Malwarebytesは11月27日(米国時間)、「Holiday shoppers targeted as Amazon and FBI warn of surge in account takeover attacks|Malwarebytes」において、Amazonおよび米国連邦調査局(FBI: Federal Bureau of Investigation)がアカウント乗っ取り(ATO: Account Takeover)詐欺に注意を喚起したと報じた。

通知対象の顧客層に違いがあることから、両者に協力関係はないとみられる。しかしながら、同時期に同一詐欺への警戒を呼びかけており、被害の急拡大が懸念されている。

  • Holiday shoppers targeted as Amazon and FBI warn of surge in account takeover attacks|Malwarebytes

    Holiday shoppers targeted as Amazon and FBI warn of surge in account takeover attacks|Malwarebytes

アカウント乗っ取り(ATO)詐欺のリスク

アカウント乗っ取り詐欺は、その名が示す通りオンラインサービスの本来の利用者になりすましてアカウントを悪用する詐欺行為を指す。詐欺師はこの攻撃を実行するにあたって、フィッシング詐欺やソーシャルエンジニアリング攻撃による認証情報の窃取、流出した認証情報の購入、クレデンシャルスタッフィング、マルウェアなど、さまざまな手口を使用してアカウントに不正アクセスする。

不正アクセスに成功するとパスワードおよびメールアドレスを変更して本来の利用者をアカウントから締め出すケースが多く、被害者はアカウントを取り戻すために長期間の努力(本人確認など)を強いられることがある。

攻撃者は乗っ取り期間中、アカウントを自由に利用することができ、金融機関のアカウントを乗っ取られた場合や、アカウントにクレジットカード情報を登録している場合は経済的損失も懸念される。

詐欺の手口

Malwarebytesによると、今回Amazonは自社の顧客向けに通知を送付し、一方でFBIは金融機関の顧客向けに通知を送付したという。異なるユーザー層を対象としているが、いずれもほぼ同一の手口の説明が行われているようだ。その手口の概要は次のとおり。

  • 攻撃者はテキストメッセージの送付または電話によるフィッシング詐欺およびソーシャルエンジニアリング攻撃を行う
  • 被害者にユーザー名、パスワード、多要素認証(MFA: Multi-Factor Authentication)のコード提供を要求する
  • 不正アクセスに成功すると、速やかに被害者を締め出す(アカウントの乗っ取り)

具体的な事例として本物に酷似したログインサイトの悪用や、サポート窓口の担当者を装う電話などが指摘されている。誘導方法は多岐にわたり、配送関連、アカウントの不正アクセス、お買い得情報、支払い関連などのケースがあるとし、これら不審な連絡に警戒を呼びかけている。

また直接の誘導ではなく、マルバタイジング(オンライン広告詐欺)や偽のプッシュ通知を悪用するケースもみられるという。前者は検索サイトに偽の広告を掲載して被害者を誘導し、後者はWebブラウザーのプッシュ通知に偽のアラートを配信する手法とされる。

ブラックフライデーセールを狙う詐欺師

アカウント乗っ取り詐欺は、ブラックフライデーやホリデーシーズンの直前に活発になるとの指摘がある(参考:「Holiday scams 2025: These common shopping habits make you the easiest target | Malwarebytes」)。今回の警告はブラックフライデー(11月28日)の数日前に送付されており、毎年発生する被害を軽減する目的があるとみられる。

Malwarebytesは基本的な詐欺対策を伝えるとともに、これら詐欺を見抜いて被害を回避するように推奨している。万が一、被害に遭遇した場合は、サービスを提供している事業者に速やかに連絡し、アカウントの保護や取り引きのキャンセルを依頼するように提案している。