「犯行の手口はソーシャルエンジニアリング」とされています。
ソーシャルエンジニアリングとは何か?どうしてこのような大胆な犯行が可能となったのか?
そして私たちが学ぶべき対策や教訓をまとめました。ソーシャルエンジニアリングは実は「誰にもおこる身近な犯罪」です!
Twitterの大規模アカウントの乗っ取り事件とは
世界有数のSNSであるTwitterに何が起きたのか?
2019年7月16日のTwitterのアカウント乗っ取り事件は全世界に大きな衝撃を与えました。
過去にも「セレブのアカウントが乗っ取られた事件」は何度もあり、その都度話題となりました。
しかし今回のように「同時に多くの世界的有名人ばかりの公式アカウント( 青バッジアカウント)が乗っ取られる」とはまったく例がなく、いつもの外部からの不正ログインとはとても考えられません。
Twitter内部の何らかの原因で発生したことは明らかで、Twitter社もすぐに「社員がソーシャルエンジニアリング攻撃にあった」と発表しました。
Twitterのアカウント乗っ取り犯人が逮捕された
(2020年8月1日追記)最新のニュースでは、犯行の主犯はフロリダ州タンパに住む、高校を卒業したばかりの17才の少年グラハム・イヴァン・クラーク(Graham Ivan Clark) 。他に19才と22才と少年1名の計4名の若者達がFBIに逮捕されました。
仮想通貨の換金の過程で足跡が見つかり捕まったそうです。
犯人達の若さにも驚きましたが、こんな若者達どうやってTwitter社員をだましたのか?
起訴されたので、近々真相も明らかになると思われます。
ソーシャルエンジニアリングはもっとも身近なサイバー犯罪
ソーシャルエンジニアリング被害は誰にでも起こります。
- Twitter事件の犯行の経緯
- ソーシャルエンジニアリングの実情
- 誰もが、特に家庭や職場で注意すべき対策、被害を防ぐ方法
をご案内します。
アカウントの乗っ取り事件の概要
世界を驚かせた事件の概要は以下の通りです。
- 2020年7月15日(現地時間)、「オバマ前大統領、バイデン大統領候補」など政治家、「テスラのイーロン・マスクやビル・ゲイツ、ウォーレン・バフェット」ら実業家、「キム・カーダシアン、カニエ・ウェスト」ら有名芸能人、そしてUberやAppleなどの有名企業の公式(青バッチ)アカウントを含む合計約130件のアカウントが乗っ取られた。
- 乗っ取られた130件のうち、45件のアカウントは犯人によってパスワードを変更され3億5000万人もの人に「仮想通貨を指定口座に送金してくれたら倍にして返す」との偽投稿が送られた。
- 送金先の口座は数分で閉鎖されたが、すでに12万ドル(約1300万円)が犯人に渡ってしまった。
- 乗っ取られた130件のうち、36件のアカウントでは、非公開のプライベートメッセージが読まれ、7件のアカウントからはデータがダウンロードされた。
- 二段階認証を設定済のアカウントも乗っ取られた。←つまり通常の不正ログインではなく、ユーザー側では防ぎようがなかった。
- FBIが捜査し、7月31日(現地時間)に17才の少年グラハム・イヴァン・クラーク(Graham Ivan Clark)を主犯とする4名の犯人が捕まった。
Twitterより発表あった原因はソーシャルエンジニアリングのスピアフィッシング攻撃
Twitter側の対応も迅速で、すぐに被害にあったアカウントはロックされ、偽tweetも削除され、以下の発表がありました。
- 「Twitte社内で、一部の社員だけが操作できる社内システムのサポートツールの利用アカウントを、電話を使ったソーシャルエンジニアリングで奪い、操作されてTwitterアカウントを乗っ取っられた。」
- 「内部システムとツールにアクセスできる従業員の一部を標的としたソーシャルエンジニアリングのスピアフィッシング(spear-phishing campaign=親しくなった相手にエサを提供して秘密を盗み出す)攻撃が原因。非常に遺憾で恥ずかしい。」
- サービスの一部を止めて、至急社内システムをより厳重な物に高度化する作業を進めている。
推測される事件の原因
原因は調査中ですし、判明しても類似事件を発生させないために詳細は発表されないと思われます。
しかし「ソーシャルエンジニアリングが原因」ということは、おそらく、いわゆる標的型攻撃によってソーシャルエンジニアリングを成功させたと思われます。
つまり、、
- クラーク達犯人は、長時間かけて、Twitterの関係者に成りすまし、Twitterの管理権を持つ従業員の信用を得た(標的型攻撃の手口を利用)。
- 「緊急に必要だ」などと偽って電話して、Twitter内部で管理用に使われている「会員サポート管理システム」にアクセスするアカウント情報を聴き出し、すばやく偽投稿やプライベートメッセージの閲覧を行った。
のではないかと思われます。
どれだけ厳重に外部からの侵入に強いシステムを構築し、セキュリティ策を完備したとしても、そこで働く人間がだまされて、機密情報を提供してはどうにもなりません。
これがソーシャルエンジニアリングの怖いところです。
ソーシャルエンジニアリングとは?
原始的だが、実はもっとも被害が多いソーシャルエンジニアリング
ソーシャルエンジニアリングとは、ウィキペディアでは
「人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法を指す[1]。社会工学(Social engineering)の分野では、プライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究することを言う。フィッシングやスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。」
■ウィキペデア「ソーシャルエンジニアリング」より引用
とされています。
語源は「Social=社会的」と「Engineering=工学、技術」を併せたものです。
要約すると「マルウェアやハッキングと言った技術を使わず、単に人をだまし足り、ミスにつけ込んで重要情報を盗み出す」ことです。
こんな行為もソーシャルエンジニアリング
ソーシャルエンジニアリングとは、人の油断につけ込んで、情報を盗む手口です。つまり誰でも知っている、またついついやってしまう、当たり前な行為の延長線上です。
たとえば例として
- 「家族のスマホのロック解除の番号やパターンを盗み見て、スマホを勝手に開いて見た」
- 「誕生日や電話番号からパスワードを予想して、パソコンを開けた」
- 「別の目的で、パスワードを聞き出して使った」
- 「他人の自宅のWifiをつなぎ、外部からデータを盗み見た」
は、すべて立派なソーシャルエンジニアリング行為ですし、
- 「警察や銀行」からだとよそおって、銀行の口座番号や暗証番号を聞き出す
- 「宅配便です。伝票の住所が消えているので教えてください」と聞き出す
といった「オレオレ詐欺(=特殊詐欺)」の手法も、すべてソーシャルエンジニアリングと同類です
会社でも家庭でも、もっとも注意すべきソーシャルエンジニアリング対策
フィッシングメール/SMSや不正ログインなど、世の中のIT・デジタルに関連した犯罪は良く耳にします。
しかし企業・個人ともに、「もっとも被害が多いのは実はソーシャルエンジニアリングによる秘密情報の漏えい」だと言われています。
しかも犯人は、会社の同僚、家族や同居人、友人、恋人など身近な人が多いそうです。
ソーシャルエンジニアリングの思わぬ被害
昔は銀行からお金を引き出すのも、通帳や印鑑といった物が必要で、窓口やATMに出かけて手続をする必要がありました。
面倒でしたが、不正な引き出しを防ぐ抑止効果もありました。
ところが今では、銀行もオンライン化されて、IDとパスワードによるアカウントで管理されています。
またスマホやパソコンを使われると、いくらでも本人に成りすまして、不正に出金されてしまいます。
身近な人によるソーシャルエンジニアリングの結果が大きな問題に発展する可能性は、どなたにもあり得ます。
デジタル化された現代に生きる私たちは、常に以下の様なケースも考えて、ソーシャルエンジニアリング対策を行うべきです。
- たとえ心を許した家族や恋人でも、将来人間関係や立場が変わることはある。
- 悪意はない人や家族経由で、悪意を持つ者に渡ってしまう可能性がある。
- 今は特に脅威はないが、退職や相続など、大きな金銭が関わる時、不正が発生するリスクがある
ソーシャルエンジニアリングの被害を防ぐ4つの対策
その気を起こさせない、隙をつくらない、準備や設定が必要
ソーシャルエンジニアリングの恐ろしさは、あなたの不注意により、悪意の有る無しにかかわらず、悪事に関わる機会を与えてしまうことににあります。
その結果被害が発生したり、不信感を持って人間関係が破綻するのはあまりにも残念です。
ソーシャルエンジニアリングを防ぐには、周囲の人にきっかけとなる隙をあたえない様にすることが大切です。
1.「親しき間も礼儀あり」~身近な人にも機密情報は明かさない
親しい友人や家族との間でも、大切なアカウントのパスワードなど機密に属する情報の提供は止めましょう。
たとえ相手本人に悪意がなくとも、不注意によって間接的に情報流出して悪者の手に渡る危険は無視できません。
ソーシャルエンジニアリングを試みる犯人がまず誰を狙うか想像してみましょう。
2.デジタル機器のロックなど正しい設定
スマホやパソコンには、金庫やご自宅の玄関と同様に、確実なロックを施しましょう。
特にスマホは、オンライン手続が進んでいる現在では、ハンコなどとは比べものにならないぐらい重要な「本人確認の鍵」となっています。
以下の当ブログ記事をご参考に確実なロックを施す様にしてください。
今やスマホはあなた本人を確認の鍵でもあります。もしもスマホをなくした時、悪用されたり、転売されないように備えるにはどうしたら良いか?先日「世界一受けたい授業」でも取り上げられた最重要ポイントが「スマホの画面とSIMカードの2つのロックの仕方[…]
3.アカウント、パスワードの扱いを見直す
当たり前の事ですが、大切なパスワードを紙に書いて目につくところに置いておく様な悪しき習慣は止めましょう。
パスワードは自分だけが知る方法で秘密に保管します。何と言ってもパスワードマネージャー(パスワード管理ツール)をつかうことを推奨します。
強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]
またご自宅のWifiの接続パスワードは絶対に他人に教えてはいけません。Wifiに入られると、ネットワーグ上を流れる情報を盗むことも可能ですし、不正なプログラムなどを入れられるリスクも高まります。
4.大切なアカウントはもれても安心な設定をする。
仮にパスワードを知られてしまっても不正に使用されることがない様に、二段階認証を必ず設定しましょう。
TwitterやFacebook、LINEのようなSNSで起きてしまう「SNSアカウントのなりすまし」。本人になりすまして、不正メッセージや「ここであなたを見ました」「このビデオいつでしたか」「私が見つけたものを見て」「あなただと思いま[…]
スマホの確実なロックと合わせて、あなたのアカウントを守りましょう。
アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました[…]
少しでも不安を感じたら、パソコンやスマホをセキュリティーソフトで検査しましょう!
Androidスマホやパソコンを使っていて、少しでも不審を感じたときは「信頼できるセキュリティソフトでパソコンやスマホをスキャンし駆除」が、個人ができる最善の対処方法です。
まだ入れていない方は無料で使える大手の有名セキュリティソフトを使いましょう。
※どの製品も30日程度、製品版と同等に無料試用ができます。
不正なアプリやマルウェアがないかスキャンして調査、発見された場合は駆除してください。
※iPhoneやiPadなどiOSの機器は安全でセキュリティソフトは不要とされ、存在していません。
※セキュリティ対策ソフトは無料試用後も引き続きお使いになるよう強くお薦めします。
また念のためスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう。
■カスペルスキー セキュリティ 無料体験版(Digital Keeperお薦め)
■感染してからでは遅い!無料体験から始める人気ウイルス対策ソフト 
■【アバスト】30日間無料体験版、返金保証付き 
まとめ:
身近な人を大切にするために、ソーシャルエンジニアリング対策を!
いろいろとご説明しましたが、ご自身がアカウントやスマホ、パソコンの管理をおろそかにしていたばっかりに、身近な人をソーシャルエンジニアリングにワナに誘い込んでしまい、「思わぬ被害や、悲しい思い」を引き起こしてしまう危険についてご理解いただけたと思います。
ぜひ今すぐともソーシャルエンジニアリングへの対応をご検討ください。
またしっかりとした対策すると同時に、確実な継承を実現する「デジタル終活」もどうぞお忘れなく。
「守る物は確実に守り、伝える物はきちんと伝える」ことが最も大切です。
いよいよ当社が開発を進めてきた新サービス Digital Keeper ® をリリースさせていただきました。当社創立者が長い間悩んでいた「各種クラウドサービスやアプリを自由に安全に使いながら、どうやってデジタル資産を確実に継承しよう?」[…]
Digital Keeperお薦めのセキュリティソフト
やはりセキュリティ専門ソフトは必要です
現在のデジタル機器はセキュリティが強化され、昔のようにウイルスには簡単に感染させることができなくなりました。
そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムを感染させたり、偽サイトで個人情報を盗み取る手法に移行しています。
Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。
セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族がだまされてしまうリスクも低減し、万一の時も、被害低減してくれます。
- フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
- フィッシングメールにだまされてうっかりURLをクリックしても「警告」して止める。
- 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
- ネット上にあなたの個人情報が流出していないか調査する。
- お子様のネットの利用時間や不健全なサイト利用を制限する。
- 紛失したスマホを探したり、データを削除する。
- 外出時に使う公衆wifiをVPNを使って安全に使用する。
といった機能です。
※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。
セキュリティソフトの選び方、買い方
セキュリティソフトの選択は、価格や広告で選んではいけません!まして無料なアプリはかえって危険につながることもあります。
- 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
- 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
- 動作が軽く、機器使用の障害にならない
- ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる
製品ををおすすめします。
また、タブレットやスマホまで、トータルでカバーできる製品では「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用も大幅に安くなります。
購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。
お奨めのセキュリティソフトは?
Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。
世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。
もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。
また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。
下記のバナーから無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。
