【Amazon】２段階認証を設定したアカウントで不正アクセス被害の報告が急増（2023年9月12日）

2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。

２段階認証を設定したアカウントで不正アクセス被害が報告

2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。

また、2段階認証（2SV）を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。

Amazonのアカウント、不正利用されたー
夜中にギフトカード5,000円×20枚購入されて、速攻メールでどこかに送信されたらしく、即時クレカに請求が来てしまった。
パスワードは破られることもあるかもだけど2段階認証どうなってんの？
Amazonにクレカ登録するの怖いなぁ#Amazonギフトカード#不正利用

— Emma＠Gabby (@emma_hama) September 11, 2023

アマゾンの不正アクセス、俺もやられた。
注文履歴を見ると問題ないが、amazon payの履歴を見たらAppleのギフトを5回で計4万円買われてた。
換金される前に自分のアドレスに再送したから、止められると。
二段階認証突破されてるから、カード情報を消す。

— Anavel Gato (@RX78__GP02A) September 11, 2023

２段階認証を過信せず、強固なパスワードを使用する

2段階認証を設定することで、ログインにはテキストメッセージ（SMS）もしくは認証アプリで生成した認証コードを入力する必要があるため、不正アクセス被害に遭うリスクを減らすことができます。

2023年9月以降は2段階認証を設定しているにも関わらず、不正アクセス被害に遭ったとするユーザーが増えていますが、第三者に2段階認証を試行されるリスクを減らすためにも、ログイン時に必要となるパスワードを強固にする（パスワードを使い回さない、英数字記号を混ぜる、桁数を増やすなど）ことも重要と考えています。

とくに「他のサービスでも使用している共通のパスワード + 2段階認証」といった組み合わせでアカウントを管理している場合は、Amazonだけで使用する強固なパスワードに変更することを強くお勧めします。

ログインしていないのにSMSで認証コードが届く

Amazonにログインしていないにも関わらず、SMSで認証コードが届いている場合は、アカウント情報（メールアドレス、パスワード）が漏れており、不正アクセス被害に遭う一歩手前の状況ともいえるため、すぐにパスワードを変更するようにしてください。

またSMSによる2段階認証を使用している場合は、SMSインターセプトやSIMスワップなどの攻撃方法があるため、パスワードを変更したあとに二段階認証を「認証アプリ」で再設定することも検討してください。

信頼できないURLリンクのリダイレクト先でAmazonアカウント情報を入力しない

Amazonの2段階認証のように、多要素認証（MFA）や2要素認証（2FA）を採用するウェブサービスも増えていますが、これを迂回する攻撃方法（EvilProxyなど）が存在します。

フィッシング詐欺メールなどに記載されているURLリンクをクリックしてしまい、公式サイトにリダイレクトされた場合、そのページでアカウント情報を入力してしまうと、SMSなどによる認証を迂回して不正アクセスされる可能性があるので注意してください。

対策として、サービスが提供している公式アプリを利用する（ウェブ版の利用を避ける）ようにし、フィッシング詐欺メール等に記載されている信頼できないURLリンクをクリックしないことを徹底するようにしてください。

強力なフィッシング対策として推奨されている多要素認証（MFA）ですが、昨今、それを迂回するタイプのフィッシング攻撃、つまり「多要素認証をバイパスする中間者（AiTM）フィッシングプロキシ」が商用化され、サービスとして販売されるようになっています。

引用：TECH+

Amazonアカウントのパスワード変更手順について

Amazonアカウントのパスワードは以下の手順で変更できます。強固なパスワードに変更する際は、「大文字、小文字、記号を混ぜる」「パスワードを使いまわさない」などを意識して設定するようにしてください。

• パスワードを使い回さない
• 大文字、小文字、記号を混ぜる
• できる限り桁数の長いパスワードに設定する
• 個人情報などから予測できるパスワードを使用しない（生年月日、氏名など）
• キーボード配列や語呂を合わせたパスワードを使用しない（qwerty1234など）

1. Amazon公式サイトを開く
2. Amazonアカウントを入力してサインイン
3. ページ右上の人の形をしたアイコン（本名さん）をタップ
4. アカウントサービス横のすべてを表示をタップ
5. 名前、Eメール、携帯番号、パスワードの管理をタップ
6. パスワード欄の横にある編集をタップ
7. 現在のパスワードと新しいパスワードを入力
8. 変更を保存をタップ

使用していない支払い方法を削除するなどの対応も

不正アクセスの対策として、「すべてのデバイスでワンタイムパスワードを要求する」や「すべてサインアウトする」の実行、使用していない支払い方法の削除をおすすめします。

また、Amazonを長期間利用していない場合や不安を感じる場合は、アカウント情報から全ての支払い方法を削除し、利用する時のみ支払い方法を再設定するか、クレジットカード以外の決済手段（コンビニ払い等）を利用するようにしてください。

• 2段階認証（2SV）の設定ページですべてのデバイスでワンタイムパスワードを要求するを実行する
• ログインとセキュリティページで「アカウントが不正にアクセスされましたか？」の開始をタップし、ステップ３「すべてのアプリ、デバイス、ウェブブラウザからサインアウトする」のすべてをサインアウトするを実行する
• Amazonウォレットページで使用していないクレジットカードやアカウントを削除する、メインで使用する１つの支払い方法のみ残す

Amazon支払い用途のクレジットカードを用意する

Amazonをクレジットカード決済で利用している場合は、Amazonのクレジットカード「Amazon Prime Mastercard」などを発行し、Amazon専用の支払い方法を用意することも検討しても良さそうです。

Amazonの支払い用途に絞った決済手段を用意することで、もしクレジットカードの再発行が必要になった場合でも、Amazon以外のサービスで決済情報を更新する手間を大幅に減らすことができます。

不正アクセスでギフトカードなどを購入された場合の対処

もしAmazonアカウントに不正アクセスされてしまい、ギフトカードなど身に覚えがない注文が行われた場合は、すぐにAmazonカスタマーサービスに第三者による不正な注文であること、キャンセル可否について相談するようにしてください。

追記：不正アクセスの原因は認証の問題、フィッシング詐欺等の攻撃のどちらなのか

2段階認証が設定されたアカウントの不正アクセス被害が増えている原因について、認証の仕組み自体に問題があるのか、フィッシング詐欺や中間者攻撃なのか、SIMスワップやSMSインターセプトによるワンタイムパスワードの漏えいなのか、個人が原因を断言するのは困難です。これについては、セキュリティの専門家やAmazonからの発表を待つしか無いと思います。

そのため、現時点では「強固なパスワードを使用する」「不審なURL、信頼できないURLは開かない」「信頼できないURLリンクのリダイレクト先ではアカウント情報を入力しない」「公式アプリを利用する」ことを徹底するほかありません。また、アカウントから支払い情報を削除しておくことも、不正な注文による決済を防ぐといった意味では有効です。