こんばんは。さすけです\(^o^)/
家を建てるとなると、新しい家で使う家具や家電、さらに収納グッズ等々何かと買い物の機会が増えると思います。
ちょっとした買い物などはネットで購入する方がおおいのではないでしょうか?
私は家を建てた時もそうですが、現在に至るまで、ネットでの買い物は日常的にしています。しかし、便利なネットでの買い物ですが一度不正なアクセスを受けると、極めて深刻な事態となります。
半年ほど前になるのですが、私自身Amazonのアカウントを乗っ取られてしまい、不正アクセスにあいました。
突然Amazonにアクセス不能になり、さらに買い物が行われた通知が来たら、、、みなさんどうされますか?
実際にご自身のアカウントが乗っ取られたと思ってお読みいただければと思いますm(_ _)m
今回乗っ取りにあったのは米国Amazonのアカウントですが、日本のAmazonでも同様のことは起こりえます。というか、確実に起こっています。
0120-999-373
に電話で問い合わせをして下さい。24時間対応、固定電話でもスマホでもフリーダイヤルで繋がります。
- 1 突然「メールアドレスが更新されました」という通知が
- 2 Amazonにサインインできない!!
- 3 Amazonにメールで問題を送信!・・・このメールアドレスは受信を受け付けていません。。。
- 4 どこにも連絡先メールアドレスがない!!
- 5 こんな時はGoogleに聞いたらLiveチャット発見!→でもまたコンタクトできない。。。
- 6 「購入通知」は突然に
- 7 やっと見つけたログイン無しでコンタクトできるアクセス手段!
- 8 コンタクトさえできればAmazonの対応は迅速
- 9 Amazonに再びアクセスできるようになり、購入履歴も消えていた!
- 10 1つの疑問~なぜ2ドルの商品を購入したのか?目的は?
- 11 私のアカウントはなぜ乗っ取られたのか?→私が悪いorz
- 12 もうパスワードが乗っ取られないためにした2つのこと
- 13 2段階(要素)認証の導入
- 14 既にものを購入されてしまった後に気が付いたら
- 15 最後に・・・とりあえずパスワードの使い回しはやめておいた方が良い
突然「メールアドレスが更新されました」という通知が
私は海外でしか手に入らないものを米国Amazonを通じて購入することがあります。
米国Amazonのサイトは使い慣れた日本のAmazonとサイトの使い勝手もほぼ同じなので、個人輸入などという大げさなものではなく、ちょっと時間のかかるネット通販程度の感覚で使用できます。
私が乗っ取りにあったのは、この米国Amazonのアカウントでした。今回、私の例は米国Amazoのアカウントの乗っ取りですが、日本のAmazonでも同じことは起こります。
8月2日、私のメールアドレスに「Amazonアカウントの更新」というタイトルのメールが届きました。
内容は英語ですが、「あなたのAmazonアカウントが、これまで使っていたXXX@gmail.comからlukang801578@163.comに変更されました。」という知らせでした。
lukang801578@163.comなどというメールアドレスには全く身に覚えがありません( ̄^ ̄)?
とりあえず実際にAmazonにアクセスして状況を確認してみることにしました。
Amazonにサインインできない!!
乗っ取りにあってしまったら、すぐさまメールアドレスを元に戻してパスワードを変更するのが鉄則と思います。
そこで、すぐにAmazon.comにアクセスしてメールドレスとパスワードを変更することにしました。
<<ここで1つ注意ポイントです>>
「親切」にも、「こちらから内容をご確認下さい」といった形でリンクがあったら、そのメールはAmazonから来たメールではなくいわゆるフィッシング詐欺の可能性があります。
リンクからジャンプしたページはAmazonや楽天などそっくりのサイトで、ログイン画面が作られておりそこに自分のユーザー名とパスワードを入れることで、ユーザー名とパスワードが盗み出されてしまうということがしばしばあります。ですので、Amazon等からメールアドレスやパスワードが勝手に変更されたというメールが来ても、そのメール内のリンクをクリックせず、GoogleやYahoo等でAmazonを検索してそこからAmazonのサイトに行ってログインするようにして下さい。
私は「www.amazon.com」とURLを直接入力してAmazonのサイトに飛び、そこからAmaoznにログインを試みました。
しかし、Amazonにログインすることができません!!
今まで私が使っていたGmailのアドレスではログインをすることができません。もしやと思って、勝手に変更されたメールアドレス「lukang801578@163.com」と自分がそれまで使っていたパスワードでもログインをしようとしてもやっぱりログインができません。。。
(「パスワードが間違っています」というむなしい表記。。。)
そう、乗っ取られたAmazonアカウントはメールアドレスとあわせてパスワードも変更されてしまっていたのです(゜д゜)
このあたりで、あっ、かなりヤバいかもと感じてきました。
Amazonにメールで問題を送信!・・・このメールアドレスは受信を受け付けていません。。。
ログインできない以上はAmazonに連絡する手段は限られてきます。そこで、次に行ったのが、先ほどのメールアドレスの更新通知を行ってきたメールに返信で「この変更は自分が行ったものではなく、不正アクセスされて変更されたので修正して欲しい」というメールを送信することでした。
すると、1分もしないうちに返信がありました\(^o^)/
内容は「このメールアドレスは送信専用で受信は受け付けていません」というものです(゜д゜)
ネットショップなどでは送信専用メールアドレスを使っており、返信することができないケースが多くあります。
どこにも連絡先メールアドレスがない!!
通常であれば、署名欄などがあってそこに担当者の部署や連絡先などがありそうなものですが、残念ながら担当部署の連絡先等は全くありません。
不正アクセスされた場合の対処方法に関する記述も一切ありません。
メールアドレスが勝手に変更されたことを知らせてくれるのは非常にありがたいのですが、それが不正に行われたものであるとすぐに気がつけても、サイトにログインできないと何もできないという事実に、このときはじめて気がつきました。
サイトにログインすることもできず、さらには、メールに返信をすることもできない状況になってしまいました。
そこで、Amazonのサイトから社内の人にコンタクトするしかない、と思いサイトを見ていったのですが、ぱっと見では問い合わせフォームのようなものを見つけることができませんでした。
実際、日本のAmazon.co.jpにアクセスして、ログアウトした状態でコンタクトフォームを探してみて下さい!どこにもメールアドレスなど問い合わせ先が書かれていないことに気が付くと思います。。。
下は日本のAmazonのページです。
ログインしなくてもアカウントサービスにはアクセスできますが、どこをクリックしても下のようにログインを求めるページにジャンプしてしまってAmazonにコンタクトする術がみつからないのです。。。
こんな時はGoogleに聞いたらLiveチャット発見!→でもまたコンタクトできない。。。
Amazonのサイトを見てもどうにもならなそうだということで、ここはGoogleで「Amazon contact form」のように検索すればコンタクトフォームが出てくるかも?と思って検索をしてみました!
すると一番上にAmazonの「Live Chat」が出てきました\(^o^)/
ライブチャットで担当者と話ができれば、不正アクセスを解除してもらえる!そう思いました。
しかし、、、このLiveチャットのページをクリックすると、再び無情にもログインを求めるページにジャンプしてしてしまいました(´д`)
ちなみに日本語で「Amazon 問い合わせフォーム」と検索すると、お問い合わせ方法が一番上に提示されます!
そして、一番上の「お問い合わせ方法」をクリックしても米国Amazonのように突然ログインを求めるようなことはなく下のように「お問い合わせフォーム」ボタンが表示されます!
そして、このお問い合わせフォームボタンをクリックすると!!!!
ログインを求められます。。。(´д`)
Amazonは日米共に、ログインしていない状態だとAmazonへのコンタクト方法が限り無く制限されてしまいます。
「購入通知」は突然に
Amazonへのコンタクト方法がみつからない状態で、どうしたものか?と悩んではいたものの、普段余り使わないアカウントだしまあ、明日連絡をしようと思ってその日はそのままあきらめてしまいました。
しかし、翌朝目が覚めると、Amazonから「購入通知」が届いていました(゜_゜;)
金額は2ドルと少額ですが、これは登録されたクレジットカードが有効かをテストしているのだろうと思います。
購入品の送付先は私が設定した住所のままでしたから実際に購入したものを不正アクセスした人が受け取るつもりはないこともわかります。
メールアドレスが変更されているはずなのに、購入通知が届いたことでもしかしたらアカウントが復旧したかも?と思ってアクセスしてみましたが翌朝になってもやはりAmazonにログインすることはできませんでした。
実際に私ではない誰かが買い物をしているということで、極めて深刻な状態であることは明らかです。
やっと見つけたログイン無しでコンタクトできるアクセス手段!
翌日も色々とサイトを探したり、不正アクセスをされてしまった人のブログなどを探していましたが、ログインしていない状態でAmazonにコンタクトする方法を見つけることができずにいました。
そうこうしているうちに、パスワードを完全に忘れてどうにもならなくなってしまった人がAmazonにコンタクトする方法があるのでは?と思い至り、やっとログインしていない状態でもコンタクトする方法を発見することができました!
まずは、Amazonにログインする画面にアクセスします。
不正アクセスされているので、ログインできませんから「パスワードを忘れた場合」をクリックします。
すると、下の画面のように「パスワードアシスタンス」が表示されます。登録したアカウントのメールアドレスを入力するとそこからパスワードのリセットが行える仕組みです。しかし、今回は不正アクセスによってメールアドレスも変更されてしまっているので、エラーになってしまいます。
この下の方に「Eメールアドレスを変更しましたか?」という部分があり、そこに「カスタマーサービスに連絡して」というリンクがあります。
米国Amazonでもここまでの流れは全く一緒でパスワードアシスタンスの下に「カスタマーサービス」へのリンクが張られています。
カスタマーサービスのページを開くと下のように「アカウント&ログインに関する問題」というページが表示されます。
そして、1の「お問い合わせの種類」で「自分のアカウントにログインすることができません」を選択します。
すると、パスワードの再設定、新規アカウントの作成、より安全なパスワードの設定方法に関するリンクが並んでおり、最後に「お客様の問題が解決しない場合は0120-999-373へお問い合わせ下さい」というフリーダイヤルが見つかります!しかもこの電話番号は24時間対応、固定電話、スマホのいずれからでも繋がるようです。
日本のAmazonで不正アクセスを受けた場合はこのフリーダイヤルに電話をすることで、直接説明を行うことができるはずです(私は米国Amaznで不正アクセスを受けたのでフリーダイヤルに電話はしていません。。。)。
で、米国の場合も選択肢は全く一緒で「I can not sing in to my account(自分のアカウントにログインすることができません)」という選択肢がありますので、これを選択します。
すると日本と同様にフリーダイヤル番号が表示されました!しかも、日本のAmazonはフリーダイヤルのみでメールでの問い合わせは受け付けていませんでしたが、米国Amazonはメールでの問い合わせも受け付けています。
メールで問い合わせ可能ということで非常に助かりました!なぜならば、英語で電話は非常に苦手、、、状況を説明してスムーズに話が進めば良いですが、「オマエは本当にアカウントの持ち主か?それを証明するための、この書類とあの書類を準備しろ」とか言われたら、結構話がややこしくなります。。。。英語で普段使ったこともない書類の話とかされたら、ごめん、また電話かける、と言って思わず切ってしまう自信があります!
メールでの問い合わせであれば、ややこしいことを言われても、調べれば何とか分かるので安心しました。
メールを選択すると下のようなフォームが出てきます。デフォルトでは自分のアカウントしか書くことができませんが下の矢印の「Write my own message.」を選択すると、自分で文章を書くことができます。
ここに、メールアドレスが不正に変更されたこと、昨日購入通知が来たが自分が購入したものではないことを簡単に書きました。
とりあえず、Amazon側に不正アクセスであったことを連絡できてかなり安心しました。
最悪、不正アクセスされた金額を請求されても幸い被害は2ドルで済みます。
コンタクトさえできればAmazonの対応は迅速
フォームからメールを送って、その日のうちに返信がありました。
内容をざっくり訳すと
というものでした。内容としてはこちらの要望をほぼ全て網羅しており、問題は解決されたようです。
また、私自身がこの後にすぐにしなければならない事も書かれていました。
Amazonに再びアクセスできるようになり、購入履歴も消えていた!
Amazonからのメールを受けてすぐにAmazonにアクセスをしました。
メールからの指示しにあったようにAmazonのサイトに行って、パスワードアシスタントに自分のメールアドレスを入れることで、パスワードのリセットを行います。
こうすることで、入力したメールアドレス宛にパスワードリセットのメールが届きます。メールの指示にしたがってパスワードを再設定します。
その際、以前使っていたパスワードとは異なるパスワードを設定するのはもちろん、より複雑なパスワードに変更をしました。
ログイン後に自分のサイトの情報を確認して、今回不正に購入された商品の購入履歴が消えていることも確認して無事問題解決となりました\(^o^)/
1つの疑問~なぜ2ドルの商品を購入したのか?目的は?
乗っ取りにあった当初、私が懸念したのは高額な商品の購入でした。特に最も恐れていたのは「Itunesカード」などの金券類を購入されることでした。
しかし、実際には2ドルという200円ちょっとの商品を購入されただけでした。
なぜこのようなことをしたのか?と考えた時、これは推測ですが、おそらくは私のアカウントで2ドルの決裁が通った後は、私のアカウントは第三者に転売されたのだろうと思います。
Torというソフトを使わなければアクセスできない、通称「闇Web」というものがあります。
この闇Webでは他人のAmazonアカウント等が売買されています。
第三者に私のアカウントを売るにあたって、より高値で販売するためには、乗っ取ったアカウントが「有効である証拠」が必要となります。そのために2ドルという極めて低額の商品を実際に購入してそれを証拠にしようとしたのではないかと思います。
もちろん、最初に私が気が付いているかどうかをチェックする意味で2ドルの商品を購入した可能性は十分にありますが、第三者への転売の方が可能性が高いのかな?と思います。
そうでなければ、一か八かでItunesカードを購入してしまうほうが合理的なように思うのです。米国AmazonではAmazon経由でItunesカードのコード番号を購入することができるため、商品を受け取る際に捕まるリスクや、そもそもアメリカ国内にいる必要さえなく、高額な金券を入手できます。
もしも私が気が付かなければ、私のアカウントは転売されてItunesコードを購入されるというようなことが起こったのではないかと推察します。
ちなみに、なんでそんなItunesカードに需要があるかというと、過去にNewsweekと対等合併して有名になった新興のニュースメディアThe Daily Besatに掲載されたレポートによれば、最近はいわゆるマネーロンダリングのためにItunesカードに需要があるようです。。。レポートはビットコインのマネーロンダリングですが、仕組みとしては同じと思います。
マネーロンダリングしたい人物が、売れないバンドを買収して何曲かの音楽の権利を購入し、権利を有する音楽をItunesストアで販売します。当然、売れないバンドの音楽はそのままでは全然売れません。。。そこで非合法な手段で入手したお金で闇Webを通じてItunesカードをたくさん購入します。このItunesカードでのItunesで「正規に販売されている」楽曲を購入するのです。
すると、いつのまにか非合法で銀行に預けることができなかったはずのお金が、あら不思議Appleから「綺麗なお金」となって銀行口座に振り込まれる、という仕組みのようです。
もう意味がわからない話ですね。。。眉唾の話ではありますが、そうしたマネーロンダリングも存在するようなので、Amazonなどで不正に取得したアカウントには強いニーズが存在することは事実のようです。なによりも、「実物」のやりとりが必要になる郵送が介在しないため、犯罪者が捕まるリスクは極めて少なくて済みます。
そういう意味で、Amazonなどのネットショッピングサイトのアカウントには強いニーズが存在することは想像に難くありません。
私のアカウントはなぜ乗っ取られたのか?→私が悪いorz
私のパスワード使い回し術!
なぜAmazonのアカウントが狙われたのかはなんとなくわかりました。しかし、なぜ私のアカウントは乗っ取られてしまったのでしょうか?
今回、私は「lukang801578@163.com」というメールアドレスに乗っ取りを行われてしまいました。
Amazonアカウントの乗っ取りは「163.com」という中国のポータルサイトで作成可能なフリーのメールアドレスによって行われました。
しかし、乗っ取りを行うには、私のメールアドレスとパスワードの両方を知る必要があります。メールアドレスについては半ばオープンになっているものなので知られても当然なのですが、パスワードはどのようにして乗っ取られたのでしょうか?
私が使っているパスワードは、決して簡単な者ではありません。
実際のパスワードとはことなりますが「dwle8sSo」のように記号は入っていませんが、アルファベットの大文字と小文字、さらに数字8文字のランダムなパスワードです。英単語や生年月日などは一切使っていませんでした。
しばしば「aaa1234」のようなパスワードを使って乗っ取られてしまうケースもありますが、今回はそうしたものではありません。
8文字のランダムな英数字で作られたパスワードを総当たりで乗っ取られるということも通常はあり得ません。総当たりで解析しようとすると1つのアカウント乗っ取りに数年以上はかかるので、非常に非効率的です。
では、私のアカウントはなぜ乗っ取られたのでしょうか??
はい。。。心当たりがあります。。。
パスワードの使い回し
です。私自身は、パスワードが総当たり攻撃や不正アクセスされないよう、先ほどの例のように複雑なパスワードを複数丸暗記しています。
しかし、パスワードを求めてくるサイトは無尽蔵にあるため、あるルールを使ってパスワードを使い回していました。
- 仮に盗まれても自分自身に実害がないサイトへの登録、信用の低いサイト
- 盗まれると個人情報などの流出等が懸念されるサイトへの登録
- 盗まれると勝手に買い物をされてしまい金銭被害が懸念されるサイトかつ信用が高いサイト
- 銀行など知られると財産を失うサイト
と言う風に、自分の中でそのサイトが乗っ取られた場合のリスクを踏まえて、4つに分類をしていました。
そして、それぞれにそれなりに複雑なパスワードを設定して、最後の銀行だけは終わりに、決まったパターンで文字を数文字足す形で運用していましたがそれ以外は原則使い回しをしていました。
1番目の仮に盗まれても実害がないサイトとしては、例えば会員登録が必要なサイトなどが挙げられます。基本的に求められる情報は、メールアドレスとパスワードくらいですので、万が一情報が流出しても実害はほぼありません。流出してしまうことを前提にしたサイトは1晩のパスワードを使っていました。
2番目は、企業が運営するサイトなどで勤務先の情報や電話番号などの入力を要するサイトです。またクレジットカード番号を登録しないで使えるショッピングサイトなどもこのパスワードを使っていました。
3番目は、今回流出してしまったパスワードですが、クレジットカード情報をサイトに登録して使用するタイプのショッピングサイトです。自分の勝手な判断で、信用できそうと思ったサイトのみに使っていました。例えば、Amazonや楽天、そのたネットショップサイトが対象となります。
4番目は、銀行、Googleアカウント、Dropboxなど、万が一流出してしまうと取り返しが付かないことになってしまうサイトです。こちらはパスワードを使い回しつつ、最後に2文字だけサイト毎の文字を足して運用していました。万が一流出があっても、直ちに他のサイトが乗っ取られることがないように配慮してのことでした。
で、上記のパスワード運用方法、聞いているだけでかなり危ない運用、と感じる方もいらっしゃると思います。
しかし、実際問題として、このようなパスワード運用をされている方も多いのが現実と思います。。。
使い回しが危険なことは十分に理解はしていた
私自身は今回の不正アクセスを機に、上記のような勝手な自己判断によるパスワードの使い回しを止めました。
ちなみに上記の使い回し歴は、、、かれこれ30年に及びます。もちろん、最初は1つのパスワードを使い回していたのを、徐々に使い回すパスワードを増やして、より安全な使い回しが行えるよう「工夫」を重ねてきました(゜_゜;)
私がもっともセキュリティ水準の低いパスワードに割り当てていたのは、私が小学生だったときにはじめて自分でもらったパソコン通信用のパスワードを少し改変しただけのものです。最初は所詮は小学生、中学生ですから、あまり深く考えず何かでパスワードが必要になったらそのパスワードを使い回していました。そこから、徐々に、このサイトはパスワードを使い回していたら万が一の時困るな、というサイトに出会うたびにパスワードの運用方針を見直してきました。
そんな私ですが、多分私自身は、それなりにセキュリティのことも理解していると思っているし、使い回しは絶対にしてはいけないということは頭では十分に理解していました。
でも、会員登録が必要なサイトは再現がなく出現して、その度に異なるパスワードを設定するというのはあまりにも非現実的、というのもやっぱり真実だと思います。
今回日常的に使用しているサービスやサイトのユーザー名とパスワードを全て変更しましたが、その数は雄に100は超えました。100個以上の異なるランダムな英数字と記号でできたパスワードとサイトの組み合わせを頭の中で管理するのはほぼ不可能です。
また、ノートにメモをして置くのも、万が一ノートを紛失してしまった場合のリスクを考えるとできません。
パソコンのメモ帳などを使ってパスワードを管理するという方法もなくはありませんが、数が多すぎるとあとで検索する際の手間がかかってやはりできませんでした。
結局、最後に落ち着いたのが4つのそれなりに複雑なパスワードを暗記して、使い回すというものだったのです(´д`)
でも、今回Amazonが実際に乗っ取られたということは、「私がこのサイトは信用できる」と思ったサイトのどこかからパスワードが流出した、という結論になります。
そもそも、信用できるサイトなど無い、と言う現状への認識が甘かった以外の何者でもありません…
パスワードが流出していないかをチェックできるサイト「Have I Been Pwned?」
海外のサービスですが、自分のパスワードが流出していないかをチェックできるサービスとして「Have I Been Pwned?」というサイトがあります。
使い方は至って簡単で、自分のメールアドレスをフォームに入れて右のボタンをクリックすると、過去に流出があった有名なサイトからのパスワード流出情報に自分のメールアドレスが登録されていないかをチェックしてくれます。
私が普段使っているメールアドレスを入力したところ、、、7箇所でユーザー名とパスワードの流出が確認されました。。。もうね。。。つかいまわしはしません(T_T)
流出が見つからなければ下のように緑色で「Good news」という表示が出ます。
ただ、あくまで海外サービスからの流出を確認するだけなので、国内の流出までは考慮されていない点には注意が必要です。ここでGood newsと表示されてもやはり流出している可能性はあります。
もうパスワードが乗っ取られないためにした2つのこと
2段階(要素)認証の導入
AmazonやGoogleなどでは、2段階認証というより安全なログイン方法が提供されています。
通常はユーザー名とパスワードさえ正しければ誰でもログインができてしまいます。
2段階認証では事前に携帯電話番号を登録しておくことで、ユーザー名とパスワードでログインしたあと、スマホにメッセージとして届いた数字(アプリで1分ごとに変わる数字も可)を入力しなければログインが完了しなくなります。
こうしておくことで、万が一ユーザー名とパスワードが第三者に知られてしまったとしても、手元に登録された電話番号のスマートフォンがなければログインができない状態にできます。
設定は簡単で、Amazonの場合、ログインとセキュリティの「高度なセキュリティ設定」から「2段階認証」を有効にすることで設定できます。
2段階認証を設定しておけば、ユーザー名とパスワード、そしてスマートフォンが盗まれてしまうような事態にならない限りはアカウントは乗っ取れなくなります。
パスワードは1Passwordで管理する
2段階認証が設定できたとしても、パスワードを使い回ししていれば意味がありません。
全てのサイトで2段階認証が設定できれば別ですが、実際にはこの2段階認証が設定できるサービスはかなり限られています。
例えば楽天では2段階認証は設定できません。。。
そのため、Amazonと楽天でパスワードを使い回していれば、Amazonのアカウントは大丈夫だったけど楽天は乗っ取られたということが起こります。
そうならないためにはやはりどうしてもパスワードの使い回しをしないようにしなければなりません。
今回、色々と考えた結果、私は1Passwordというサービスを利用することにしました。
このソフトは、1つの複雑なマスターパスワードで保護したソフト内に全てのサイトのユーザー名とパスワードを保存しておくものです。
月額3ドルという費用はかかるもののデータはクラウド上に格納されるため、バックアップを自分で取る必要がなくなります。
ただ、クラウド上に銀行の口座番号なども含むパスワードを保管することには懸念もありますが、1Passwordはどのようにしてパスワードを保管しているのか?ということを示す「Security Design」がオープンになっており、1Password自信は私達のパスワード等にはアクセスができない仕組みをとっており、設定したマスターパスワードが盗まれたとしてもSecurity Keyというもう一つのパスワードのようなものがなければ中身を確認できないようになっています。
英語のソフトですが、英語が分からなくても使い方に困ることはないように思います。また、「1Password 使い方」で検索すれば日本語で使い方を説明したサイトがたくさん見つかります。
デバイスも、Windows,mac, iPhone, Androidに対応しているのでデバイスを跨いでパスワードを管理することができます。
どうしても英語はちょっと、という場合は「Lastpass」というサービスが良いかと思います。
こちらは月額2ドルですが、サイトが日本語に対応しています。Lastpassもホワイトペーパーでどのようにパスワード管理しているのかを公表しています。
仕組みは1Passwordとほぼ一緒ですが1点だけ、1Passwordは万が一、マスターパスワードと暗号化されたデータが流出しても、Security Keyがなければ複合化できませんが、Lastpassの暗号化データはマスターキーのみによって暗号化されているため、マスターパスワードと暗号化データが流出した場合は全てのデータが流出してしまいます。
もちろん、こうしたデータを管理している企業ですのでセキュリティは相当程度厳重と思われますが、個人的には1Passwordの方が安全性が高いかな?と思います。
ということで、これまでにあまた登録してきたユーザー名とパスワードを全て1Passwordで自動生成した複雑かつ、サイト毎に異なるパスワードに変更しました。
こうしておけば万が一ユーザー名とパスワードが流出したとしても、その影響は流出元のみに限定することができます。
既にものを購入されてしまった後に気が付いたら
今回、私自身はアカウントに乗っ取られたことにすぐに気が付くことができました。
最後に、万が一、itunesカードなどが購入されてしまったあとになってから気が付いた場合の対応方法について書かせていただきます。
まずはAmazonに知らせる
最初にすべきは、Amazonに、不正アクセスである旨を知らせる必要があります。Amazonaはパスワードをリセットして、クレジットカード情報を削除するので、その時点以上に買い物をされてしまうことがなくなります。
不正アクセスで乗っ取ったアカウントで何か「物」を購入されてしまうことはまず無いと思います。物を購入すれば発送には時間がかかりますし、そもそも受け取りは実際に人間がしなければならないため逮捕される可能性が極めて高いためです。
不正アクセスによって購入される可能性が高いのは、Amazonギフト券、Itunesカードなどの金券類、そしてAdobe製品等高額なダウンロード商品類だと思います。これらは、購入をすれば即座にアカウントが入手できること、何よりも実際にメールだけで完結するため受け取りの際のリスクが小さいためです。
そのため、放っておくと時々刻々と商品が購入されてしまう可能性があるため、一刻も早くアカウントを停止にする必要があります。これができるのはAmazonだけとなります。
クレジットカード会社への連絡
次に、Amazonで購入された商品のお金は誰が責任を負うべきかは後にするとして、実際に商品の売買が成立してしまっている場合は実際に口座から引き落としが行われないようクレジットカード会社に連絡が必要です。
クレジットカードの種類によっては、不正アクセスによる購入を保証する保険が適用されるケースもあります。
また、アカウント乗っ取りではなくクレジットカードの情報自体がフィッシング詐欺で不正使用されてしまったケースであれば、多くのクレジットカードに含まれている盗難保険が適用される可能性があります。
警察に相談
これはケースバイケースで必須というものではありません。というか、たぶん相談しても解決には至らないと思います。
アカウントの乗っ取り行為は「不正アクセス禁止法」が適用されます。しかし、不正アクセスされたのは「自分」ではなく、サーバの管理者、Amazonのアカウントが乗っ取られた場合はAmazonが被害届を出すことになります。
Amazonがクレジットカード会社に請求を行っても、銭的被害にあったのは「クレジットカード会社」であって、自分自身ではないため盗難等の被害を受けたとも言えません。
Amazonからもクレジットカード会社からも損害が補償されず、支払を求められてはじめて被害者となります。
そのため、被害にあった直後では被害届等は出せる可能性は低く、まずは相談という形になりますが、後々話がこじれたときのために保険的に警察にも相談をしておくことを検討すると良いかと思います。
最後に・・・とりあえずパスワードの使い回しはやめておいた方が良い
自分はそんなことやっていないから大丈夫という方が多いのかもしれませんが、パスワードを使い回している方も多くいらっしゃると思います。。。
実際に被害に遭ってからでは手遅れとなることもあるので、どうかこれを機にパスワードの使い回しをやめることをお勧めします!
お客様のアカウントを復旧するために下記の内容を行いました。
今回受け取った購入通知は無視して下さい。クレジットカードに請求はされていません。
アカウントを復旧するためにはパスワードをリセットする必要があります。
(リセット方法の記載)
この後、お客様には下記を行っていただく必要があります。
以上で問題が解決できない場合は下記のカスタマーサービスにお電話ください。
米国またはカナダから: 1-866-216-1072
その他海外から: 1-206-266-2992
私達は、不正アクセスした人物がどのようにしてログイン情報を取得したかわかりません。悪意のあるソフトウェアが使用されているケースや、フィッシングメールによる取得が行われいてることがあります。