Amazonでは新しい環境などからログインした際には、SMSで「ワンタイムパスワード」が届くことがあります。
何もログインしてないのに、認証コード・ワンタイムパスワードが届く=PW流出となると、誰かが正しいID・PWでログインを試行したという意味ですので、身に覚えがない方にとっては、恐怖の通知です。
筆者の体験談としては、「想定外の原因かつPW流出はしていなかった。」という結果でした(当記事下部で解説)
ただし、本当にPWが漏洩している可能性もあるので、今一度ご確認頂きたいと思います。
Content
まず、この記事で解説している「ワンタイムパスワードが届く」というのが、Amazon公式からの正規のモノであるという仮定でお話しています。
フィッシング詐欺である場合には、メール内記載のリンクを辿って、ID/PWを入力した時点でアカウント情報が流出します。
さらに、パスワードの使いまわしをしている場合、Gmail/Facebook/Twitter/Instagram等、他のサービスも不正ログインされる可能性があります。(パスワードリスト型攻撃)
また、メール内リンクをクリックすることで、「カモリスト」に入り、さらなるフィッシングメールが届く可能性もあります。
メール内のリンクURLが「amazon.co.jp」であるかどうかを必ず確認してください。
認証コードが届く条件
この項目をお読みになる前に、必ず、上の項目「フィッシング詐欺」についてをお読みください。
Amazonから認証コードが届いた時点で下記が確定しています。
※くどいようですが、認証コードのSMSがAmazon正規のモノであるというのが大前提です。
・正しいIDとPWによるログイン試行が行われた。
誤っているIDとPWが入力された場合には、ログイン試行の段階で弾かれるので、ワンタイムパスワードや認証コードが送信されることはありません。
つまり、Amazonからワンタイムパスワードが届いた時点で、自分・家族・友人・第三者などの何者かが、正しいIDと正しいPWを使って、ログインを試行したことが確定します。
身に覚えがないなら、至急パスワード変更
この時点で、もし、ログイン試行の身に覚えがない場合、第三者にIDとパスワードが流出している可能性があります。
至急、パスワード変更を行ってください。
筆者の例がこちらに該当していました。
ちなみに、筆者は、
・パスワードはかなり強力なものを設定している。
・パスワードの使いまわしは一切していない。
・フィッシング詐欺には絶対に掛かっていない。
(めちゃくちゃ警戒している)
という状況なので、パスワード漏洩はかなり考えづらい状況です。
たまたま気づけたのですが、原因がこちら。
【原因】家計簿アプリ
筆者の事例では、家計簿アプリ「マネーフォワードME」が原因でした。
「マネーフォーワードME」のみならず、他の家計簿アプリ「Moneytree」「Zaim」等でAmazonからデータを取得している場合には、そちらをご確認頂ければと思います。
AmazonからのSMS認証コードが届いて、原因が解明せず、もやもやしている状況で、たまたま開いた「マネーフォワードME」。
口座一覧を見ているときに、Amazonのところが「追加の認証情報入力が必要です。」となっていました。
おそらく、マネーフォワード側のサーバー変更やアクセス元IP変更により、Amazon側が不審なログイン試行と判定し、SMS認証コードを送信してきた模様です。
過去を思い返してみると、1年に1回ぐらい、この現象が発生していた為、スッキリしました。
【FBI推奨】パスワード作成方法・管理術
Amazonのフィッシング詐欺メールは、私のYahoo!メール・Gmailには毎日届いています。
パスワードを使いまわしている場合、一度でもフィッシング詐欺に引っかかれば、甚大な被害を招きかねません。
そこで、ネットセキュリティを高めるためにも、今一度、パスワードについて考えてみてください。
以前、全3編でパスワードに関する記事を書きました。
その最終編である下記記事はお読み頂けると、「カード情報が流出してしまった…。」「不正ログインされて、全SNSが乗っ取られた…。」なんて可能性はかなり低くなります。
ぜひ、お読みください!
FBIが推奨するパスワード作成術(桁数・文字種)・管理方法
