セキュリティ

Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明

By Zlatko Unger

ウェブサービスに登録したアカウントを守るために、自動生成パスワードや2段階認証を使うといった方法を用いることが多いものですが、時には思いもよらぬところが抜け穴になってしまうこともあるようです。Amazonのサービスを利用していた「Eric」というユーザーは、自身のアカウント情報がAmazonの問い合わせ窓口であるカスタマーサービスを経由して流出していたことを突き止め、どれだけログイン情報のセキュリティを高めても、効果がない場合もあることを明らかにしています。

Amazon’s customer service backdoor — Hacker Daily — Medium
https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4

ソフトウェアエンジニアのEricさんは、AmazonのオンラインショッピングだけでなくAmazon Web Services(AWS)のヘビーユーザーで、「Amazonはセキュリティに信頼を置ける数少ない企業だった」と語り、同社のセキュリティに関して何の不満も抱いていませんでしたが、ある出来事をきっかけにその信頼を失ってしまったそうです。

ある日、AmazonからEricさんのもとに「弊社のカスタマーサービスのご利用ありがとうございました」という身に覚えのないメールが届きました。EricさんはAmazonのメール送信ミスか、かなり前に行ったサポートセンタとのやり取りに関するメールが遅れて送信されたものと考え、最初はあまり気にしていなかったとのこと。しかし、何に関するメールなのか気になったEricさんがカスタマーサービスに連絡をとったところ、「Ericさんのアカウントから、チャット型サポートサービスで商品の発送に関する問い合わせをしていた」という事実が判明します。


何のことかよくわからなかったEricさんはAmazonにチャットのコピーを送ってほしいと要求。実際に送られてきた会話の内容が、以下のスクリーンショットで公開されています。


Ericさんの名前をかたるユーザーが「最後に購入した荷物が配送されたか知りたい」と尋ねると、サポートセンターの担当者は連絡をとってきた人物がEricさんかどうかを確かめるため「アカウント名」「メール」「請求書先住所」を質問。会話記録を見ると、ユーザーが回答した上で担当者が問題ないと判断したことがわかります。しかし、Ericさんによると、ユーザーが答えた住所は、エリックさんが以前にWHOISのデータベースのドメイン登録で複数回使用したホテルの住所であり、本当の住所ではありません。ただし、エリックさんが使用したホテルの住所は、Amazonに登録されている請求書先住所と同じ郵便番号のエリアにあり、ホテルの住所と請求書先住所のIPアドレスが一致するはずとのこと。

チャットでは、Ericさんを名乗るユーザーが「オーダー番号はわからない。最後に購入したアイテムについてです」と聞くと、「この商品のことですか?」と担当者が回答しています。担当者は「商品の現在地は○○○で、予定通りの住所に到着します」と答え、ユーザーは「配送先住所はどこになっていますか?」と質問し、その質問に対して担当者がEricさんの「配送先住所と電話番号」を教えてしまっています。その後に、ユーザーはEricさんのアカウントに残っているギフトカードの残額を確認してからチャットを終了。


このチャットから、Ericさんを名乗るユーザーがWHOISのクエリから得たEricさんに関する虚偽の情報を使い、Ericさんの本当の住所および電話番号を入手したことがわかります。EricさんはすぐさまAmazonに連絡をとり、自分のアカウントが危険にさらされていることを伝えたところ、Amazonから「同氏のアカウントにセキュリティ上の危険があることを理解し、専門家から連絡させる」旨の連絡があったとのこと。Ericさんは用心してアカウントに登録されているクレジットカード情報と住所を変更しました。

Ericさんが安心していたのもつかの間、前回の一件から約2カ月後に、またしてもAmazonから「このたびはカスタマーサービスのご利用ありがとうございます」というメールが届きました。すぐにAmazonに確認したところ、またしてもEricさんを名乗るユーザーがサポートセンターにチャットで連絡をとっていたことが判明。


チャットの記録によれば、Ericさんを名乗るユーザーは、前回のチャットで不正に入手した「請求書先住所」を使用し、サポート担当者はまたしても誤ってEricさん本人であると判断してしまっています。


会話は続き、前回とほぼ同じく最後に注文した商品の位置をたずね「配送先住所と電話番号(黒塗り部)」をユーザーは入手。


さらにユーザーは「注文時に使用したクレジットカードの最後の4桁を教えてください」と要求。これに対して担当者は「クレジットカードの番号についてはお答えすることができません。もし最後の4桁をお教えいただけたら、注文時のクレジットカードの番号と一致するかどうかお答えできます」と回答しました。


しかし、ユーザーは「クレジットカードは職場のものなので、今はありません。上司に購入情報についてレポートする必要があるので、教えてくれると非常に助かります」と話して諦める姿勢を見せません。担当者は何とか助けようと「アカウントに今アクセスできますか?」と聞きますが、ユーザーは「できません」と答えています。


その後、会話はユーザー「最後の4桁が無理なら2桁だけでも教えて欲しい」、担当者「できません」、ユーザー「ではカードの有効期限を教えてください。それがわかるとどのカードか確認できます」、担当者「できません。今クレジットカードを持っていますか?」、ユーザー「持っていません。後でログインして確かめます」、担当者「確認が必要であれば、今すぐログインできます」、ユーザー「いえ、結構です」と続き、チャットは終了しました。


住所と電話番号が流出してしまったのは残念ですが、クレジットカード情報が漏れなかったのは不幸中の幸い。しかしながら、またしても個人情報がサポートセンター経由で盗まれたため、Ericさんは「名前と住所だけで自分を名乗るユーザーに一切の情報を教えるな」とAmazonに連絡をとり、同社から「今後はこのようなことが一切起こらないことを約束します」という回答を得たそうです。

EricさんはAmazonをもう信用できないと思い、アカウントから住所を削除。これで安心な日々を送っていたそうですが、またしてもカスタマーサービスからEricさんがサポートセンターに連絡した旨を伝えるメールが届いてしまいます。今回はチャットではなく電話での問い合わせだったとのことで、会話の記録を入手することはできず。Ericさんは再びAmazonに抗議の連絡をするつもりとのことですが、「Amazonに三度も裏切られ、ユーザーとしてやれるべきことは全てやったのに無駄でした。今はAmazonのアカウントを削除している最中です」と話しています。

・関連記事
Amazonで買い物した合計金額を調べる方法を試して知る衝撃の事実 - GIGAZINE

LINEを2台のiPhoneで同時に使う方法まとめ - GIGAZINE

AppleのiOSにはユーザー監視用のバックドアが秘密裏に設けられていたことが判明 - GIGAZINE

Amazonの批判と称賛が入り乱れる職場環境とは? - GIGAZINE

スマートフォンから個人情報が流出してしまう4つの経路とは? - GIGAZINE

in ネットサービス,   セキュリティ, Posted by darkhorse_log