貯金はないけど、結婚します。

貯金が無いのに結婚し、いまは子育てを頑張ってます。

【2段階認証設定の説明有り!】Amazonのアカウントが乗っ取られたー! 被害が拡大しておりますので、早急に対策を!

f:id:nigelle1221:20170419200916j:plain

こんばんは、ニャン(@bridal_nai)です。

 

この度、Amazonのアカウントが乗っ取られてしまいました・・・! 現時点では、Amazonのカスタマーサポートに復旧して頂き、再設定することで事なきを得ておりますが、流石に肝を冷やしたぜ・・・!

 

本日は経緯の共有と、今後のために行った対策(二段階設定機能の適用)について記載致します。Amazon以外に、Yahoo!やG Suite、Microsoft office 365なども二段階認証を設定しました。

 

スポンサーリンク

 

 Amazonのアカウントが乗っ取られた経緯について

私、Amazonのヘビーユーザーです。かれこれ15年くらいAmazonを使い倒しているのですが、パスワードの変更は1度も行っておりませんでした・・・。「セキュリティ上、いかんよなぁ」と認識はしていたものの、特に問題がなかったため、パスワードを定期的に変えるなど特に対策も行わず、放置してしまっていたのです・・・。

 

1.Amazonにログインできない・・・!

まず、アカウントの乗っ取りに気付いたきっかけから。今日(4/19)はゴールデンカムイの最新刊である10巻 (kindle版)が配信予定になっていました。で、4/18(火)→ 4/19(水)の日付更新に合わせてiPadのkindleアプリ同期ボタンを連打してみたものの、なかなか反映されません。「あれ? 配信の日にちを間違えたかな?」と思い、スマホのAmazonアプリを開いてみたところ・・・、

 

f:id:nigelle1221:20170419201619p:plain

※会社支給のiPhoneでキャプチャ。「おい、お前! LINE MOBILEにしたんじゃねーのかよ!」と言われそうだったので、念のために。「じゃあ、なんでLINE MOBILEのsimが入っているVAIO Phone Aでキャプチャしないんだよ!」って言われそうなんですけど、キャプチャ時に音が鳴るし、ボタン配置上、キャプチャが撮りづれぇんすよ。

 

普段は自分のログインID(メールアドレス)が表示されるところに、まったく心当たりのないアドレスが・・・。hotmail・・・!? 「えっ、なにこれ・・・!?」とプチパニック。案の定、普段のID/PASSを入力してもログイン出来ず。「パスワードを忘れた方」からリセットを試みるものの、やはりIDが変更されているようで、リセット機能も受け付けてもらえず。

 

冷や汗、ドッバドバ。

 

念のため、PCやスマホ、タブレットと端末を変えてログインを試みるものの、やっぱりダメ。上記の通り、日付更新に合わせての発覚だったため、4/19(水)0:30頃の出来事です。

 

とりあえず深夜ということもありましたので、Amazonのカスタマーサポートに問い合わせメールだけでも送っておこうと思いまして、問い合わせページを探すことに。Amazonサイトの下段部分にリンクがありました。

Amazon.co.jp ヘルプ: お問い合わせ方法

 

早速クリックしたところ「カスタマーサービスでは24時間、お問い合わせを承っております」の文字が! 凄いよ、Amazon!これは小売店、淘汰されるよ・・・。

f:id:nigelle1221:20170419204304j:plain

 

「神は密林にいるんだなぁ・・・」と呟きながら(実際は呟いていない)、必要項目を入力。したらば「おすすめの問い合わせ方法:電話」というボタンが! この時間に!? 電話番号を入力したところ、1~2分くらいで着信アリ! 何故か市外局番「011」という北海道からの番号でした。

 

で、担当者に経緯を伝え、アカウント情報を調べて頂くことに。一次受付の男性は少々拙いオペレーションでしたが(アルバイトかな?)、その後に繋いで頂いた専門部署の担当者(女性)はキビキビと完璧でスムーズな案内を行って頂きまして、深夜にこの体制を整えられることに正直ビビった。

 

この電話中にわかったことは、

  • 中国からアカウント(ID/PASS)が書き換えられている
  • 乗っ取りに気付いたのが、偶然だけど早かった(20分以内くらい)
  • ぱっと見た感じ、アカウント(ID/PASS)以外の変更は無さそう

とのこと。

 

引き続き調査を依頼し、中国の犯人からアクセスできないようにアカウントの再修正だけお願いして就寝しました。

 

そして、朝になり、11:35にAmazonからメール受信。ホントに仕事が早いな。メールの内容は下記の通り。

 平素はAmazon.co.jpをご利用いただき、誠にありがとうございます。

※ このメールには、お客様のアカウントについての重要な情報が含まれていますので、最後までよくお読みいただけますようお願い申し上げます。

このたび、お客様のアカウントを確認いたしましたところ、保有者であるお客様の許可を得ていない第三者が、お客様に無断でお客様のアカウントへアクセスした可能性のあることがわかりました。

第三者により登録または変更された情報がある場合、可能な限り、不正なアクセスが行われる前の状態に戻しております。なお、今回の不正なアクセスによるものと思われる請求は確認できませんでした。

お客様のアカウントにつきましては、お客様以外の第三者による不正アクセスを防ぎ、お客様の情報と安全をお守りする目的から、当サイトにてパスワードを一時変更いたしております。お客様ご自身ですでにパスワードを変更いただいている場合につきましても再度パスワードを変更しておりますのでご了承ください。今後、当サイトをご利用いただくためには、パスワードの再設定をしていただく必要がございます。

パスワードの再設定は、当サイトの「アカウントサービス」から 手続きが可能です。アカウント設定のセクションから、「パスワードを再設定する」のリンクをクリックし、Amazon.co.jp パスワードアシスタントの説明にそって、Eメールアドレスの入力、及び画像に表示されている文字の入力をし、「次に進む」をクリックしてください。その後 に、当サイトから入力いただきましたEメールアドレスにパスワード再設定用のリンクを含んだEメールが送信されます。そのEメールのリンクをクリックして いただき、パスワードの再設定を行ってください。

パスワードを再設定していただく際には、今までご利用されていたパスワードとは異なる新 しいパスワードを設定くださいますようお願いいたします。また、パスワードの再設定後、クレジットカードの支払いによる注文をされる際に、クレジットカー ド情報を改めて入力していただく場合がございますことを、あらかじめご了承ください。

当サイトが、Amazon.co.jp のサイト外において、お客様へパスワード入力や個人情報を求める事は決してございません。また、Amazon.co.jpのアカウントは、お客様ご本人あるいはご本人様の情報(Eメールアドレス、及びパスワード)を入手できる個人によってのみ、アクセスが可能となっております。お客様の個人情報をどのような方法で第三者が入手したのかを断定することはできませんが、一例として当サイトを装ったメールが何者かによってお客様に送付され、パスワード等を入力することにより個人情報へのアクセスが可能になったこと等が考えられます。

ご参考までに、当サイトを装ったメール等について詳しくは下記リンクから確認いただけます。

Amazon.co.jpからのEメールかどうかの識別について
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201304810

フィッシングやなりすましのメールを報告する
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201304880

なお、当サイトに既に登録されておりますお客様のクレジットカード番号につきましては、サイト上に表示されることはございませんので、不正アクセスがあった際に第三者がお客様のクレジットカード番号を入手した可能性はございません。しかしながら、お客様のEメールアドレスと当サイトへのパスワードを入手した第三者が、同時にその他の個人情報を入手している可能性は否定できませんので、念のため、お持ちのクレジットカードのご利用状況をすべて確認し、不明な請求をクレジットカード発行会社(もしくは銀行)に対し調査されることをお勧めいたします。

また、下記にお客様のアカウントを詐欺行為等からお守りするための主な注意点を記載いたしますのでご確認ください。
-------------------------------
1. 盗まれにくいパスワードの使用:8文字以上の数字と文字をあわせたものを使用してください。簡単に推測できるような単語、お客様の名前、そのほかの個人情報やEメールアドレスの一部を含むパスワードは、避けてください。
2. パスワードの取り扱い:複数のオンラインサイトやEメールアドレスで使用しているパスワードは、避けてください。他の人とパスワードを共有しないでください。
3. アカウント保護:有名なオンラインサイトからのEメールと見せかけ、クレジットカード情報、Eメールアドレス、およびパスワード等を入力させる迷惑メールに注意してください。
-------------------------------

ご不明な点がございましたら、ご遠慮なく ××@amazon.co.jp へお問い合わせください。

Amazon.co.jpをご利用いただき、ありがとうございました。
アカウントスペシャリスト

 

とりあえず一安心しまして、早速アカウントサービスにアクセス。ID/PASSを変更し、事なきを得ました。クレジットカード会社には平行して問い合わせ中です。

 

スポンサーリンク

 

2.被害を踏まえた対策について(2段階認証設定)

ワタクシ、永江一石さんのブログ(More Access! More Fun!)はいつも拝読させて頂いておりまして、永江さんが「2段階認証が導入されたから、すぐ設定!」というエントリーを読んで「あー、設定しなければいけないなぁー」とは思っていたんです。思っていたんですよ!

Amazonがついに2段階認証導入。いますぐ設定だ!!|More Access! More Fun!

 

しかし、すっかり忘れてしまい、今回の有様です。これを機に、Amazon以外でもしっかりと2段階認証を設定してみました。

 

まずは、Googleの2段階認証アプリを入れるところから。iPhone版・Android版、両方あります。そして、無料です。

Google Authenticator
Google Authenticator
開発元:Google, Inc.
無料
posted with アプリーチ

 

こいつとサイトの2段階認証機能を連携させれば、その都度認証に必要なコードを要求するようになりまして、スマホを持っていないとログインできないという仕組みが構築可能に! 詳しくは、それこそ永江一石さんのブログに記載されております。

Amazonがついに2段階認証導入。いますぐ設定だ!! | More Access! More Fun!

 

こんな感じで、スマホ画面に連携したワンタイムパスが表示されるような仕組みです。数字は時間経過に伴って変わり、一定時間内に入力しないとログインできないというもの。ネットバンキングでパスワードトークンを配布している銀行もありますが、特定のデバイスでしか確認できないワンタイムパスが発行されたら、よりセキュリティも強化になりますよね。

 

f:id:nigelle1221:20170724211733j:plain

 

ついでに、

  • 仕事用のGoogle Apps(G Suite)
  • 個人のGoogleアカウント
  • Microsoft Office 365
  • Evernote

も組み込みました。

 

また、Yahooについては独自に2段階認証アプリを開発しており、こちらも設定をしました。Googleので一括管理出来ると嬉しいんすけど、仕方ない。こちらもiPhone版・Android版、両方あります。そして、無料です。

Yahoo! JAPAN ワンタイムパスワード
Yahoo! JAPAN ワンタイムパスワード
無料
posted with アプリーチ

 

やはり、クラウドサービスやSNS、ECサイトは便利な反面、自衛策もしっかりと練る必要があります。簡単で便利なツールがありますので、しっかりと対策しましょう!

 

3.今後の対策について

  • 2段階認証設定を行う!
  • 定期的にパスワードを変更する!
  • パスワードを使い回さない!

これらの対策が非常に重要であると実感しました。しかし、どうしてもパスワードが管理できず、色々なサイトやシステムで同じものを使ってしまっているのが実情です。

そんな中、無料でパスワード管理ができるSKUID というサービスを見つけましたので御紹介致します。

公式サイト:ID・パスワード管理ならSKUID

 

無料パスワード管理サービス「SKUID」とは?

 

この「SKUID(スクイド)」はGMOが提供するサービスで、基本的に無料で利用が可能です。

SKUID(スクイド)は、Webサービスごとにある複数のログイン情報を”ひとつにおまとめ”できるクラウドサービスです。 ログイン情報をひとつにすることで、ログイン情報の紛失や、複数サービスでのパスワードの使い回しを防げます。
法人利用では、システム管理者が業務で使用するWebサービスのログイン情報をあらかじめ登録すると、 スタッフはSKUIDのIDとパスワードひとつで、複数のWebサービスにログインできるようになります。
SKUIDで登録されたIDとパスワードは、GMOグローバルサインのセキュリティ技術により暗号化しクラウド上の強固なシステムで安全に保存しています。

 

このサービスで有名なのが「1password」ですが、こちらは月額課金版ですと300円/月くらいの費用負担があります。このSKUIDであれば、機能も充実しており、しかも無料で使えますので、是非とも試してみて下さい。

 

公式サイト:SKUID

 

では!