情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年10月19日号
***************************************************************
アカウントを巧みに利用するサイバー犯罪
***************************************************************
アカウントという言葉は今ではどこでも聞くようになってきた。
アカウントとは、スマホやパソコンを利用してインターネット上の様々なサービスにログインするための
権利のことで、いわゆる会員登録のようなものであり、通常はIDとパスワードは必須項目として存在
している。
通常は利用したいサービスなどで任意に付けたIDと自分で決めたパスワードを入力することでログイン
して利用することになる。
但し、最初のアカウント作成時には住所、氏名、年齢、職業、電話番号、メールアドレス、などの
様々な個人情報を入力して登録することが多く、ショッピングサイトなどではクレジットカード情報、
キャッシュレスペイサービスでは銀行口座などのいわゆる第三者には知られてはならない極秘情報が
含まれるケースもある。 つまりアカウント情報は個人情報と密接な関係になっていることが多い。
中国ブラックマーケットでは様々なアカウント情報が売買されていて、結果としてサイバー犯罪に
繋がるケースも少なくはない。
メール、SNS、ショッピングサイト、など様々なアカウントが存在しているが、それらのほとんどが情報
流出していて中国ブラックマーケットで売買されているのである。
これらの売買されているアカウント情報は大きく2通りの入手方法がある。
一つ目は専用のプログラムや代入機と呼ばれる機器を使い、IDとパスワードの関連性を確認して
作成されたものである。
例えば、アカウントIDをメールアドレスとしている場合には、他で得たメール情報とパスワードを入力し
ログインの可否を確認する。確認方法は様々だが、成否結果はリスト化した情報になる。
これは、パスワードが覚えられないなどの理由で単純なパスワードを他サイトでも利用するケースがあり、
このように同一パスワードを使い回していると簡単にアカウント情報(ID/パスワード)が確認されてしまう。
2番目は実際にハッキングした情報である。
各サイトでアカウントを管理するサーバをハッキングして、そこからごっそりとデータベース毎搾取する。
これは実際に該当するサーバをハッキングしなければならず、ハッキングが判明した時には情報を
得られないなどのリスクもあるが、アカウント情報としては真の情報である可能性が高く価値もある。
もちろんこれらの情報が中国ブラックマーケットで売買される際は、後者の情報の方が高く売れると
いう事になる。
ではこれらのアカウント情報をどのように利用してサイバー犯罪を行うのであろうか?
最初のログイン成功の時点で本人であると認められるわけだから、いわゆるなりすましの犯罪ができる。
ショッピングサイトのアカウントがあって、そこには既に連携されたクレジットカード情報があるとすれば、
サイト内では本人であると承認され該当するクレジットカードで買い物ができてしまう。
このようなケースは誰もが想像できるであろう。
他にはSNSにログインし、アカウント本人になりすまし、友達リストからメッセージを送信できる。
「困っているから助けてほしい」「プリペイドカードを購入してほしい」などのメッセージを送り、コンビニ
で買ってもらったプリペイドカードの番号を聞き出すという手法が以前は多く見られた。
本当に親しい人なら、「何があった?どうしたの?」と電話して確認することもできるだろう。しかし
久しぶりの知人であったり、中には芸能人のアカウントを利用してあたかも本当に困っているかの
ような文面を送るケースも存在した。
何気なくメッセージを見てしまうと、じゃあ助けてあげなくちゃと3000円、5000円、1万円程度の
金額のプリペイドカードを購入して番号を教えてしまう事になる。
プリペイドカードは番号があればネットで買い物ができてしまうので、これで目的達成となる。
SNSではないが2018年にメールを使い電子ギフト券を1600万円もだまし取られるという事件も
実際には発生している。
日本で毎年プリペイドカード詐欺による被害は10億円以上も発生しているのである。
最近ではSNSのアカウントがその他のサービスと連携していて、SNSのアカウントを使ってログイン
できるサービスも多くなってきている。
これは、簡単ではあるが、逆に言うとこれは非常に危険な可能性も秘めている。
例えばショッピングサイトがあり、このサイトのアカウント作成とアカウントデータの管理はセキュリティ上
しっかりしたサイトであるとしよう。しかしSNSと連携していてSNSのアカウントが真と判断されれば
セキュリティがしっかりしたサイトであっても、なりすましログインによりクレジットカードなどの連携があれば
買い物をしてしまう事ができるのである。
9月21日
中国ブラックマーケットに日本のフリマサイトのアカウント情報を販売するという掲示があった。
早速情報提供者に連絡を取ると、代入ではなくハッキングにより入手した情報であることが分かった。
フリマサイトは文字通りネットで行うフリーマーケットであり、自分の不用物を出品して欲しい人に売る
という仕組みである。しかし売れた金額はフリマサイトのポイントになり、そのポイントを使い同フリマ内で
買い物をしたり、お金に換えて銀行に振り込むことができる。
お金に換えるタイミングはアカウント本人が決めることができるが、振り込みの際に手数料が発生する
ため少しまとまった金額になるまで、ポイントでサイト上に保管していることが多いのである。
おそらくサイバー犯罪者は、このアカウントを利用してなりすましログインを行い、貯めていたポイントで
買い物したり、換金して自らが指定する銀行に振り込めば良いという事である。
通常は振込申請などを行うと当初に設定したメールアドレスに連絡が入るのだが、なりすましログイン
した直後にこのメールアドレスを別のアドレスに変更してしまえばアカウント本人のメールに連絡がいく
ことはない。しかもサイバー犯罪者の指定する口座は、これもなりすましで作成した口座であれば、
自分が誰か分からないということだ。
最近ではフリマサイト利用者も多くなってきていて、そのほとんどが1回あたり1000円~3000円程度
の取引が多いが、中には1万、5万、10万などといった高額な取り引きをする人もいる。
おそらく、このようにしてなりすまし、サイバー犯罪を実行すると考えられる。
フリマサイトだけでなくオークションサイトなどでも同じで、出品者になりすまし、最終的な落札時に落札
者が振り込む銀行口座の設定をサイバー犯罪者の指定する銀行口座に変更してしまえば、落札と
同時に偽口座にお金が入ってくることになる。特に高額なオークションサイトでは注意が必要だろう。
9月にキャッシュレスペイや証券会社のアカウントがなりすましにより不正利用されて大きな事件として
ニュースにも取り上げられたが、これらも全てアカウントが流出し、それを悪用されたものである。
免許証、パスポート、マイナンバーなどの身分証情報も多数流出しているため、本人になりすまし
銀行の偽口座もネットで簡単に作れてしまうのだからどうすることもできない。
9月は日本のサーバハッキング事件が多数発生した、確認できているだけで20社以上のサーバが
ハッキングされている。流出した個人情報は20万人を大きく超えた。
数が多いので気になりハッキングされた会社のサーバがどこのサービスを利用しているか調べてみたら
ハッキングされているサーバを提供するISPは大手の数社が特に多いことが分かった。
現在サーバはお手頃な価格で借りられ、便利なツールも揃っているので重宝するが、基本的に
借りたサーバのセキュリティ(情報管理)は借主が行わなければならない。
これは、電気通信事業法や電波法などで「電気通信事業者の取扱中に係る通信の秘密は、侵して
はならない。」という項目があるため、ハッキングされていてもISPから通知される事はないということだ。
この法的な盲点を狙うハッカー達は、次々とサーバに侵入し情報を搾取していると言う訳だ。
このような状況でアカウントが大量に流出しているとすれば、アカウントの高度なパスワードも意味が
なく、いずれ不正利用されてしまう可能性がある。
少しでも不正利用されないためにも、複数アカウントのID/パスワードなどは同一にせず、時々変更
する習慣をつけた方が良い。
そしてサーバを貸し出すサービス提供者も借主も有効な対策を検討してほしいものである。
---------------------------------------------------------------------------------
<参考URL>
日本経済新聞:2018/11/5
電子ギフト券、1600万円分詐取被害 佐賀
https://www.nikkei.com/article/DGXMZO37372640V01C18A1ACYZ00/
Cyber
Security.com:2020/8/6
メールアカウント乗っ取られ、なりすましメール大量送信
https://cybersecurity-jp.com/news/38115
NHK:2019/12/13
もしSNSで“なりすまし”の被害にあったら・・・
https://www.nhk.or.jp/gendai/comment/0010/topic006.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved