前田知洋の“マジックとスペックのある人生” 第203回

Amazonの二要素認証が突破される？ 新手の詐欺が発生中

当たり前になりつつある二要素認証

　人によってはほぼ毎日受け取っているかもしれない、ショッピングサイトを騙る詐欺メール。ASCII.jpの記事や、このコラムなどを読んでくださっている読者なら、フィッシングサイトのリンクを踏むことはそうそうないだろうと思います。

　また、それほどセキュリティへの知識がない方でも、「二要素認証」を設定している人も多いでしょう。パスワード＋SMSで送られてくるコード、パスワード＋指紋認証など、異なる認証要素の2つを組み合わせる認証方法です。

　二要素認証における“認証要素”は、大きく分けて3つあります。IDやパスワード、秘密の質問などの「知識要素」。スマートフォンを使ったSMS認証やアプリ認証など、その人が所有しているものに付随する情報の「所有要素」。顔認識や指紋、虹彩（目の膜）など、身体的な情報の「生体要素」です。

　対して、IDとパスワード、さらに秘密の質問を入力するといった認証は、どちらも知識要素によるもの。この場合は二要素認証ではなく、「二段階認証」と呼ばれます。もっとも、最近では二要素認証も“二段階認証”と呼ぶことが多いですね。

　しかし、最近、IDとパスワードだけでなく、携帯電話などの別端末に送られてくるコードを利用した二要素認証さえも突破する詐欺が報告されています。

　Amazonのアカウントが被害にあっているというその手口は、商品を住所に届けさせる詐欺とは違うようです。主な被害は、番号さえ手に入れば換金できるメール送信のギフトカードの大量購入。さらに、3〜5万円ほどの被害で、ショッピングサイトをよく利用するユーザーには気がつきにくいかもしれない被害額なのも特徴です。

　この詐欺の巧妙さは、それだけではありません。

購入リストを非表示にして発覚を遅らせている

　この手口が巧妙なのは、ギフトカードを購入した注文履歴を非表示にして、ユーザーの発見、事件の発覚を遅らせているところ。「注文を非表示にする」機能を使わない多くのユーザーにとっては、機能自体になじみがないため、被害がわかりにくい巧妙な手口といえます。

購入履歴を非表示にしているため、通常の購入履歴ページだけをチェックするだけでは発覚しにくい

　さらに興味深いのは、ギフトカードを大量購入する前に、数百円の文房具や食品などをテスト購入されたケースもあること。二要素認証を突破した犯人が、そのアカウントを別人に売り渡しているのかもしれません。

　なぜなら、認証を突破した本人であれば、テスト購入するまでもなく、すぐにギフトカードを詐取すればより簡単だからです。小額の品物を購入できたことで、「生きているアカウント」として他者への売買を促している可能性も想像できます。

被害を知るには「非表示にした注文」を表示させる

　自分が被害にあっていないか……などの不安があれば、Amazonのアカウントの注文履歴から「非表示にした注文」を表示させます。非表示にした注文がない、もしくは、自分の操作で非表示にした商品だけなら安心です。

普段使わないユーザーも「非表示にした注文」をチェックする

　被害への補填は、アマゾンによる自動検出で被害が防がれるケースを含め、ユーザーからの申告後アマゾンが補填する、もしくはユーザー自身がクレジットカード会社へ補償請求をしなければならない場合など、対応も異なるようです。

　ただ、筆者自身が詐欺にあったと想像してみると、クレジットカード会社の窓口に「誰にもIDとパスワードを漏らしていない」「フィッシングサイトを踏んでいない」と説明するのは面倒くさく、憂鬱になりそうです。

マジックにおける「トゥーパーフェクト理論」で手口を推測

　二要素認証を設定されていることを見越したサイバー犯罪の例がないわけではありません。

　過去に報告のあった事例は、「あなたのIDにおいて、なりすましログインが発生されると考えられるため、二要素認証を無効化した」として、二要素認証を再設定してほしい……という内容のメールを送り付け、フィッシングサイトに誘導するという手口です。

　そこでIDとパスワードだけでなく、SMSなどで送られてくるコードまで入力してしまうと、2つの認証要素が悪意ある人間の手に渡ってしまうため、二要素認証が破られてしまうのです。

　しかし、今回のギフトカードの大量購入はそれとは異なるようです。どのような手口が考えられるでしょうか？

　マジックの世界には「トゥーパーフェクト理論（Too Perfect Theory）」という考えがあります。「あまりにも不思議すぎるトリックはタネやシカケが限られるため、逆に推測されやすくなる」という理論です。

1909年に人体浮遊を演じるカーター・ザ・グレート

　例を挙げるなら、「人間が何の支えやカバーもなく、完全に空中に浮いてしまうようなマジック」。不思議すぎる現象であるがゆえに、現実的に実行しようとしたなら、細いワイヤーを使ったり映像加工で後処理をしたりするしか方法がない……と推測できてしまいます。つまり「マジックの不思議は、ほどほどに」という思想です。

　今回の詐欺を、そうした難易度の高い巧妙な詐欺（パーフェクトな詐欺）と仮定すれば、その原因も見えてきそうです。SNSなどで、被害にあった人の状況を類推すれば、この手口の特徴は以下の2点。

1）セキュリティ意識が高いユーザーも被害にあう（不審なリンクは踏んでいない）
2）IDとパスワードだけでなく、二要素認証も突破している

　1つ目の要素から考えれば、一般的なフィッシング詐欺ではないようです。可能性の1つとしては、2021年くらいから警告されていた、セッション（ID）ハイジャックがありえるでしょう。

セッションハイジャックの可能性が考えられる

　セッションハイジャックとは、Webサイトのユーザーのやり取りであるセッションを乗っ取る行為です。IDとパスワードや二要素認証などで一度ショッピングサイトにアクセスした場合、時間を空けずに同じ端末で再アクセスすると、ログイン状態が維持されます。

　Webサーバーでは、この個別のセッションを管理するために、セッションIDを生成して利用します。そして、ある程度の時間（日数）が経つとセッションIDが無効になり、「IDとパスワード（およびワンタイムパスワードなど）でログインし直してください」となります。セッションが終了したということです。

　このセッションIDを何らかの方法で取得（ハイジャック）するサイバー攻撃の一種が、セッションハイジャックです。アクセス履歴のためのCookieの情報を盗まれることでも発生する可能性があります。

　セッションIDさえ手に入れば、ユーザー本人になりすまし、ギフトカードの購入や注文履歴の表示／非表示を操作することなども不可能ではないでしょう。

　今回の詐欺は、その隙をついた可能性があると筆者は推測しています。もちろん、サーバーのアクセスログを調べたわけではないので、それとは異なる手口の可能性もありますが。

クレジットカード登録を削除すれば
不正ログインされても商品は購入されない

　仮にセッションハイジャックが起きているとする場合、どのような回避策が考えられるでしょうか。

　パスワードの変更や毎回のログアウトなども有効かもしれません。筆者はクレジット情報を削除することで対応しています。今回の詐欺がセッションハイジャックによるものであれば、おそらく、Amazonがサーバー側で「毎回セッションIDを更新する」などの対応をするだろうと予測しています。

しばらくはクレジットカードをウォレットから削除しておく

ギフトカード残高やポイントが多い人は注意

　もちろん、セッションハイジャック以外の手段によるものであれば、それに対する対策が実施されるでしょう。実態が早く明らかになることを願うばかりです。

　ショッピングサイトにより、我々の生活はとても便利になりました。しかし、想像もできなかった詐欺が猛威を振るうこともあります。そんな被害を食い止めるポイントは、ショッピングサイトとユーザーがどれだけ早く対応ができるか、それに尽きると思っています。

前田知洋（まえだ ともひろ）

　東京電機大学卒。卒業論文は人工知能（エキスパートシステム）。少人数の観客に対して至近距離で演じる“クロースアップ・マジシャン”の一人者。プライムタイムの特別番組をはじめ、100以上のテレビ番組やTVCMに出演。LVMH（モエ ヘネシー・ルイヴィトン）グループ企業から、ブランド・アンバサダーに任命されたほか、歴代の総理大臣をはじめ、各国大使、財界人にマジックを披露。海外での出演も多く、チャールズ英国王もメンバーである The Magic Circle Londonのゴールドスターメンバー。

　著書に『知的な距離感』（かんき出版）、『人を動かす秘密のことば』（日本実業出版社）、『芸術を創る脳』（共著、東京大学出版会）、『新入社員に贈る一冊』（共著、日本経団連出版）ほかがある。

ASCII倶楽部