GMOトラスト・ログイン ブログ シングルサインオン(SSO)や
認証に関する話題

Amazon出品者の皆様: Amazonセラーセントラルアカウントをトラスト・ログインで守る

2019/10/28

1.jpg

アマゾンに商品を出品し、販売されている方の大きな懸念の1つは、「Amazonセラーセントラル(以下、セラーセントラル)」アカウントがハッキングされることではないでしょうか。

セラーセントラルアカウントがハッキングされると、商品や注文に対する変更が行えないだけでなく、売上金の受け取り口座も違法に編集されてしまい、売上金もハッキングした人に持って行かれるという事態となります。

積み上げてきた高評価も、詐欺行為により低評価が多数つけられてしまうため、長期的な販売にも影響が出てしまいます。ハッキングされたからといって、その期間の低評価を消すこともできません。

以下では、トラスト・ログインを使って、Amazonセラーセントラルのアカウントを守るための取り組みをお伝えします。

 

狙われているAmazonセラーセントラルアカウント

2.jpg

特に2017年以後、セラーアカウントは主に海外からの攻撃、特に中国からの攻撃に多数さらされています。その理由は単純です。セラーセントラルアカウントはお金になるからです。

(1)セラーセントラルアカウント自体の売買

Amazon上で有効なセラーセントラルのアカウントは、アカウントのみで売買の対象となるため、特に歴史があるアカウントであったり、顧客からの評価が多数ついているアカウントは数十万円以上で取引される場合もあるほどです。

不正アクセスに成功した後は、ログイン情報などを変更し、「2011年に開設された、評価件数が数百件あるアカウントを販売します」といった形で売買されます。ちなみに、不正アクセスは犯罪ですが、セラーセントラルのアカウント自体を売買することは、アマゾンの規約違反にはなりません。また、アカウントの売買が日本の法律に違反していることもありません。このため、正当な権限があるように装って売買されているケースがあります。

毎日アクセスしているようなアカウントであれば、すぐに気が付きますが、休眠アカウントの場合はすぐに気が付かないので、気づいた時にはもう売却まで完了して全く別な人が使っている、なんてことになってしまいます。

(2)詐欺を行うためのアカウントとして利用

Amazon上で行われる一般的な詐欺は以下のようなものです。

  • 評価が多数ついている、信頼できるアカウントに不正アクセスして、アカウントを乗っ取る。
  • 乗っ取ったアカウントから「正しい商品」が出品されているかのように、商品ページを編集・公開する。商品の価格は、競合の商品と比べて著しく安い場合が多い。
  • 注文が入ると、「商品を発送しているかのように見せかける」が、実際は商品がユーザーのもとには届かない。
  • ユーザーはお金は取られて商品が手元に届かない事態となるが、「Amazon出品」の商品ではないため、Amazonからの保証は受けられない。

こうした詐欺は、購入後商品が届かないことが広まると、すぐにばれて、アカウントが停止されます。よって、ハッカーは「不正アクセスしたアカウントから、できるだけ短期間で多数の商品を売り抜ける」ことが必要となります。

このアプローチは、焼き畑農業のようなものです。常にアカウントを多数ハッキングして、複数アカウントを利用して繰り返し詐欺商品の販売を短期集中で行っています。こうした詐欺を繰り返し行うためにはセラーセントラルのアカウントが多数必要となりますので、ハッカーからすると、セラーセントラルのアカウントは「詐欺を成功させるための金の卵」のようなものです。

狙われるアカウントは、現時点で毎日ログインがあるセラーセントラルのアカウントだけではありません。数ヶ月・数年ログインがないセラーセントラルのアカウントも狙われています。こうしたアカウントは、過去にAmazonで販売を行っていたが、現在はもう販売を行っていない場合がほとんどです。このような休眠アカウントの場合、所有者がアカウントにアクセスすることも少ないため、自身のアカウントがハッキングされたことに気づいていない場合が多くあります。

 

セキュリティ強化に、セラーセントラルの二段階認証を使うだけでは不十分

3.jpg

セラーセントラルの「アカウント設定」には、「高度なセキュリティ設定」という項目があり、その中に「2段階認証」(実際は二要素認証)を設定できる項目があります。この項目では、2段階認証の方法として、第一手段は音声電話またはSMSでコードを受け取るか、認証アプリでコードを生成設定ができます。これを用いると二要素認証が実現できるため、セキュリティが向上します。

では、「セラーセントラルで二段階認証を設定すれば完璧」というとそうではありません。一段階目の認証で用いられる「IDとパスワード」が、他のアカウントのものと使い回しである場合、Amazonとは別のサイトから流出したIDとパスワードを使って、セラーセントラルに不正アクセスされる確率が高まるためです。例えば、SMSを利用した認証に関してはその脆弱性が指摘されていますが、SMS自体が古い仕組みで動くネットワークであるため、脆弱性を完全に取り除くことはできません。

・参考記事
 [SMS認証は危険?] SMSを傍受する「SMSインターセプト」とは何か

よって、セラーセントラルにログインする際のパスワードは、使い回しではない、セラーセントラル専用のパスワードを作成して、記憶しておく必要があります。しかし、セキュリティ強化のためとはいえ、「大文字、小文字、数字、記号を含み、辞書にあるような文字列を含まないパスワード」を記憶しておくのはとても難しいのが実情です。強固なパスワードであればあるほど、パスワードは全く意味のない文字列であるためです。

 

トラスト・ログインで、Amazonセラーセントラルのパスワード使い回しを防止する

4.jpg

ここで役に立つのがトラスト・ログインです。トラスト・ログインは、インターネットで利用される多くのサービスのパスワードをまとめて預かってくれるクラウド型サービスです。もちろん、セラーセントラルにも対応しています。

5.png

まず、複数のサービス間でのパスワードの使い回しを防ぐために、各サービスでのみ使うパスワードを作成します。そして、そのパスワードをトラスト・ログインに登録しておけば、自分で多数のパスワードを記憶しておく必要がありません。ブラウザの拡張機能や、トラスト・ログインのポータル画面から、ワンクリックするだけでセラーセントラルへのログインを完了してくれます。

アマゾンでの物品販売を事業の柱にしている法人の場合は、セラーセントラルのアカウントに不正アクセスを受けると、それが理由で倒産しかねないこともあります。ぜひ、「トラスト・ログイン」をご利用頂き、パスワードの使い回しを防ぎ、セラーセントラルアカウントを不正アクセスから守っていただければと存じます。

カテゴリー
記事一覧