Amazon不正アクセス被害！まさか自分が…とならないために今できること

突然届いた購入メール

5月某日。自宅でメールのチェックをしていたとき、わたしは異変に気付きました。

「Amazon.co.jpでのご注文」

見慣れたタイトルのメールでしたが、内容には全く心当たりがないものでした。ネットショッピング自体はよく使っていて、Amazonで注文をすると内容がメールでも送られてくる設定になっていることはわかっていました。しかし、この日はショッピングをした記憶がありません。

さっそく確認しようとスマホでアプリを開くと、確かに通知のあった商品が購入履歴に表示されていました。

「家族が購入した？」と一瞬思いましたが、アカウントのパスワードは共有していないし、なにより購入された商品が明らかにわが家には不要なもの。

「絶対おかしい！」そう思ったわたしは、履歴からその注文をキャンセルしたのです。

繰り返される購入

「なんだったんだろう？」不安に思ったわたしがキャンセル確定のメールを確認したあとまたアプリに戻ると、なんとカートにはまた新しい商品が！先ほどまではなにも入っていなかったはずなのに…。

「もしかして、誰かが他の端末から操作している？」そう思ったわたしはまずカートの商品を削除。しかし、どうするべきかと悩んでいる数分のうちにまた次の注文メールが届くので、とりあえずすぐキャンセル…と同じ作業を繰り返していました。

「このままじゃキリがない！一体どうすれば…？」相手とのイタチごっこに限界を感じたわたしは、一度冷静になって本当にやるべきことを考えることにしました。

不正アクセスされたときにまずやることとは

このときの状況を整理すると、本人と同じアカウントを使って「別の端末から」「いままさに操作している最中」の誰かがいる！ということ。それならば、まずやるべきことは【パスワードの変更】そして【ログアウト】です！

相手に解読されてしまったパスワードを変え、一度サイトからログアウトします。そうすると、相手も同時にサイトから弾き出され、再度ログインしようとしても新しいパスワードがわからずにもう操作ができないようになる、ということ。実際わたしもこの操作をして、ようやく注文メールが止みました。

変更したパスワードを使って再度ログインし、購入履歴を確認すると見覚えのない商品の履歴はなくなっていたのでひと安心！ログインごとにメッセージやメールでワンタイムパスワードを発行してくれる【二段階認証】にも登録し、自分でやれることはひとまず全てやり終えました。

が、まだ不安は払拭できなかったのですぐにAmazonカスタマーセンターへ不正アクセスされた旨を連絡。電話のほかにチャットでは24時間対応してくれるので、緊急のときにコールセンターが時間外でもこちらも利用してみるといいと思います。

カスタマーセンターからは、担当部署で調査と対応をするので数日アカウントを停止することを伝えられ、連絡を待つことになりました。たまたま不正アクセスの最中に気がついたから請求が確定される前に全部キャンセルできてよかった〜！！はずだったのですが…。

まさかの発送通知メール!?

不正アクセスを発見した翌日、なぜかまたAmazon.co.jpからメールが！！！今度はなんだ!? と思って開いてみると…

「ご注文の商品を発送いたしました」

わたしの頭に「？」が浮かびます。注文はすべてキャンセルしたはずなのに、身に覚えのない商品の発送通知が届いたのです。驚いてもう一度スマホのアプリから購入履歴を確認してもやはり履歴には不審なものはなにも書かれていません。わけがわからないので、念のため昨日のメールを全て見返してみました。

すると、「注文確定」のメールと「キャンセル確定」のメールの数が合っていない…！！！つまり勝手に注文されてキャンセルしていない商品がまだあったということ。ですが、先ほども書いたように、アプリの購入履歴にはなにも表示がありません。

どういうこと？！！！！

唖然！スマホユーザーの盲点をついた巧妙な手口とは

これはもうお手上げ。ということで藁にもすがる思いでネットを検索しました。すると、驚きの事実が判明！

「Amazonのパソコン用サイトから操作すれば、購入履歴を非表示にすることができる」

なんと、パソコンなどを共有していて他人に見られたくない購入履歴は非表示にすることができる機能があったのです。これはパソコンでしか操作できないため、スマホ用のサイトやアプリからではその機能の存在すらわかりません。相手はこうして証拠を消し不正アクセスに気付きにくくさせていたのです。

初めは注文確定直後にアプリを開いたため、購入履歴からも確認することができたのですが、パスワードの変更などに手間取っている間に偽造をされてしまい、まんまと不正な注文を見逃してしまったというわけです…。

被害金額3万円！うっかり見過ごす可能性も

結果的にわたしは4点の商品、合計3万円程度を不正に購入されました。決済方法は、サイトに登録してあったクレジットカードとキャリア決済の2種類です。もちろん商品など届くわけもなく、お金だけが奪い取られたというわけです。

後日、Amazonの担当者から「キャリア決済にて不正購入された金額分はAmazonギフト券で補填」「クレジット決済についてはカード会社に直接連絡を」という案内を受けました。

カード会社の方からは、カード番号を盗まれた可能性もあるので「カード番号の変更」を案内され、数日で新しいカードと差し替えてもらいました。（Amazonのサイト内ではカード番号の一部は暗号化されていて、全ては表示されない仕組みになってはいますが、念のための対応です）

あとになって思いましたが、もし注文確認メールが届いていなかったら私は架空の商品にお金を支払ってしまったことに全く気付かなかったかもしれません。

3万円という微妙な金額に加えて、いまはクレジットカードの明細もペーパーレスでなかなか細かい内容にまで目を通す機会って減っていませんか？まさにそんな現代のキャッシュレス文化を逆手に取った、陰湿かつ巧妙な手口だと思いました。

続く不安。さらなる予防策

一応の解決はしたこの騒動ですが、日に日に不安が増していくので「Amazonのサイトに登録してあった決済方法を全て削除」「キャリアのサイトへログインするためのパスワードなども変更」という対応を追加でしました。

わたしの場合、アカウントを作ったのが相当前のことだったので、パスワードの文字数が少なくかつ単純な組み合わせだったことと、二段階認証を設定していなかったことが不正アクセスを許してしまった大きな要因だったかなと反省しています。

カード番号とは違い、届け先として登録してあった住所と氏名は丸見えだったはずなので、またさらに別の被害に巻き込まれやしないかという不安も未だ拭えません。

安心と安全は自ら作るべし！

スマホやキャッシュレスなどが身近になりすぎてすっかり気が緩んでいたところにこうした被害を受けて、改めて自分の個人情報は財産であり、自分自身でしっかり守らなきゃいけないものなのだと痛感しました。

「まさか自分が！」と思ったときにはもう遅いです。みなさんも、パスワードの使い回しなどは避け、二段階認証などのセキュリティ対策は必ずするように心がけてください！