倒産寸前！アマゾンのトップセラーアカウントが凍結

アカウントのセキュリティは、Amazon セラーにとって極めて重要です。店舗が封鎖されると、一連の連鎖反応が引き起こされます。しかし、規制に違反した出品者に加え、外部の緊急事態によりアカウントが凍結された出品者もいる。

有名なアマゾンの販売業者が「ハイジャック」された

2025年1月16日午後11時頃、シンガポールの有名な母子用品ブランドKeaBabiesの創設者兼CEOであるIvan Ong氏は、突然、携帯電話にAmazonのログイン認証通知を受け取りました。その通知には、彼のアカウントが米国ワシントンのデバイスからログインしようとしていることが示されていました。夜遅かったので、イワンは何も行動を起こさなかった。しかし、翌朝までに、綿密に計画されたハッカー攻撃がひっそりと完了していた。

翌朝、 Ivan はストア管理者の電子メール アドレスが ke*****@outlook.com に改ざんされ、ログイン パスワードが無効になっていることを発見しました。チームは販売者のバックエンドへのアクセスを完全に失いました。

その後、ハッカーはKeaBabiesのオーストラリアサイトの支払い口座を927で終わる海外の銀行口座に変更し、Amazonの資金留保期間の規定を回避して5万オーストラリアドル（約3万1600米ドル）を送金することに成功した。

チームが緊急にアマゾンに状況を報告したところ、プラットフォームは標的を絞った措置を取らず、代わりに販売者のアカウントを直接凍結した。

アカウントが凍結された後、 KeaBabiesの1日平均売上高23万ドルは瞬く間にゼロとなり、100人近いチームは「処理する注文がない」という恥ずかしい状況に直面した。

イヴァンの予備統計によると、アカウントの凍結により、1日平均の売上が23万ドル停滞したという。ハッカーは3万1600ドルを引き出しており、さらなる資金はまだ追跡されていない。月間の損失は690万ドルを超えると推定される。

一方、同社の従業員一人当たりの平均給与コストは月額約S$3,000です。口座が凍結されたことで資本の連鎖が断たれる恐れがあり、従業員80人が職を失う可能性もある。イヴァン氏は「破産へのカウントダウンが始まった」とさえ認めた。

注目すべきは、ハッカーがプロセス全体を通じて従来のフィッシング手法でOTP認証コードを入手したのではなく、アカウントのコア情報を直接操作したということであり、これは攻撃が従来のアカウント保護システムを突破したことを示しています。

この状況を受けて、イヴァン氏は、攻撃者がアマゾンの内部ツール（セラーサポートシステムAPIなど）を通じて通常のセキュリティ承認プロセスを回避した可能性があると疑い、「内部関係者が犯罪に協力した」可能性さえ否定しなかった。

イヴァンはかつて公開書簡で「これは単なる技術的な失敗ではなく、システム的なセキュリティの抜け穴だ。我々は操り人形のように操られているが、救助用のロープは見つからない」と嘆いたと伝えられている。

アマゾンのセキュリティ侵害は孤立したケースではない

実際、 KeaBabies 事件は孤立したケースではありません。 Yien.com は、Amazon プラットフォームのセキュリティ上の脆弱性が、定期的に発生する「業界病」にまで発展していることを発見した。

2016 年のフィッシング リンク詐欺事件: ハッカーが Amazon の公式 Web サイトのユーザーの個人ホームページにフィッシング リンクを埋め込み、ユーザーを騙して銀行カード情報や確認コードを入力させ、資金を盗みました。被害者は隠し注文機能の偽の返金リンクに騙され、最高額の損失は21万5000元に達した。

2017 年の福建省の販売業者の事件: 5 万ドルの支払いが東南アジアの口座に送金され、最終的に請求メカニズムを通じて一部回収されました。

2018年、英国で「百店強盗」事件が発生し、約100人の販売業者の口座の支払い情報が改ざんされ、資金がハッカーが管理するバークレイズ銀行の口座に流入し、数十万ドルの損失が発生しました。

2020年はフィッシングメールが横行しています。ハッカーがAmazonの公式メールを偽造し、人々を騙してトロイの木馬リンクをクリックさせ、大規模なデータ漏洩を引き起こしました。

2024年の従業員データ侵害: ハッカーはサードパーティサプライヤーの脆弱性を通じてAmazonの従業員の連絡先情報を入手し、ダークウェブフォーラムBreachForumsで「Nam3L3ss」という名前で、Amazonの記録を含む25の大規模組織のデータを所有していると主張した。

2024年の「ゴーストシッピング」詐欺：ハッカーが支払い口座を改ざんし、偽の物流注文番号を通じて資金を送金し、プラットフォームに返金手続きを開始させました。

業界関係者は、こうした状況に遭遇すると、プラットフォームはセキュリティ責任を販売者に転嫁することが多く、一方で自社のリスク管理システムのアップグレードは著しく遅れていると指摘した。たとえば、Amazon はまだハードウェア キー認証を完全に実装しておらず、SMS OTP 検証のみに依存しているため、中間者攻撃 (MITM) の余地が残っています。

こうした事件の影響を受けて、多くの中小規模の販売業者はアマゾンを離れ、 TikTokやウォルマートなど複数のプラットフォームに目を向けることを選択しました。

このような状況では、プラットフォームからの支援が不足しているため、売り手は無力であるように見えることがよくありますが、これは売り手が諦めなければならないという意味ではありません。

販売者はどのように対応すべきでしょうか?

Amazon アカウントのセキュリティ上の脆弱性とハッカー攻撃のリスクに直面して、販売者は「予防 + 緊急対応」の 2 本柱の戦略を採用し、技術的保護、資金管理、法的権利の保護、リスク移転など、複数の側面から防御システムを構築できます。

まず、ハッカーは内部ツールや API の脆弱性を利用してアカウントに侵入することがよくあります。販売者は、毎月、高強度のパスワード（大文字、小文字、記号、数字を含む）を変更する必要があり、Amazon の「ユーザー権限」機能を通じて従業員の権限を定期的に確認し、退職した人や疑わしい人のアクセスを無効にする必要があります。

第二に、販売者はサードパーティのツールを使用して、ログインIP、デバイスの変更、機密操作 (支払いアカウントの変更など) をリアルタイムで監視できます。異常が見つかった場合は、直ちにアカウントを凍結し、Amazon にご連絡ください。たとえば、支払いアカウントが改ざんされたときにアラームがトリガーされると、KeaBabies は金銭的損失を軽減できます。

さらに、Amazon アカウントが凍結された場合、販売者は海外の倉庫を使用して在庫を他のチャネルに移し、流通させながら、ウォルマートや TikTok Shop などのプラットフォームを通じて販売を継続することができます。

最後に、Amazonがセキュリティの脆弱性に速やかに対処しなかった場合、販売者はビジネスソリューション契約の第3条に従って米国仲裁協会（AAA）に仲裁申請を提出し、プラットフォームに損失の補償を要求することができます。仲裁手数料はおよそ1,000～5,000米ドルですが、成功率は低い（約20％）です。

多額の金銭が絡んでいる場合（ KeaBabies の月間損失 690 万ドルなど）、法律事務所に依頼して集団訴訟を起こし、法廷外の和解を通じて賠償を求めることができます。

アマゾン

売り手

アカウントの凍結