使い回しのパスワードなら100%やられている
仮にいままで流出したサービスと同じメルアドとパスワードでAmazonで買い物をしていたら、あなたのアカウントは間違いなく不正アクセスされているものと思われます。今回はたまたまマーケットプレイスに出店しているアカウントが乗っ取られましたが、そうでない人もすべて総当たりで不正アクセスされたはずです。
わたしは2月にこのエントリーを書きましたが
@Isseki3 今更ですが、おそらく乗っ取り始まったの3月頭からだと思います。2月22日に二段階認証設定したんですが、3月9日から誰かがログインしようとした模様。酷い日は1日5回以上アクセスありました。今思えばこれはマケプレ詐欺のためだったんですね。二段階認証しといて良かったー。 pic.twitter.com/LaFFYurKMS
— 川上城三郎(かおるや) (@sumahokaoruya) 2017年5月4日
このときにすかさず2段階認証していれば、使い回しのパスワードでも不正アクセスはされなかった望みがあります。で、不正ログインされたということは
あなたの名前、住所、電話そして注目履歴が全部抜かれた
ということになります。これはAmazonの問題と言うよりパスワードを使い回していて2段階認証もしていなかったのが悪いのです。同じIDとパスを使っている他のサービスもすべて同時に不正ログインされていると考えるのが順当です。人間がやるわけじゃないので一瞬で物凄い数を総当たりできます。とりあえず今はAmazonのマーケットプレイスですが、コレが終わったら次々来ますよ。
どんな被害が考えられるか
まず、Amazonの場合、登録してある住所以外に送ろうとすると、カードナンバーの再入力が求められますので、ものを買って他に送って転売ができません。ここが楽天と違います。しかし
メールタイプのamazonギフト券を購入
メルカリやヤフオク!で出品
最短4日で売り上げが振り込まれる
ということは可能です。LINEの乗っ取りのときもAmazonのギフト券を買って番号教えてだったでしょう?
メールアドレスを変更してもクレジット情報の再入力はなく、メールアドレスの変更通知は届きますが、注文確認メールは届かないので勝手に注文されても分かりません。メルアドの変更通知を見逃すとなにをされているかわかりません。
次に、あなたの個人情報が抜かれていればリスト化されて売買されます。名前、住所、電話、メルアド、パスワード、すべてセットですのでいろいろ使い手があるので結構高く売れます。数年間は詐欺の勧誘には注意した方がいいと思いますよ。
パスワードを使い回す人はほかでもやるわけで、次はリテラシー低い女子満載のメルカリあたりを狙うんじゃないでしょうか。メルカリは登録も簡単で2段階認証もないから(楽天もそうだがリテラシー低いユーザーが多いと理解できずにログインできないのクレームが多すぎるからだと思う)、他人のアカウントに侵入して振込口座を変更して2万点くらい激安商品を出品して逃げる。
楽天市場も出店者のメルアドとパスワードが使い回しなら、次のターゲットでやられるかもしれない。
Amazonでアフィリエイトやってるかた
使い回しのパスワードで2段階認証しないでAmazonのアソシエイトでアフィリエイトやってたかた。いますぐログインして自分の口座が書き換えられていないかチェックしましょう。これがハッカーにとっていちばん簡単にできる換金方法。しらないうちにずっと他人のために頑張ってブログ書いてる羽目になります。
ちなみに前出のIさんはアソシエイトの口座はまだ書き換えられていなかったそうな。マーケットプレイス用の口座は空欄になっていて、Amazonが消したのか、察知された犯人が口座凍結されないように消したのかは不明です。
先月末分、アソシエイトの口座情報が(ここ数ヶ月成果部分しか開いてない)抜けていて振込失敗になりました。-【警報】コレは始まりにすぎない。Amazonの出店者のアカウント乗っとりは他人事ではなく、次はあなたかも。 https://t.co/JfiFCHshbR @Isseki3から
— 鈴木章史 (@SuzukiAkifumi) 2017年5月4日
口座情報が消されていた?
クーロンが書き換えに失敗したか、Amazonが侵入に気づいて口座を消した可能性も・・・
アソシエイトはお金ではなくてギフト券と引き替えにしてメールで受け取るのに変更されると見破れないね
アカウント作って放置していると危ない
いずれにせよ。こういう攻撃は一度にはやらないのです。LINEの時も不正ログインができるか確認した後で、半年後くらいから本格的にはじまったそうです。一度にやるとむこうも手間暇が大変だから、時々クーロン(巡回プログラム)が回ってきてパスワードを変更していないか確認し、してない人たちを狙うわけですよ。
また、この攻撃方法が世界中の犯罪者に知れ渡りました。裏社会ではメルアドとパスワードの組み合わせが買えるらしいので、一斉に同じ事をし出すでしょう。
ショッピングサイトやモールの出店者アカウントに侵入
↓
アカウントの振り込み先を変更
↓
適当な安い商品を何万点も出品
↓
口座に振り込ませてあとは逃げる
です。Amazonならまだ技術力もあるし人間もいるので対応は遅まきながらもしましたが、これを零細のモールや単独のショップでやられたら、まともな対応ができると思えず、莫大な損害は自分で負わないとなりません。メルアドも変えられているので売れたことにも気づかない。届かない客が騒ぎ出した頃には破産ということもありえますよ。無料のショップサービスでネットショップだしたけど売れないから放置とかありえない。パスワードの使い回しは厳禁だし、使わないのは削除する。Yahoo!に2段階認証しないでYahoo!ショッピングとかヤフオク!に口座開設してるのは危ない。
やられてから、わたしは知りませんと言っても通用しないよ。管理する責任があるんだから騙された人たちから「金返せ」とガンガンにクレームが来ますし、場合によっては訴えられます。
Amazonから抜かれた個人情報使って中華詐欺ストアが開設されるのも近いでしょうが、こちらはまだクレームが殺到しても自分がやったわけじゃないから賠償責任はない。しかし、ずっと放置していたオークションに侵入されて同じ事をされれば、あなたのアカウントで行われたわけだからも管理責任はあり、賠償には応じないといけないでしょう。
これから多発しますよ、同様の犯罪・・・・と予告しておきますからいいですね!
5月になってKindleの月替わりセールに手塚治虫のこの名作が登場。思わず反射買い
FOLLOW US