アマゾンアカウントを乗ったられた件 2017.5.26
2017年 05月 26日
【警報】コレは始まりにすぎない。Amazonの出店者のアカウント乗っとりは他人事ではなく、次はあなたかも。
実は私、一か月ほど前にニュースで話題になっていた「Amazonマーケットプレイス乗っ取り事件」の被害者になって、このブログの「Iさん」とは私のこと。永江さんのブログに画像を提供したのも私で、何と私はアマゾンから「約250万円」の請求がきていたのです。
まず不正業者がアカウントを乗っ取り、マーケットプレイスで4万点ほど自動的に出品。価格の安さからか、すぐに1,000件ほど注文がはいり、数時間後にアマゾンが異変を感じて自動的にアカウント凍結。もちろん商品はないのですが、注文が入ると支払いが発生し、それらは当然、返金される。購入者からの支払いは不正業者に、返金の負担はアマゾンが肩代わりして、私に請求って流れです。
もちろん不正によって発生した費用を私が払う必要はなく、アマゾンのカスタマーセンターからも「すべて放置してください」と言われていました。この件についてはいろいろ不審なところがありまして、4月25日に乗っ取り、出品、1,000件の注文となったのですが、翌日の26日には業者への支払いが発生しているのです。通常、注文を受けてから2週間後の支払いとなるし、銀行口座を変更してから3日後に有効になるところ、いずれも作動せず。
アマゾンのプログラム上で「2週間後の支払い、口座変更3日後の有効」なるルールがあったのに、いずれも破られている。アカウントの乗っ取りはそんなに難しいことじゃなく、2段階認証をしていなければ「メールアドレス+パスワード」で簡単に入れます。もちろん今はほとんどすべてのアカウントに2段階認証をしました。これを読んでる人で「2段階認証って何?」とか思った人はかなりヤバいのですぐにやってください。
アカウント乗っ取り自体はそのように難しいことじゃないのですが、アマゾンのシステムが変わるってのは、ハッカーの仕業かもしれません。そうであるなら、アマゾンのシステムはめちゃくちゃ脆弱。それに対してグーグルは強いらしい。生活のほとんどをグーグルに紐づけている人は少なくないと思いますが、それはじつはめちゃくちゃ危険でありながら、だからこそグーグルはセキュリティの強化に力を入れているのでしょうか。ただ、それも絶対に信頼できることじゃないので、「アドレス+パスワードの使い回しを止める」のと「2段階認証」は絶対にやっておきましょう。
ともあれ、そんな大変なことがロンドンにいる間に発生し、帰国後、対応に追われます。結果的には被害としては「時間ロス」くらいで、費用的な実害があったわけではありません。カスタマーセンターへの電話もすべてアマゾン持ちですし。
実際、カスタマーセンターには何度か電話したのですが、そこはあくまで窓口に過ぎず、肝心なことがわかりません。「担当部署に報告の上、対応します」の一点張りで、担当部署につなげと言っても、それはできないと。面白かったのが、そのカスタマーセンターの対応。普通は淡々と事務的に処理するところですが、ある担当はついにこう言いました。
「もう、マスコミにでもなんでも言ってください!社会的な問題にでもしないとアマゾンは変わらない!」
一瞬、耳を疑いましたが、これがアマゾンの実情なんしょう。ブラック企業と言われて久しいですが、末端社員は相当疲弊しているようです。カスタマーセンターは同じようなカスタマーからの苦情を何度も受け付ける。それを担当部署に報告するのですが、おそらくその人たちはもっと過酷で徹夜で対応に追われていると思われ。
アマゾンは次々と革新的なことを仕掛けていますが、システムの脆弱さや、末端社員の奴隷扱いなど、見えないところに問題がたくさんあるのだろう。見た目は立派な豪邸でも、土台を見ると白アリだらけ、みたいな。
今回はやっかいな事件に巻き込まれはしましたが、いろいろ学ぶところもあったし、結果的にはおいしい経験となりました。ちなみにこの件では読売新聞に報告し、簡単な取材を受けたので、どっかで記事になるかもしれないし、もう解決したものと、流れるかもしれない。永江さんのブログを紹介したので、動きがあったら何らかの反応があるでしょう。まだいろいろわからないことはあるのですが、少なくとも私の方は「解決」したので、この件はもう終了。だから書きました。
あっさり書いていますが、それでも実際はいろんなやり取りがあり、かなり面倒な時期もあったのですが、すべては経験と学習。ちなみに私はマーケットプレイスでの出品は、過去に14件、不要な本を出した程度で、それも2013年を最後にやっていません。昔ちょっと出品して放置された、2段階認証をしていない個人の出品アカウントが狙われた感じですね。アマゾンで2段階認証自体が始まったのが今年になってからのようですし、今後もセキュリティはしっかり管理したいものです。ありがとうございました。
---
プロフィール・実績/メルマガ/FACEBOOK/TWITTER/OFFICIAL/お問合せ
アカウント名は「@gix0298a」