つい先日さ、帰宅直前の出先でAmazonにサインインしようとしたわけよ。
そしたらなぜか、「問題が発生しました。パスワードが正しくありません」とか言われるわけ。
もうね、普通にChromeブラウザに保存されてるパスワードでログイン試行してるわけよ。
ってことは間違ってるわけがないよね。いまいちスッキリしないこの謎の現象が発生したので、ちょっとメモ。
そしてほぼ同時にAmazonからメールが
タイトルは「1回限りの Amazon アカウント仮パスワード」ってやつ。
一部メールの文面を引用すると、
お客様のAmazonアカウントへ、端末またはアプリから登録が試みられました。
セキュリティ上の理由により、端末またはアプリの登録を一度解除した後で、再度登録しようとするとエラーメッセージが表示されます。お手数ですが以下の仮パスワードを使用して登録を行ってください。
って感じ。まぁ一体何が起きたんです?状態だよね普通。
ここでめんどくさいことが起きてそうだなー、と思って帰ってから調べるか―なんて思って放置したわけw
そしてふとさっき閉じたブラウザをまた開いたら、Amazonページの再読み込みがかかって、なぜか無事ログインした状態になってるというw さらに深まる謎、、
フィッシング&スパムメール説?
ログイン失敗したタイミングで、スパム爆撃してくるとかどんなエスパーだよ?ってことでまずこれはない。
※そもそもAmazonのアカウントサービス内で、メッセージセンターを確認すれば正規のメールなのか一目瞭然。(ログインできなきゃ見れんけど)
一応ここでメールの差出人とかも確認しておこうか。Fromは「account-update@amazon.co.jp」になってる。
んで、公式ページのヘルプによれば、これは間違いなくAmazonのアドレス。
Amazon.co.jp からの連絡とフィッシングの見分け方について
ただFrom偽装なんて出来るわけで、念のためメールヘッダーも確認。
私のWebメーラーで受信するまでに3つの経路を経ているのが分かったわけだけど、時系列で一番最初の「Received: from」は「a25-5.smtp-out.us-west-2.amazonses.com (54.240.25.5)」
うん、普通にAmazonのSMTPサーバっぽいね。一応IPをWhoisすれば明らかにAmazon所有ってことが分かる。(なおサーバのドメインネーム前方の数字は人によって違う)
ってことでフィッシング説は否定。ってことはまじでAmazonからなわけだが、、
不正アクセス説?
自宅内で問題無くログイン状態で、その後出先でログイン試行するまで5~6時間程度。
この間に不正アクセスがまじで起きたと?かなりタイミング良すぎない?
ただ少なくとも確認する限り、パスワードは今まで通りのものでログインもできるし、何かアカウント情報が書き替えられた感じはない。
さらにAmazonの閲覧履歴や購入履歴を見てみても、特に第三者がアカウントを使用した形跡がない。
当然パスワードも誕生日~とかいうアホなことはせずに、かなり複雑にしてあるわけだが。さて、ここから導き出される結論は、、
普段と違う環境で重複ログインしたから説
普段と違うことをしたとすればこれしかない(断言w) ※注意:あくまで私見です
っていうか日常的にはAmazonにログインするなんて基本はPCで、仮にスマホでログインするとしても自宅のWi-Fi経由なわけよ。
それが今回の場合、当然IPも違えばデバイスも普段とは違うわけで、だとするとAmazonさん的には「全く別の誰か」に見えんこともない。
さらにPCの方は「ログインしたままにする」状態で使っているので、ログインセッションは切れてないわけよ。
そこに「誰だか分からん」未知の端末がきて、複数ログイン状態にしようとしたと。
(とはいえ、だとするならパスワード間違ってる風なメッセージはどうなんだ?という疑問があるわけで)
まーなにも被害にあっていないんだけど、なんだか釈然としないよなぁ、、
そこで高度なセキュリティ設定
今まで設定してなかったんかーいwってツッコミどころなんだけど、パスワードが結構強固になってるっていう過信があったからなこそなわけよ。
でも万が一の可能性もあるし、このままだと微妙に気持ち悪いので、まずはパスワードは刷新。
そしてアカウントサービスのログインとセキュリティから、高度なセキュリティ設定を。いわゆる2段階認証ってやつだね。
第一手段としては簡易なSMSによるテキストメッセージ認証を選択。
そしてバックアップ手段としては、認証アプリを選択。これはGoogleだったりAuthyのアプリをを利用しようね。個人的には複数端末でクラウド同期できるAuthyがおすすめ。
この際、PCから設定すればその端末を「コードが要求されない端末」として登録することが出来るので、普段使いではそれほど支障なくなるよ。
まとめ
まぁ謎が完全解明してないわけだけど、とりあえずどこでパスワードが流出するかなんて分からない時代なので、ネット上のセキュリティ運用は出来るだけきちんとしておいた方が安心だよねって話。
さすがに二段階認証までもが突破されたとしたら、もう何も信じられないww
ちなみにもし私のようにログイン弾かれた後に自動的に(勝手に)ログインできない場合は、
いったんログアウトして一呼吸おいてから、再度ログイン試行してみるといいかもしれないね。
※メール記載の仮パスワードは「10分間の使用期限」ってなってるので一応。