アマゾン（Amazon）は７月27日、アマゾンからの通知を偽装した詐欺メールによって同社の顧客らがねらわれている、と２億人の顧客らに注意喚起した。

フォーブス誌によると、その詐欺メールのリンクをクリックすると、「偽のアマゾン・ログイン・ページ」が開かれ、利用者名と認証語が盗まれ、攻撃者らによってアカウントにアクセスされる。

同社によると、個々の利用者向けに個人化され「本物そっくりに見える」その詐欺メールは、「アマゾン・プライム・サブスクリプションが予告なしの価格で自動更新される」と脅すことでプライム会員らを偽サイトに誘導する。

さらに、ガーディオ（Guardio）のサイバーセキュリティー班は、アマゾン顧客らを標的とする別の攻撃も急増集中だと警鐘を鳴らしている。ガーディオによると、電子メールではなくテキスト・メッセージで仕掛けられるその攻撃では、プライム・サブスクリプションの値上げではなく返金を偽装し、偽のログイン・ページにおびき出して顧客情報を盗み出しアカウントにアクセスする。そういった攻撃はこの２週間で5000％も増えている。

アマゾンは、「なりすまし詐欺摘発策の一環」として、過去１年間に「５万5000件のフィッシング・サイトと１万2000件の電話番号を摘発した」と説明している。しかし、同社の顧客らへの攻撃は増えるばかりで、対策を実行しても追いつけないのが実情だ。

連邦取引委員会（FTC）も、アマゾン顧客を標的とした攻撃急増について警告している。FTCによると、攻撃者らは、顧客が買った商品に問題があるため返金するという偽情報によってアマゾンからの通知を偽装し詐欺サイトに誘導する。

アマゾンでは、顧客らのアカウントを保護するために下記二つをすぐに実行するよう呼びかけている。

まずは、「ログインとセキュリティー」設定内の「アカウントとリスト」をクリックして「二段階認証（two-step verification＝2SV）」を有効にすることだ。基本設定では、携帯電話番号にSMS（Short Message Service）経由で一度かぎりの認証語を送信するようになっている。ただ、それは安全性がもっとも低い2SVだ。

そこで、二つ目の方法として、主要プロバイダーのオーセンティケイター（authenticator＝認証アプリケーション、たとえばAppleのPasswordsやGoogleのAuthenticator）を使うようアマゾンは強く推奨している。オーセンティケイターを使うには、「二段階認証の設定を無効化」して、オーセンティケイターを有効化する必要がある。「表示されるウィンドウで『二段階認証の設定をクリアする』を選択し、『無効にする』をタップまたはクリック」して、「最後にオーセンティケイターを優先方法として２段階認証を再有効化する」。

アカウントはそれによって大幅に安全になる。しかし、攻撃者らの偽装によってアマゾン顧客が詐欺サイトに誘導される可能性は残る。したがって、アカウントにパスキーを追加し、それをデフォルトとして使うべきだ、と同社は顧客らに呼びかけている。

（Gaean International Strategies, llc社提供）