムぼく。
啓蒙が高い記事(全年齢版)だ
最近は定期的なパスワード変更は意味が無いと言われるようになって
代わりにパスキーや二段階認証の重要性が説かれるようになりましたね
なお弊社では未だ三ヶ月毎のパスワード変更をやっています
さすが元サイバー犯罪対策課
全部は理解できなかったけどとりあえず2段階認証をオンにしました。ありがとうゲムぼく。
とても参考になる素晴らしい記事です
ありがたい
2段階認証設定しといた
二段階認証って昔から使ってるサービスほど入れ忘れてるんだよな
二段階認証が無い頃から登録しちゃってるから…
あとAmazonの場合はメールで何かシステム系のメール来たらメールのリンクじゃなく
Amazon公式のサイトに別途アクセスして、メッセージセンターを見るといいぞ
公式からの発信したメッセージはここに保存されてるから
ここにない文面の奴は基本全部偽物のメールだ
画面キャプチャに赤枠・矢印を付ける丁寧な手順に関心したわ
IT系ぼくはセキュリティ意識が高いのでゲムぼく。とは違う!
オフになってました。ごめんなさい
設定見てみたらオフになってたから設定しといた
ありがとうゲムぼく。
Amazonアカウント突破されるとカメラなど高額な品をアカウントの持ち主の自宅に配達し
本人や家族のフリをして家の外で荷物を受け取る手口とかあるみたいですね
この記事のおかげでamazonの2段階認証がオフになってたことに気付いた ありがとう
>> この世は自分で「リテラシーが高い」とか「歴戦の猛者」とか言う奴がいちばんのカモです。
パソコンやITに詳しくて「俺はウィルスメールやスパムに騙されない!」と豪語してた先輩が、情シスがゲリラ的に仕掛けてくるトラップメールに部署内でただ一人だけ引っかかって講習受けさせられた事を思い出した。
過信と慢心が一番危ない。
こういう記事がひょっこり出てくるのほんと最高にありがたい。
Cのやつは一時期「道路にカニが落ちてた!」とかのツイート狙いもあったわね
自分もOTP送られてきたことある。
パスワード変えてもまた来たから変だなと思ってたら、犯人は弟だった。
変更後も共用PCのブラウザにパスワード保存したのが過ち