毎年恒例のブラックフライデーセールは避けることができない。その期間は年々長くなっているように見える。同様にアマゾンは、イベントの主役であり、サイバー犯罪者の標的としても筆頭であるという現実からも逃れられない。2025年に推定3億1000万人のアクティブユーザーを抱えるアマゾンは、詐欺師やハッカー、その他の高度に標的化されたサイバー犯罪にとって、常に格好の獲物だ。
そして今、オンライン小売の巨人である同社が、攻撃者がうごめく中で、すべての顧客が真剣に受け止めるべき厳しい警告を発した。以下に、知っておくべきことと取るべき行動を示す。
アマゾンがユーザーに攻撃警告──知っておくべきこと
アマゾンは、筆者のもとに警告メールを送ってきた。これは3億人の全ユーザーが留意し、なりすまし詐欺師に警戒すべき内容である。アマゾンは11月24日のメールで、こうしたサイバー犯罪者がユーザーに接触し「個人情報や金融情報、あるいはアマゾンのアカウント詳細といった秘密情報へのアクセス」を得ようとしていると述べた。
もちろん、この種の攻撃は珍しくも新しくもないが、手口は進化している。アマゾンからのこの種の警告は、この時期に特に警戒を強めるべきだという、タイムリーな注意喚起となる。
アマゾンのメールは、次のような攻撃について警告している。
・偽の配送通知や、アカウントの問題を装うメッセージ
・SNSを含む第三者の広告で、驚くような「お得な価格」をうたうもの
・非公式なチャネルを通じ、アカウント情報や支払い情報の提供を求めるメッセージ
・同様に、見覚えのないリンク経由で届くもの
・望んでもいないテクニカルサポート(サポート詐欺)の電話
アマゾンの季節的攻撃警告は時宜にかなっており必要
米国時間11月25日に公開されたFortiGuard Labs(フォーティガード・ラボ)の新しいレポートは、アマゾンがハッキング攻撃の警告メールを送るのが正しい判断であることを裏づけた。ホリデーシーズン前の攻撃意図を示す明確な兆候としてドメイン登録増加の動きを挙げ、フォーティガード・ラボは「過去3か月で、Christmas、Black Friday、Flash Saleといった用語を含むホリデー関連のドメインを1万8000件以上特定し、そのうち少なくとも750件が悪性であることを確認した」と報告した。
同レポートはまた、大手小売ブランドを模倣したドメイン登録が増加していることも明らかにした。観測された件数は1万9000件超で、そのうち2900件が悪性であることが確認されたという。「多くは家庭になじみのある有名ブランド名をまねており」、たとえばアマゾンでみられるように、「買い物客が急いでいると見落としやすい、わずかな綴り違い」を利用していると研究者らは述べた。
「今年は、さらに高度化した詐欺が必ず増える」とKeeper Securityのサイバーセキュリティ・エバンジェリストであるアン・カトラーは述べ、「その主因は人工知能(AI)であり、もっともらしい注文確認の偽造、偽の小売サイト、さらにはログイン情報や支払い情報の窃取を狙ったAI生成のカスタマーサービス・メッセージに至るまで、あらゆる形で現れる」としている。
これらの攻撃から身を守るためのアマゾンの助言
アマゾンは顧客に対し、年末商戦期に限らず通年で、進行中の攻撃から身を守るために次の点を勧めている。
・カスタマーサービス、アカウント変更、配送追跡、返金の手続きは、アマゾンの公式モバイルアプリまたは公式ウェブサイトのみを使うこと
・オンラインアカウントには、可能なものはすべて二要素認証(2FA)を設定し、不正ログインを防ぐこと
・パスキーを利用すること。パスワードより安全で、端末の顔認証・指紋・PINといった既存の手段でサインインできる
・アマゾンが電話で支払いを求めたり、支払い情報の提供を求めたりすることは決してない。また、アカウント資格情報の確認を求めるメールを送ることもない
各自、警戒を怠らないことだ。フィッシング攻撃に関するアマゾンの追加の助言は、同社の案内ページで確認できる。
