1. はじめに
某日、Amazonから大量の注文確認メールが届いた。Amazonより、不正アクセスがあった旨のメールが届き、公式より対処されたものの、結局発送処理まで行われた。注文された商品は総額10万円以上、発送先は現在住んでいない住所に発送される事態となった。既存の不正アクセス報告記事では、発送まで至らずに収束したものや、悪戯で注文された商品の価格が小規模のケースが多い。従って本記事では、今回の不正アクセスの全体経緯と、対処、Amazonからの問い合わせ結果メールを示しながら、不正アクセスの事例共有を行う。
2. 経緯
ア) 某日 :10件以上の大量メール「ご注文の確認 (商品名)」がAmazonから到着する。注文した覚えはない。注文先はすべてマーケットプレイスでAmazonからの発送は無し。注文された商品の総額は10万円以上。
イ) ア)の15時間後(翌日) : 「お客様のAmazon.co.jpアカウントに対する最近の変更」というメールが届き、無断でアクセスされた旨のメール内容が記載されている。メールを受け取った5時間後に各種対処。見に覚えのない注文はすべて「注文履歴」に無いことを確認。
つきましては、お客様の情報を保護するために次の措置を講じました。
-- お客様のアカウントのパスワードを無効にいたしました。
-- 不正アクセスによって行われた変更につきましては、無効にいたしました。
-- 発送前の注文はすべてキャンセルいたしました。 これらの注文について受信した確認メールはすべて無視していただけますようお願い申し上げます。
お客様のアカウントに登録されていたクレジットカードに、これらの注文の請求が行われることはありません。
有効化されるまで5時間ほどお待ちください。
5時間経過後、パスワードをリセットすることが可能となりお客様のアカウントに再度アクセスしていただけるようになります。
「サインイン」ページで 「パスワードをお忘れですか?」をクリックし、 その後の指示に従ってください。
パスワードのリセット時に何か問題が発生した場合は、カスタマーサービスまでお問い合わせください。
ウ) イ)の13時間後 : 「(商品名)の発送」というメールがAmazonより立て続けに10件以上到着する。メールに記載のある「配送状況を確認する」を押下しても、イ)でAmazonで注文自体が削除されているので「ありません」的な表示がされる。発送業者はchinapostなど。メールに記載されている問い合わせ番号は実在するため、この発送メールがフェイクということは無い。そもそも、注文自体キャンセルされたのに発送されたのが未だ不明である。Amazonのマケプレはこういった弊害がある。
※イ)の対処後にクレジットカード登録状況を見たところ、幸い全て使用できないクレカ番号が登録されていた(Amazonアカウント自体放置してた為)ので、不正アクセス者は他人のクレカ番号を利用して注文を行ったと思われる。実際に、私の手元にある履歴を見ても決済された痕跡がない。もし、不正アクセスがあった場合は、この点も確認すると良い。
※2 クレジットカードまで不正使用されている場合はAmazonからのメールで「不正に決済された」という旨も通知されたという事例もインターネットで見られた。その際は、クレジットカードの決済履歴を確認し、必要に応じてカード会社に連絡を取る必要がある。
エ) : Amazonにチャットで問い合わせ。ア) イ) ウ)の経緯を説明し、担当部署に確認後、折返しメールで連絡すると報告を受ける。自身の場合は、以下のように特殊なケースとなる。
①マーケットプレイスで不正注文され、Amazon側がキャンセルしたのにも関わらず出品者より発送されたこと
②発送先は自身が以前、代理で購入した際に指定し自動登録された住所で、現在住んでいない別の住所であること
オ) : Amazonからのメール連絡がある。
なお、本注文についてはすでに対応部署にて適切に対応を行わせていただいており、本件にてお客様が不利益を被ることはございません。
エ)で示したとおり、Amazon側でキャンセルされたものの、発送処理が行われたことから出品者側の決済処理が確認されていると考え、他人のクレジットカードで決済されていることを懸念したが、Amazonにより対処された履歴により、この点に関しては保証されるようである。また、自身でない者が受け取る場合についても問い合わせしたが、こちらは仮に受け取ったとしても、商品は破棄して問題ないとの回答があり、安堵した。
経緯としては以上。
3. 今回の事象に関する分析(良かったこと、悪かったこと)
今回、普段使用していないAmazonアカウントが不正アクセスにあった。長い間、放置をしておりセキュリティに関しての意識がこのアカウントについて薄れてしまっていたのは反省点である。また、自動で登録された発送先住所について、使用していない情報は随時削除しておくべきだったと振り返る。
しかし、長い間アカウントを使用していないことで、クレジットカード番号がすべて使用できないものになっていたことは幸運であった。不正アクセスされた根本原因として、このアカウントについてはかなり昔に作成したもので、パスワードが数字だけのものであったことが挙げられる。パスワードが数字だけのものは総当りで突撃されるリスクも高く、改めて危険性を認識した次第である。
なお、よく迷惑メールに届けられるAmazonを詐称したメール(いわゆるフィッシングサイト)には自身は引っかかっていないが、こちらはAmazonのアカウント情報のほかにクレジットカード番号自体も抜き取られるので注意が必要である。
4. 再発防止策
以上の経緯を踏まえた上で、再発防止策として二点実施した。
・パスワードは数字以外に複雑な文字列にする。
・2段階認証を設定する。
特に、二段階認証は携帯電話と連動するため、仮にパスワードで突破できたとしても携帯に届いた情報も追加で認証しなければ、そこから先に突破できず大いに効果があると言える。
5. まとめ
今回は、Amazonに不正アクセスされた事象の説明から解決までの経緯を示し、分析と再発防止策を実施・検討した。一度、被害にあうと中々無駄な労力を使うため、防止策として参考にしていただきたい。また、同様の事象が起きた向けに情報提供となれば幸いである。
