エリック・スプリンガーは、Amazonでソフトウェア開発エンジニアとして働いていたオーストラリア人開発者です。数年前にAmazonを退職し、複数のビットコインプロジェクトに携わりました。そのうちの1つは売却しました。
セキュリティ意識が高く、ベストプラクティス(固有のパスワードの使用、二要素認証、安全なコンピューターのみの使用、フィッシング攻撃を遠くからでも見抜く能力など)に従うユーザーとして、自分のアカウントと個人情報は十分に安全だと考えていました。しかし、それは間違いでした。
誰かが私を攻撃してきた時、それらの予防策は全て無駄になってしまったからです。ほとんどのシステムにはカスタマーサポートという裏口が潜んでいるからです。この記事では、最も悪質な犯罪者であるAmazon.comに焦点を当てます。Amazon.comは、私が個人情報を預ける数少ない信頼できる企業の一つでした。私はAmazonで買い物をし、AWSのヘビーユーザー(毎月600ドル以上を稼いでいます)でもあり、かつてはソフトウェア開発者としてAmazonで働いていました。
私の物語は、かなり無害な電子メールから始まりました。
おかしいですね。Amazon サポートに連絡していませんでした。
おかしいですね。Amazon サポートに連絡していませんでした。
最初は、何かの間違いか、数ヶ月前に連絡した時のメールが遅れて届いたのかと思いました。しかし、どうしても知りたくて、Amazonに連絡して何のことか尋ねてみました。すると、Amazonサポートとやり取りしたとのことでした。テキストチャットで、その内容がメールで送られてきました。
ここで一旦止めておきましょう。この住所は私の住所ではありません。私が住んでいたのと同じ郵便番号のホテルの偽の住所です。WHOIS情報は公開されやすいので、ドメイン登録に使用しました。IPアドレスが一致するように、住んでいる地域とほぼ同じ地域を使用しました。
「それが私に必要だったすべてです」。
「それが私に必要だったすべてです」。
なんと、攻撃者はWhois検索で得た偽の個人情報をAmazonに渡し、その代わりに私の本当の住所と電話番号を入手したのです。これで彼らはいくつかのサービスに手を出すだけの十分な情報を手に入れ、銀行にクレジットカードの新規発行を依頼することさえできました。
関係のないサポート担当者に不満をぶつけないように必死で、Amazon RetailとAWSの両方に連絡しました。私は失望を伝え、アカウントにメモを残すよう依頼しました。ソーシャルエンジニアリングの危険性が非常に高く、いつでもログインできる状態になっているからです。Amazon Retailはメモを作成し、担当者から連絡すると約束しましたが(結局連絡はありませんでした)、AWSはリスクの存在すら否定しました。