最近(2023年9月に入ってから)、Amazonの不正利用が急増しているとのことです。結構話題になっているので、ご存知の方も多いでしょう。
知らないうちにログインされ、勝手にAmazonギフトカードなどを購入されてしまうというもので、2段階認証を設定していても、突破されてしまった事例もあるとのことです。
私自身は、正直、Amazonのセキュリティにはこれまであまり注意を払っていなかったので、これを機会にいくつか対策をしたので、具体的な内容を説明します。何かの参考になればと思います。
パスワードの強化
まず、セキュリティの基本中の基本ですが、パスワードをいわゆる「強固な」ものに変更しました。
これまでは、覚えやすく、入力しやすい、「弱い」パスワードでしたので。
今更ですが、利用しているサイトごとに、使いまわしでない専用の強力なパスワードを設定するというのが、万が一の被害を少なくする一番大事なこと、とは分かっていますが、一度決めたパスワードを変更するのは面倒なものです。
ですが、これだけ多くの人が被害を訴えていますし、そんなこと言ってられません。
具体的には、Edgeのパスワード自動生成機能を利用しました。(PCで作業しました)
スマホの場合は、Microsoft Authenticator というアプリを使えば、ブラウザでもAmazonのアプリでも同様のことができます。
これらで設定したパスワードは、Microsoftアカウントに保存され、EdgeでもAuthenticatorでも共通して利用できます。
今回はEdgeでの設定ですが、
設定メニュー → プロファイル → パスワード の項目に「強力なパスワードを推奨する」という項目があるので、これをオンにしておきます。
(なお、Microsoftアカウントにログインしていないとこの機能は利用できません。)
するとAmazonなどのサイトでパスワードを入力する際に「強力なパスワード」を自動で生成して提案してくれますので、これを入力します。
すでに設定しているパスワードを変更する今回の様な場合は、パスワードの変更画面で新たなパスワードを入力する際に提案された「強力なパスワード」を入力します。
パスワードの変更は、Amazonの「アカウントサービス」→「ログインとセキュリティ」 から行います。
入力したパスワードは、Edgeのパスワードの設定項目の中の「パスワードを自動で保存する」という項目がオンになっていれば、自動で保存してくれます。
再度ログインする際には、Edgeに保存されているパスワードが提示されるので、それを選択すればOKです。
Google Chromeなど他のブラウザにも同様の機能はありますし、パスワード管理用のアプリなども色々ありますが、今のところパスワード管理はできるだけMicrosoftに集約しようと考えています。(2023.10.28 これは方針変更です。)
もはやパスワードを手動で管理するのは限界です。
Microsoftから漏洩があったらどうするんだという不安もありますが、利便性とセキュリティの兼ね合いをどう考えるかということかと思います。
このあたりの事はまた別に記事にしたいと思います。
(2023.10.28)早速、Microsoftアカウントでパスワード管理をやってみました。こちらの記事をご覧ください。残念ながら、この方法は早くも断念です。
さらに言えば、パスワードを使わない、パスキーによるログインを利用するのが安全だし、今後はその方向に向かっていくのだと思います。
(2023.10.21)Amazonでもパスキーが使えるようになった、パスワードを使わずにログインできるようになった、ということで、早速使ってみましたが...。 こちらの記事をご覧ください。
二段階認証の設定
二段階認証を設定し、認証の方法をアプリにしました。
不正利用では、二段階認証まで突破されているとのことなので、設定したからと言って全く安心はできないのですが、やっておくにこしたことはありません。
Amazonで二段階認証の設定を行っておくと、ログインする際に、登録しているパスワードに加えて、さらにワンタイムパスワードを求められます。
ワンタイムパスワードで利用する方法は、最初の設定で、SMS(電話番号)又は認証アプリのどちらかを選択する形になります。
私は、パスワード管理とあわせて、認証アプリのMicrosoft Authenticator を利用することにしました。
Google Authenticator などでもいけるはずです。
(2023.10.28 Google Authenticatorも使えます。両方登録することもできます。使い勝手としては、Google Authenticatorの方が簡単でしょうか)
二段階認証の設定も、パスワードの変更と同じく、「アカウントサービス」→「ログインとセキュリティ」 から行います。案内に従って操作すれば、QRコードが表示されるので、Authenticatorアプリで読み取るか、スマホ単体で行う場合は、QRコードの下に表示されている英数字コードをコピーして、Authenticatorアプリの方に貼り付けます。
Authenticatorアプリの方の操作は、+ボタンをタップ、「他のアカウント(Google、Facebookなど)」のボタンをタップすればカメラが起動します。英数字コードを入力する場合は、画面下部の「OR ENTER CODE MANUALLY」をタップします。
設定が完了すれば、ログインする際に、決められた時間内に、Authenticatorに表示されたワンタイムパスワードをAmazonのログイン画面で入力するという流れになります。
毎回ワンタイムパスワードを入力するのは面倒という場合、自分のPCだけは例外にするというように、特定のデバイス(端末やPCなど)についてのみ、ワンタイムパスワードの入力を省略するというような設定も可能です。
クレジットカード登録の削除
仮に第三者に不正にAmazonにログインさたとしても、好き勝手に買い物されないように、クレジットカードの登録を削除しました。
Amazonをよく利用する場合には面倒かも知れませんが、必要な場合に都度カード情報を入力するようにして、あまり残高の残っていないバニラVisaカード以外、登録していたカード情報はすべて削除しました。
「アカウントサービス」の「支払方法」から設定しますが、クレカ以外の支払方法、例えばPayPayを支払方法に登録していて多くの残高を残している場合などもご注意ください。
Amazonギフトカードの残高については、対処のしようがありませんので、あまり沢山貯め込まない、できるだけ早めに使っておくくらいでしょうか。
注文履歴等の確認
これは不正利用されていないかどうかの確認ということになりますが、注文履歴で覚えのない注文がないか確認するようにしましょう。
注意が必要なのは、購入した商品ごとに履歴に表示させない設定ができる、ということです。悪意のある第三者によって不正にログイン、商品購入されてもそれが履歴に表示されないことがある、ということです。
もっとも、これは、確認・解除が可能です。
ただし、ウェブ版(PC用のAmazonサイト)でのみ操作可能ですので、PCから操作するのが簡単です。スマホの場合はブラウザでPC用のサイトを開きましょう。
注文履歴の過去「3か月」等のドロップボックスの中に「非表示にした注文」というのがありますので、ここをクリック(タップ)することで確認することができ、各商品ごとに解除することもできます。
常に確認する必要はありませんが、何か気になった時、例えばAmazonから何か気になるメールがあったときなど、普通にログインできたとしても、何か勝手に買い物をされていないか確認しましょう。
その場合、異常がなくとも念のため、パスワードも変更しておく方が無難でしょう。
今回のケースは相当巧妙なようですので、何もなくとも時々確認をした方がよいかもしれません。
もちろん、何かメールがあったときでも、そこのリンクからAmazonのサイトに飛ぶのではなく、ブラウザで検索して飛ぶなり、アプリで開くようにしましょう。
フィッシング詐欺に遭わないための基本中の基本。本物のAmazonからのメールに間違いないと思っても、そのような習慣をつけましょう。
メールの内容が本物かどうか確かめたい場合は、Amazonの場合、アカウントサービスの「メッセージセンター」にAmazonが送付したメッセージがありますので、ここを確認しましょう。
また、クレジットカードの利用履歴も確認する習慣をつけましょう。最近はクレカの利用の都度、メールで知らせてくれることも多いですが、利用先やクレカ会社によっては漏れなくというわけでもなさそうですし。
そして、もしも、不正利用の疑いなどがあれば、Amazonのカスタマーサービスにすぐに連絡しましょう。
最後に
随分前のネットの記事になりますが、「AmazonやPayPalの『2段階認証』を突破するための音声ボットが地下で販売されている」という話や、最近では「Amazonをはじめとする大手サイトのHTMLソースコードに平文でパスワードが保存されている」という記事などもありました。
このところのAmazonの不正利用の急増がどのような原因によるものか、どうやって二段階認証まで突破したのか分かりませんが、一般的に不正ログインの原因として多いと言われているのが、簡単なパスワード、パスワードの使いまわし、フィッシング詐欺 などです。
セキュリティに万全ということはありません。便利なようで面倒な世の中ですが、「ECサイトは使わない」「すべて現金決済」などのように後戻りするのは現実的ではありません。出来る限りの対応をして注意していくしかないのでしょう。
コメント