誰もが直面するソーシャルエンジニアリングの危険~Twitter大規模アカウント乗っ取りから学ぶ

socialengineering ソーシャルエンジニアリングのイメージ
 2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。
「犯行の手口はソーシャルエンジニアリング」とされています。
ソーシャルエンジニアリングとは何か?どうしてこのような大胆な犯行が可能となったのか?
そして私たちが学ぶべき対策や教訓をまとめました。ソーシャルエンジニアリングは実は「誰にもおこる身近な犯罪」です!

ソーシャルエンジニアリングとは?

原始的だが、実はもっとも被害が多いソーシャルエンジニアリング

ソーシャルエンジニアリングとは、ウィキペディアでは

「人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法を指す[1]。社会工学(Social engineering)の分野では、プライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究することを言う。フィッシングやスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。」
ウィキペデア「ソーシャルエンジニアリング」より引用

とされています。
語源は「Social=社会的」と「Engineering=工学、技術」を併せたものです。

要約すると「マルウェアやハッキングと言った技術を使わず、単に人をだまし足り、ミスにつけ込んで重要情報を盗み出す」ことです。

こんな行為もソーシャルエンジニアリング

ソーシャルエンジニアリングとは、人の油断につけ込んで、情報を盗む手口です。つまり誰でも知っている、またついついやってしまう、当たり前な行為の延長線上です。

たとえば例として

  • 「家族のスマホのロック解除の番号やパターンを盗み見て、スマホを勝手に開いて見た」
  • 「誕生日や電話番号からパスワードを予想して、パソコンを開けた」
  • 「別の目的で、パスワードを聞き出して使った」
  • 「他人の自宅のWifiをつなぎ、外部からデータを盗み見た」

は、すべて立派なソーシャルエンジニアリング行為ですし、

  • 「警察や銀行」からだとよそおって、銀行の口座番号や暗証番号を聞き出す
  • 「宅配便です。伝票の住所が消えているので教えてください」と聞き出す

といった「オレオレ詐欺(=特殊詐欺)」の手法も、すべてソーシャルエンジニアリングと同類です

 

 

ソーシャルエンジニアリングの事例~Twitterの大規模アカウントの乗っ取り事件

世界有数のSNSであるTwitterに何が起きたのか?

2019年7月16日のTwitterのアカウント乗っ取り事件は全世界に大きな衝撃を与えました。

過去にも「セレブのアカウントが乗っ取られた事件」は何度もあり、その都度話題となりました。

しかし今回のように「同時に多くの世界的有名人ばかりの公式アカウント( 青バッジアカウント)が乗っ取られる」とはまったく例がなく、いつもの外部からの不正ログインとはとても考えられません。

Twitter内部の何らかの原因で発生したことは明らかで、Twitter社もすぐに「社員がソーシャルエンジニアリング攻撃にあった」と発表しました。

 

Twitterのアカウント乗っ取り犯人が逮捕された

(2020年8月1日追記)最新のニュースでは、犯行の主犯はフロリダ州タンパに住む、高校を卒業したばかりの17才の少年グラハム・イヴァン・クラーク(Graham Ivan Clark) 。他に19才と22才と少年1名の計4名の若者達がFBIに逮捕されました。
仮想通貨の換金の過程で足跡が見つかり捕まったそうです。

犯人達の若さにも驚きましたが、こんな若者達どうやってTwitter社員をだましたのか?
起訴されたので、近々真相も明らかになると思われます。

Twitterアカウント大規模乗っ取り犯逮捕 主犯は米在住の17歳
Twitterでビル・ゲイツ氏などの著名人アカウントが大量に乗っ取られ、ビットコイン詐欺ツイートをして10万ドル以上の被害の出た事件の犯人が逮捕、起訴された。主犯は米在住の17歳の未成年で、他に英国在住の19歳、米在住の22歳も共犯として逮捕、起訴された。
ITmedia NEWS
 
https://www.itmedia.co.jp/news/articles/2008/01/news018.html

ソーシャルエンジニアリングはもっとも身近なサイバー犯罪

ソーシャルエンジニアリング被害は誰にでも起こります。

  1. Twitter事件の犯行の経緯
  2. ソーシャルエンジニアリングの実情
  3. 誰もが、特に家庭や職場で注意すべき対策、被害を防ぐ方法

をご案内します。

 

Twitter大規模アカウントの乗っ取り事件の概要

事件の概要

世界を驚かせた事件の概要は以下の通りです。

  • 2020年7月15日(現地時間)、「オバマ前大統領、バイデン大統領候補」など政治家、「テスラのイーロン・マスクやビル・ゲイツ、ウォーレン・バフェット」ら実業家、「キム・カーダシアン、カニエ・ウェスト」ら有名芸能人、そしてUberやAppleなどの有名企業の公式(青バッチ)アカウントを含む合計約130件のアカウントが乗っ取られた。
  • 乗っ取られた130件のうち、45件のアカウントは犯人によってパスワードを変更され3億5000万人もの人に「仮想通貨を指定口座に送金してくれたら倍にして返す」との偽投稿が送られた。
  • 送金先の口座は数分で閉鎖されたが、すでに12万ドル(約1300万円)が犯人に渡ってしまった。
  • 乗っ取られた130件のうち、36件のアカウントでは、非公開のプライベートメッセージが読まれ、7件のアカウントからはデータがダウンロードされた。
  • 二段階認証を設定済のアカウントも乗っ取られた。←つまり通常の不正ログインではなく、ユーザー側では防ぎようがなかった。
  • FBIが捜査し、7月31日(現地時間)に17才の少年グラハム・イヴァン・クラーク(Graham Ivan Clark)を主犯とする4名の犯人が捕まった。

Twitterより発表された事故原因はソーシャルエンジニアリングのスピアフィッシング攻撃

Twitter側の対応も迅速で、すぐに被害にあったアカウントはロックされ、偽tweetも削除され、以下の発表がありました。

  • 「Twitte社内で、一部の社員だけが操作できる社内システムのサポートツールの利用アカウントを、電話を使ったソーシャルエンジニアリングで奪い、操作されてTwitterアカウントを乗っ取っられた。」
  • 「内部システムとツールにアクセスできる従業員の一部を標的としたソーシャルエンジニアリングのスピアフィッシング(spear-phishing campaign=親しくなった相手にエサを提供して秘密を盗み出す)攻撃が原因。非常に遺憾で恥ずかしい。」
  • サービスの一部を止めて、至急社内システムをより厳重な物に高度化する作業を進めている。

推測される事件の原因

原因は調査中ですし、判明しても類似事件を発生させないために詳細は発表されないと思われます。
しかし「ソーシャルエンジニアリングが原因」ということは、おそらく、いわゆる標的型攻撃によってソーシャルエンジニアリングを成功させたと思われます

つまり、、

  • 犯人たちは、長時間かけて、Twitterの関係者に成りすまし、Twitterの管理権を持つ従業員の信用を得た(標的型攻撃の手口を利用)。
  • 「緊急に必要だ」などと偽って電話して、Twitter内部で管理用に使われている「会員サポート管理システム」にアクセスするアカウント情報を聴き出し、すばやく偽投稿やプライベートメッセージの閲覧を行った。

のではないかと思われます。

どれだけ厳重に外部からの侵入に強いシステムを構築し、セキュリティ策を完備したとしても、そこで働く人間がだまされて、機密情報を提供してはどうにもなりません。

これがソーシャルエンジニアリングの怖いところです。

 

有名人のTwitterアカウント乗っ取り事件

本田圭佑さんのTwitterも乗っ取りの被害にあう

2021年3月21日、積極的にtweetを続けている本田圭佑さんも「アカウントを乗っ取られた」とツイートしました。

原因については触れられていませんが、twitterは他のSNSのようにフィッシング詐欺でaccountを盗まれる可能性は低く、パスワードを推測したソーシャルエンジニアリングが原因では?と思います。

本田さんも二段階認証を設定していなかったようで、残念です。

twitterの乗っ取りを防ぐには二段階認証さえやっておけば安心です。

「設定」「設定とプライバシー」から簡単に設定できますよ。

2要素認証を使う方法
2要素認証を使うと、Twitterアカウントのセキュリティを強化できます。この機能をオンにする方法など、概要について説明します。
help.twitter.com
 
https://help.twitter.com/ja/managing-your-account/two-factor-authentication

 

会社でも家庭でも、もっとも注意すべきソーシャルエンジニアリング対策

フィッシングメール/SMSや不正ログインなど、世の中のIT・デジタルに関連した犯罪は良く耳にします。
しかし企業・個人ともに、「もっとも被害が多いのは実はソーシャルエンジニアリングによる秘密情報の漏えい」だと言われています。

しかも犯人は、会社の同僚、家族や同居人、友人、恋人など身近な人が多いそうです。

ソーシャルエンジニアリングの思わぬ被害

昔は銀行からお金を引き出すのも、通帳や印鑑といった物が必要で、窓口やATMに出かけて手続をする必要がありました。
面倒でしたが、不正な引き出しを防ぐ抑止効果もありました。

ところが今では、銀行もオンライン化されて、IDとパスワードによるアカウントで管理されています。
またスマホやパソコンを使われると、いくらでも本人に成りすまして、不正に出金されてしまいます。

身近な人によるソーシャルエンジニアリングの結果が大きな問題に発展する可能性は、どなたにもあり得ます。

デジタル化された現代に生きる私たちは、常に以下の様なケースも考えて、ソーシャルエンジニアリング対策を行うべきです。

  • たとえ心を許した家族や恋人でも、将来人間関係や立場が変わることはある。
  • 悪意はない人や家族経由で、悪意を持つ者に渡ってしまう可能性がある。
  • 今は特に脅威はないが、退職や相続など、大きな金銭が関わる時、不正が発生するリスクがある

 

特に注意すべきが、いよゆる「のぞき見」である、ショルダーハックで、もっとも大きな被害につながっていると言われています。

ブログ内の関連記事(新しいウィンドウで開きます)
身近にある最も危険な犯罪「ショルダーハック」!事例とショルダーハッキングを防ぐには?

人の隙を見て機密情報を盗み取るショルダーハックこそ実はもっとも多くの被害を生み出しているサイバー犯罪です。ショルダーハックのやり方(ショルダーハッキングの)の手口と、過去の事件や事例を元に、被害を防ぐ対策、防止策をやさしく解説します。[…]

ショルダーハックのイメージ

 

ソーシャルエンジニアリングの被害を防ぐ4つの対策

その気を起こさせない、隙をつくらない、準備や設定が必要

ソーシャルエンジニアリングの恐ろしさは、あなたの不注意により、悪意の有る無しにかかわらず、悪事に関わる機会を与えてしまうことににあります。

その結果被害が発生したり、不信感を持って人間関係が破綻するのはあまりにも残念です。

ソーシャルエンジニアリングを防ぐには、周囲の人にきっかけとなる隙をあたえない様にすることが大切です。

1.「親しき間も礼儀あり」~身近な人にも機密情報は明かさない

親しい友人や家族との間でも、大切なアカウントのパスワードなど機密に属する情報の提供は止めましょう。

たとえ相手本人に悪意がなくとも、不注意によって間接的に情報流出して悪者の手に渡る危険は無視できません。
ソーシャルエンジニアリングを試みる犯人がまず誰を狙うか想像してみましょう。

2.デジタル機器のロックなど正しい設定

スマホやパソコンには、金庫やご自宅の玄関と同様に、確実なロックを施しましょう

特にスマホは、オンライン手続が進んでいる現在では、ハンコなどとは比べものにならないぐらい重要な「本人確認の鍵」となっています。

以下の当ブログ記事をご参考に確実なロックを施す様にしてください。

ブログ内の関連記事(新しいウィンドウで開きます)
絶対必要な画面とSIMカード2つのロック~iPhone/Android別スマホの安全対策は? その1

今やスマホはあなた本人を確認の鍵でもあります。もしもスマホをなくした時、悪用されたり、転売されないように備えるにはどうしたら良いか?先日「世界一受けたい授業」でも取り上げられた最重要ポイントが「スマホの画面とSIMカードの2つのロックの仕方[…]

スマホをロックするイメージ

3.アカウント、パスワードの扱いを見直す

当たり前の事ですが、大切なパスワードを紙に書いて目につくところに置いておく様な悪しき習慣は止めましょう。

パスワードは自分だけが知る方法で秘密に保管します。何と言ってもパスワードマネージャー(パスワード管理ツール)をつかうことを推奨します。

ブログ内の関連記事(新しいウィンドウで開きます)
政府もすすめるパスワードマネージャーとはどうして安全で便利なのか?~機能と仕組みをやさしく解説

強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]

またご自宅のWifiの接続パスワードは絶対に他人に教えてはいけません。Wifiに入られると、ネットワーグ上を流れる情報を盗むことも可能ですし、不正なプログラムなどを入れられるリスクも高まります。

4.大切なアカウントはもれても安心な設定をする。

仮にパスワードを知られてしまっても不正に使用されることがない様に、二段階認証を必ず設定しましょう。

ブログ内の関連記事(新しいウィンドウで開きます)
SNSなど不正ログインやアカウントのなりすましを防ぐ最強の対策は何か?

TwitterやFacebook、LINEのようなSNSで起きてしまう「SNSアカウントのなりすまし」。本人になりすまして、不正メッセージや「ここであなたを見ました」「このビデオいつでしたか」「私が見つけたものを見て」「あなただと思いま[…]

アカウントの乗っ取りを防ぐ唯一の方法「二段階認証」のイメージ
また今ではほとんどの二段階認証はあなたのスマホを使って行われます。

スマホの確実なロックと合わせて、あなたのアカウントを守りましょう。

ブログ内の関連記事(新しいウィンドウで開きます)
パスワードもれても安全な二段階認証とは。その仕組みを徹底解説

アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました[…]

 

 

「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?

ネット上のデマや悪質業者の広告を信じてはいけない!

当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。

しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。

本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。

しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。

より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。

おすすめのハッキング調査会社:デジタルデータフォレンジック

デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。

累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。

相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。

おすすめの調査会社:デジタルデータフォレンジック

まとめ:
身近な人を大切にするために、ソーシャルエンジニアリング対策を!

いろいろとご説明しましたが、ご自身がアカウントやスマホ、パソコンの管理をおろそかにしていたばっかりに、身近な人をソーシャルエンジニアリングにワナに誘い込んでしまい、「思わぬ被害や、悲しい思い」を引き起こしてしまう危険についてご理解いただけたと思います。

ぜひ今すぐともソーシャルエンジニアリングへの対応をご検討ください。

またしっかりとした対策すると同時に、確実な継承を実現する「デジタル終活」もどうぞお忘れなく。

「守る物は確実に守り、伝える物はきちんと伝える」ことが最も大切です。

ブログ内の関連記事(新しいウィンドウで開きます)
Digital Keeperがお勧めする「デジタルキーピング」「デジタル終活」とは?

いよいよ当社が開発を進めてきた新サービス Digital Keeper ® をリリースさせていただきました。当社創立者が長い間悩んでいた「各種クラウドサービスやアプリを自由に安全に使いながら、どうやってデジタル資産を確実に継承しよう?」[…]