SBAPP

【Amazon】2段階認証を設定したアカウントで不正アクセス被害の報告が急増(2023年9月12日)

2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。

2段階認証を設定したアカウントで不正アクセス被害が報告

2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。

また、2段階認証(2SV)を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。

2段階認証を過信せず、強固なパスワードを使用する

2段階認証を設定することで、ログインにはテキストメッセージ(SMS)もしくは認証アプリで生成した認証コードを入力する必要があるため、不正アクセス被害に遭うリスクを減らすことができます。

2023年9月以降は2段階認証を設定しているにも関わらず、不正アクセス被害に遭ったとするユーザーが増えていますが、第三者に2段階認証を試行されるリスクを減らすためにも、ログイン時に必要となるパスワードを強固にする(パスワードを使い回さない、英数字記号を混ぜる、桁数を増やすなど)ことも重要と考えています。

とくに「他のサービスでも使用している共通のパスワード + 2段階認証」といった組み合わせでアカウントを管理している場合は、Amazonだけで使用する強固なパスワードに変更することを強くお勧めします。

追記

「2段階認証をすり抜けているのに強固なパスワードに変更する意味は?」とありましたが、強度が低いパスワードを使用すること自体にセキュリティ面でのメリットは無いと考えています。後述していますが、悪意のあるURLのリダイレクト先でアカウント情報を入力してしまい、2FAやMFAを中間者攻撃によって迂回された場合、指摘にあるようにパスワードの強度に関係なく不正アクセスされる可能性はあります。ただ、脆弱なパスワードが不正アクセス被害に繋がる可能性も”0″ではないと考えているため、当記事では強固なパスワードに変更することを推奨しています。

ログインしていないのにSMSで認証コードが届く

Amazonにログインしていないにも関わらず、SMSで認証コードが届いている場合は、アカウント情報(メールアドレス、パスワード)が漏れており、不正アクセス被害に遭う一歩手前の状況ともいえるため、すぐにパスワードを変更するようにしてください。

またSMSによる2段階認証を使用している場合は、SMSインターセプトやSIMスワップなどの攻撃方法があるため、パスワードを変更したあとに二段階認証を「認証アプリ」で再設定することも検討してください。

信頼できないURLリンクのリダイレクト先でAmazonアカウント情報を入力しない

Amazonの2段階認証のように、多要素認証(MFA)や2要素認証(2FA)を採用するウェブサービスも増えていますが、これを迂回する攻撃方法(EvilProxyなど)が存在します。

フィッシング詐欺メールなどに記載されているURLリンクをクリックしてしまい、公式サイトにリダイレクトされた場合、そのページでアカウント情報を入力してしまうと、SMSなどによる認証を迂回して不正アクセスされる可能性があるので注意してください。

対策として、サービスが提供している公式アプリを利用する(ウェブ版の利用を避ける)ようにし、フィッシング詐欺メール等に記載されている信頼できないURLリンクをクリックしないことを徹底するようにしてください。

強力なフィッシング対策として推奨されている多要素認証(MFA)ですが、昨今、それを迂回するタイプのフィッシング攻撃、つまり「多要素認証をバイパスする中間者(AiTM)フィッシングプロキシ」が商用化され、サービスとして販売されるようになっています。

引用:TECH+

Amazonアカウントのパスワード変更手順について

Amazonアカウントのパスワードは以下の手順で変更できます。強固なパスワードに変更する際は、「大文字、小文字、記号を混ぜる」「パスワードを使いまわさない」などを意識して設定するようにしてください。

  • パスワードを使い回さない
  • 大文字、小文字、記号を混ぜる
  • できる限り桁数の長いパスワードに設定する
  • 個人情報などから予測できるパスワードを使用しない(生年月日、氏名など)
  • キーボード配列や語呂を合わせたパスワードを使用しない(qwerty1234など)
  1. Amazon公式サイトを開く
  2. Amazonアカウントを入力してサインイン
  3. ページ右上の人の形をしたアイコン(本名さん)をタップ
  4. アカウントサービス横のすべてを表示をタップ
  5. 名前、Eメール、携帯番号、パスワードの管理をタップ
  6. パスワード欄の横にある編集をタップ
  7. 現在のパスワードと新しいパスワードを入力
  8. 変更を保存をタップ

使用していない支払い方法を削除するなどの対応も

不正アクセスの対策として、「すべてのデバイスでワンタイムパスワードを要求する」や「すべてサインアウトする」の実行、使用していない支払い方法の削除をおすすめします。

また、Amazonを長期間利用していない場合や不安を感じる場合は、アカウント情報から全ての支払い方法を削除し、利用する時のみ支払い方法を再設定するか、クレジットカード以外の決済手段(コンビニ払い等)を利用するようにしてください。

  • 2段階認証(2SV)の設定ページすべてのデバイスでワンタイムパスワードを要求するを実行する
  • ログインとセキュリティページで「アカウントが不正にアクセスされましたか?」の開始をタップし、ステップ3「すべてのアプリ、デバイス、ウェブブラウザからサインアウトする」のすべてをサインアウトするを実行する
  • Amazonウォレットページで使用していないクレジットカードやアカウントを削除する、メインで使用する1つの支払い方法のみ残す

Amazon支払い用途のクレジットカードを用意する

Amazonをクレジットカード決済で利用している場合は、Amazonのクレジットカード「Amazon Prime Mastercard」などを発行し、Amazon専用の支払い方法を用意することも検討しても良さそうです。

Amazonの支払い用途に絞った決済手段を用意することで、もしクレジットカードの再発行が必要になった場合でも、Amazon以外のサービスで決済情報を更新する手間を大幅に減らすことができます。

不正アクセスでギフトカードなどを購入された場合の対処

もしAmazonアカウントに不正アクセスされてしまい、ギフトカードなど身に覚えがない注文が行われた場合は、すぐにAmazonカスタマーサービスに第三者による不正な注文であること、キャンセル可否について相談するようにしてください。

追記:不正アクセスの原因は認証の問題、フィッシング詐欺等の攻撃のどちらなのか

2段階認証が設定されたアカウントの不正アクセス被害が増えている原因について、認証の仕組み自体に問題があるのか、フィッシング詐欺や中間者攻撃なのか、SIMスワップやSMSインターセプトによるワンタイムパスワードの漏えいなのか、個人が原因を断言するのは困難です。これについては、セキュリティの専門家やAmazonからの発表を待つしか無いと思います。

そのため、現時点では「強固なパスワードを使用する」「不審なURL、信頼できないURLは開かない」「信頼できないURLリンクのリダイレクト先ではアカウント情報を入力しない」「公式アプリを利用する」ことを徹底するほかありません。また、アカウントから支払い情報を削除しておくことも、不正な注文による決済を防ぐといった意味では有効です。

予想される不正アクセスの原因

  • フィッシング詐欺サイトでID、パスワード、認証コードを入力してしまった
  • 不審なURLリンクのリダイレクト先でAmazonのアカウント情報を入力してしまった(中間者攻撃)
  • SMSで受信した認証コードが漏えいした(SIMスワップ、SMSインターセプトなど)
  • 認証の仕組みに問題、脆弱性がある(この場合だと被害者の数は更に多くなることが予想されるので、可能性は低いように思えます)

編集履歴

  • Amazonの「2段階認証」は多要素認証(MFA)、2要素認証(2FA)では?との指摘を頂いておりますが、当記事ではAmazonのヘルプページに記載されている「2段階認証」に記載をあわせています。
  • 多要素認証(MFA)や2要素認証(2FA)を迂回する攻撃方法について追記しました。
  • 記事のタイトル「【Amazon】2段階認証を突破される不正アクセス被害の報告が急増(2023年9月12日)」が、2段階認証を技術的に突破したとも読み取れるとのご指摘を受け、「【Amazon】2段階認証を設定したアカウントで不正アクセス被害の報告が急増(2023年9月12日)」に訂正させて頂きました。また、記事中の関連した表現についても訂正しました。
  • EvilProxyなどについて参考にした記事の一覧を記事中段から文末に移動しました。
  • 中間者攻撃フィッシングに関する参考記事を追記。
  • 見出し「不正アクセスの原因は認証の問題、フィッシング詐欺等の攻撃のどちらなのか」を追記。
  • 見出し「2段階認証を過信せず、強固なパスワードを使用する」に追記。

コメント欄

  • Comments ( 5 )
  • Trackbacks ( 0 )
  1. 指摘を受けて記事のタイトルを変更したのなら、変更履歴としてその旨を記事内にきちんと書いておいてください。こっそりとタイトルをサイレント修正するのは嫌われますよ。

    • 記事のタイトルを変更した際に、記事文末に設けた編集履歴欄に以下のように記載しています。

      記事のタイトル「【Amazon】2段階認証を突破される不正アクセス被害の報告が急増(2023年9月12日)」が、2段階認証を技術的に突破したとも読み取れるとのご指摘を受け、「【Amazon】2段階認証を設定したアカウントで不正アクセス被害の報告が急増(2023年9月12日)」に訂正させて頂きました。また、記事中の関連した表現についても訂正しました。

  2. 企業も取り上げはじめて話題になっていますね。

  3. とても記事参考になりました。
    ただ、2段階認証がSMSで行われた場合防ぐ手段がなさそうな気がしたため、
    Amazonのセキュリティ2段階設定のページをみていました。

    設定ページの説明では、認証アプリを使ったワンタイムパスワードの方式での2段階認証も使えるようなので、
    現時点ではSMSより、認証アプリ(Google Authenticator)を使った2段階認証の方が安全の様な気がします。

    • コメントありがとうございます。
      記事でも言及しましたが、仰るように認証アプリによる2段階認証のほうがSMS認証よりはリスクが低いとは思います。不審なURLリンクを踏まないことが一番ですが、タイミングによってはうっかりクリックしてしまうこともあるでしょうし、「Amazonはアプリで使う」が一番てっとり早そうです。

      > またSMSによる2段階認証を使用している場合は、SMSインターセプトやSIMスワップなどの攻撃方法があるため、パスワードを変更したあとに二段階認証を「認証アプリ」で再設定することも検討してください。

コメントを投稿する(承認後に反映)

*

Return Top