狙われるSNS その攻撃を見抜くポイント

【プライバシーが危ない! 日常にひそむセキュリティの盲点:第5回】

メールでの連絡、SNSを使った情報共有、果ては銀行振込や金融取引まで、今やネット経由でなんでもできてしまう時代になりました。
そんなネット社会の現代だけに、あなたのなにげない行動がプライバシーを危険にさらしているかもしれません。
ここでは、普段はあまり気にすることのない、日常にひそむセキュリティの盲点と対策をわかりやすく解説していきましょう。

【SNS時代の恐怖の連鎖】

OLとして働く芽衣さんのところに、ある日メールが届きました。
その内容は、次のようなものでした。
-----
差出人:SNS運営窓口
件名:LINEアカウント確認のお願い
お使いのメールアドレスで登録されているLINEアカウントが、なりすましの被害にあっている可能性があります。下記のURLからIDとパスワードを入力して、あなたが正しいLINEアカウントの利用者であることを確認してください。
24時間以内に確認ができない場合はお使いのLINEアカウントは利用停止となりますので、ご注意ください。
◎LINEアカウント認証URL
http://*******.fake_line_url.net/
-----
このメールを見た芽衣さん、親しい友人とのやりとりに使っているLINEが使えなくなってしまっては大変と、すぐに記載されているURLを開きました。
表示されたページは、LINEのIDとパスワードを入力する画面です。芽衣さんは画面の指示の通りに、IDとパスワードを入力しました。しかしこの行為の重大さに、芽衣さんはこの時まだ気づいていませんでした……。
芽衣さんがIDとパスワードを入力したのは、LINEの運営会社とはまったく無関係なページだったのです。このページで入力された情報はLINEのなりすまし犯に送られていました。
こうして、芽衣さんはLINEのアカウントを乗っ取られてしまったのです。

乗っ取られたアカウントで狙われるお姉さん

最近出産した沙月さんは、子育てに大忙し。赤ちゃんが眠ってくれたので、ようやくひと息ついていました。そこに、妹の芽衣さんからLINEのメッセージが届きます。
芽衣「いまいいですか?」
沙月「なによそんなに改まっちゃって。どうしたの?」
芽衣「携帯番号おしえてください」
沙月さんは首をひねります。妹の芽衣さんは、当然ながら沙月さんの携帯電話番号も知っているはずなのですが。
沙月「090−0***-****だけど、芽衣は知ってるはずだよね? 機種変更でもしたの?」
芽衣「LINEから認証コードが届いたらおしえてください」
そのメッセージとほぼ同時に、沙月さんのスマートフォンに、4桁の数字が書かれた認証コードが届きます。
沙月「9876だったよ。なにかあったの?」
そのメッセージには既読がついたものの、返信がある様子はありません。眠っていた赤ちゃんがぐずりだしたこともあり、沙月さんはそのLINEでのやりとりのことは忘れて、赤ちゃんをあやしはじめます。
しかし、読者のみなさんお気づきの通り、このとき沙月さんがメッセージのやりとりをしていた相手は、芽衣さんではありませんでした。芽衣さんのアカウントを乗っ取った、なりすまし犯だったのです。
しかも、なりすまし犯は沙月さんから聞き出した携帯番号と認証コードを使って、沙月さんのLINEアカウントの乗っ取りにも成功してしまいました。

サラリーマンの貫太さんは、取引先での商談を終えて帰社する電車の中。同僚と雑談しているところに、ポケットの中のスマートフォンがふるえました。見ると、LINEのメッセージが着信しています。奥さんの沙月さんからでした。
沙月「忙しいですか?」
貫太「どうした?」
沙月「近くのコンビニエンスストアでプリペイドカードを買ってもらえますか?」
貫太「プリペイドカード? なにかあったの?」
沙月「10000ポイントのカードを5枚」
貫太さんは驚きます。50,000円といえば、けっこうな金額です。まだ幼い赤ん坊を抱えた沙月さんが、何かトラブルに巻き込まれてしまったのかもしれない……そう考えると、いてもたってもいられなくなります。

大丈夫かと妻を心配する夫
貫太「大丈夫なのか?」
沙月「今は手がはなせないので、カードの裏の番号を写真で送ってください」
なにか大変なことが妻子の身に降りかかっているに違いない、そう確信した貫太さん。同僚に断って途中駅で電車から飛び降り、コンビニへ走ります。コンビニ店内のATMでお金をおろし、プリペイドカードを購入しました。
そして、言われたとおりにプリペイドカードの番号を写真に撮り、沙月さんに送ったのです。
すると、新たにメッセージが届きます。
沙月「携帯番号をおしえてください」
さすがに、貫太さんも何かおかしいということに気づきました。
貫太「沙月だよな?」
沙月「携帯番号」
貫太「おまえ、沙月じゃないのか?」
沙月「携帯番号をおしえてください」
貫太さん、この最後のやりとりでようやく、相手がなりすまし犯であることに気づいたのです。
しかし、時すでに遅し。
貫太さんが確認したときには、購入したプリペイドカードの番号はすでに使われていて、お金が戻ってくることはありませんでした。

【SNS詐欺の入り口は古典的?】

今回ご紹介した例は少し前に多発したLINE詐欺の概要です。一番最初に騙されたのは芽衣さん一人ですが、彼女の友達リストを介して急速に被害が拡大してしまうのがSNSを使った詐欺の特徴です。
とあるSNSの利用者は平均して70人ほどの友達がいるといわれていますので、仮に芽衣さんひとりが騙されると、自動的にその友達70人が詐欺のターゲットとなります。その70人のうちの10%が引っかかってしまうと、その次は7×70=490人が詐欺のターゲットにされてしまう計算です。こうしてネズミ算的に被害が拡大していくのが、SNS詐欺の特徴であると言えます。
ここではまず、最初の一人にならないために、詐欺師が仕掛けてくる手口とその対策を考えてみましょう。

・フィッシング
今回の例で芽衣さんが引っかかってしまった手口が「フィッシング」と呼ばれるものです。
これは偽物のログイン画面を用意してログイン情報を盗み取る方法で、SNSに限らず銀行やネットショップなどの偽造サイトが存在しています。
これらの偽造サイトへの誘導の多くはメール経由で届きますので、まず「IDの確認」や「アカウントの認証」といったものを求めるメールは疑ってかかりましょう。
差出人が本当にサイトの公式アドレスか、普段届いているSNSの通知メールなどと比較してみてもいいかもしれません。以下に筆者へ届いたフィッシングのメールと詐欺を見抜くポイントを載せておきますので、参考にしてみてください。
-----
差出人:”マイクロソフト安全認証チーム” <**********@notmicrosoft.com> ←無関係なメールアドレス(偽装可能なので正しいメールアドレスに見える場合でも要注意です)
件名:[大切]マイクロソフトのプロダクトキーが不正コピーされた警告です!
すぐマイクロソフトのプロダクトキーをご認証ください。さもなくば権限付与が中止されます!
ご利用のオフィスソフトの授権が終了されてしまう恐れがあります! ←ちょっとおかしな日本語
マイクロソフトセキュリティチームはご利用のオフィスソフトのプロダクトキーが違法コピーされた恐れがあることを発見しています。
攻撃者はご利用のオフィスソフトのプロダクトキーでほかのオフィスソフトを起動する試みをしています。ご本人の操作なのかどうかが確定できないので、お手数ですが、検証作業をしてください。
検証作業をしていただけない場合、ご利用のオフィスソフトのプロダクトキーの授権状態を終了しますので、ご了承ください。
今すぐ認証 ←フィッシングサイトへ誘導するリンク
-----

・パスワードリスト攻撃
みなさん、いろいろなサイトのサービスを利用していると思いますが、ログイン情報の管理には苦労されているのではないでしょうか。
何種類ものIDとパスワードの組み合わせを覚えてはいられないので、ひとつのメールアドレスとパスワードの組み合わせをいろいろなサービスで使いまわしている人も多いと思います。
こうした状況を悪用する手法が、パスワードリスト攻撃です。
たとえば、数年前に大手ソフトウェアメーカーから、ユーザーのログイン情報(メールアドレスとパスワード)が漏洩した事件がありました。このとき漏洩した情報は数千万件にもおよんだといわれています。
このような漏洩情報はネットの闇マーケットで取引されていて、悪用されるトラブルが絶えません。不正な方法で入手したメールアドレスとパスワードの組み合わせを、他のSNSやネットショップなどのサービスで手当たり次第に試すのが「パスワードリスト攻撃」と呼ばれる手法です。
攻撃者のパスワードリストに載ってしまった場合は、利用しているサイトすべてでパスワードを変更してまわるしかありません。

・パスワード推測
情報漏洩の事案では、メールアドレスだけしか流出しない場合も多くあります。メールアドレスだけなら、迷惑メールが届くくらいのことしか起こらない……などと油断してはいけません。パスワードがわからなくても、パスワードを推測して攻撃することができるのです。

容易に推測されるパスワードには要注意
「123456」「qwerty」「111111」「password」
これらはよく使われる「安易なパスワード」の上位に挙がるものです。順番に並んだ数字や文字、キーボードの並び順、同じ数字の連続、単純な英単語などは、かんたんに推測されてしまいますので、使用は避けましょう。
また、SNSなどで誕生日を公開している場合には、誕生日をパスワードにすることも危険です。十分にご注意ください。

【拡散力が強いSNSを狙った詐欺の実例】

SNS詐欺はターゲットがネズミ算的に増えていく危険がある、という話は先にしましたが、そうした特性をふまえて、詐欺の手口も変化しています。いくつかの実例をもとに、その傾向と対策を考えてみましょう。

・プレゼント詐欺
報酬をちらつかせてSNSでの友達登録と情報の拡散を要請する手口です。
-----
アカウント名:【公式】お詫びポイントプレゼント
このたびは、詐欺アカウントの影響でご迷惑をおかけしました。
運営ではこのような問題のあるアカウントを随時消していく予定です。
今回の問題に関しては、お詫びとして1,000ポイントを提供いたします。
以下の手順で、このアカウントを友達登録してください。
-----
こうした内容のメールが届いたり、SNS上の書き込みなどで見かけたりすることがあります。この投稿に従って「【公式】お詫びポイントプレゼント」さんを友達登録すると、続いて次のようなメッセージが届きます。
-----
友達登録ありがとうございます
詐欺アカウントが増えております
利用者のみなさんも騙されないよう気をつけてください
今回は騙された方が多かったため、利用者全員に1,000ポイントを提供いたします
同じ文をコピーして、友達20人のタイムラインに貼って拡散してください
20人以上に拡散してくれた方には、もっと豪華なプレゼントを贈呈します
-----
こうして、利用者自身の手で情報を拡散させていくのがこの手口の特徴です。じゅうぶんに友達の人数が増えると、迷惑な宣伝を流しはじめます。もちろん約束されていたはずの報酬は受け取ることができません。
まず、運営の公式情報はこのようなメッセージで送られてこないことを理解しておきましょう。友達登録をしてもらったり、利用者の手で拡散してもらったりしなくても、運営側ならば利用者に情報を伝えることは可能なのです。
この手の「みんなにプレゼント」系の話は、まず疑ってかからなくてはいけません。情報の拡散に協力してしまうということは、意図的にではないにせよ詐欺の片棒を担ぐことと同じですので、十分に注意が必要です。

・フェイクニュース/デマ

うそニュースの拡散にご注意
アメリカのトランプ大統領によってすっかり有名になったこのキーワード、みなさんは他人事だと思っていませんか? このフェイクニュースに関しては、その拡散の過程でSNSが果たした役割の大きさも話題となりました。
情報ソースが不確かなまま友人がシェアした情報をそのままシェアする……そんな行為がフェイクニュース拡散の要因となっているのです。
フェイク(FAKE=いかさま)には、嘘が含まれていない場合もあります。一部の情報を意図的に隠し、特定の人や団体、国、民族や宗教などに反感を抱くように誘導することも、立派なフェイクなのです。
お金を直接詐取する行為ではありませんが、フェイクニュースやデマなどは他人の社会的信用に被害を与える危険があると認識しておきましょう。こうした行為に加担しないように、特に他者へのネガティブな意見をシェアする際には、慎重に考えてからにしましょう。

【詐欺は人の『思い込み』を狙う】

詐欺は人の『思い込み』を狙う

これはSNS詐欺に限ったことではありませんが、詐欺の手口は人の思い込みに付け入るものがほとんどです。
人間の脳は、存在しないものごとを想像力によって補完するようにできています。しかしこの能力が、詐欺師の狙う隙をつくるのです。
最初の沙月さんや貫太さんの例の場合、親しい人が不自然な文体や依頼内容を送ってくるのには何か特別な理由がるに違いない、と勝手に考えてしまいました。事実、詐欺の被害にあった人は「いつもと違う感じだったのは、トラブルに巻き込まれて慌てているせいだと思った」などと、本来なら疑うべき不自然さを前向きに受け入れてしまっていることが多いといいます。
これは、基本的につながっている相手が信頼できる家族や友人だという、SNSというメディアの特性だとも言えます。人は発言の内容を吟味して信用するのではなく、発言者を信用してその発言内容を吟味せずに信じてしまう傾向が強いとも言われています。
親しい人たちが自分に対して詐欺をしかけてくるなど、誰も想像していないのです。
そんな親しい人になりすました犯人たちの言葉を、いったいどうやって見抜けばいいのでしょうか?

・「いきなり」は基本NG
詐欺は、基本的に前後のつながりを無視して本題に入ってきます。
「プリペイドカードを買ってほしい」
「携帯番号を教えてほしい」
「届いた認証番号を教えてほしい」
「友達登録してほしい」
「この情報を拡散してほしい」
「このアプリをインストールしてほしい」
などなど、こうした依頼内容がいきなり出てきたら、要注意です。
親しくない人からの要請であれば、どんなに素晴らしい報酬が約束されていても、まずは疑いましょう。同じような手口がないか、ネットを検索してみるといいかもしれません。
また、親しい人からの依頼でも、なりすまし犯であることを疑うべきです。「なにか事情があってのことかも」と理由を勝手に推測して思い込んでしまうのは、もっとも危険な行為です。
不自然なところは、納得がいくまできちんと説明を求めましょう。

・おかしな日本語
多くの場合、SNS詐欺の犯人は外国人であると言われています。本来は日本語を使えない人物ですので、元は外国語だったメッセージを機械的に翻訳した形で送ってくる場合がほとんどです。
こうした機械翻訳の日本語は、どこかおかしくなってしまうのが普通ですね。フィッシングの実例として紹介したメールの「ご利用のオフィスソフトの授権が終了されてしまう恐れがあります」という文章が、もっともわかりやすい例でしょう。
ほかにも、翻訳結果をコピー&ペーストする際に失敗して、冒頭や末尾の文字が欠けてしまったり、先に送られてきたメッセージと同じ内容を繰り返し送ってきたり、ということも起こります。
こうしたミスも「たぶん慌てていて送り間違ったのだろう」などと好意的に受け止めず、なりすましを疑うきっかけにしましょう。

・たくさんの会話が嘘を暴く
不自然だと感じたら、迷わず相手に質問をぶつけましょう。都合の悪い問いかけに対してなりすまし犯は、無視をしたり、話をそらしたりして、答えようとしないはずです。
振り込め詐欺の場合もそうですが、相手がなりすまし犯であるかどうかを見極めるためには、とにかく相手とたくさん言葉を交わすことが重要になるのです。

【乗っ取られた場合の対処方法】

さて、いざ乗っ取りの被害にあった場合には、どうすればいいのでしょうか?

・友達のアカウントが乗っ取られている場合
まず第一に考えるべきことは、乗っ取られている相手に状況を伝えることです。SNS以外の連絡手段を持っている場合には、その手段で連絡してあげましょう。
ほかに連絡手段がない場合は、運営に通報するというのも選択肢のひとつです。どのSNSにも、こうした場合の通報窓口がありますので、そちらから通報してください。
もっとも、頻繁に利用しているユーザーであれば、本人がまっさきに乗っ取りの被害にあったことに気づくことでしょう。

・自分のアカウントが乗っ取られた場合
乗っ取りがおこなわれると、普段自分が使っている端末とは別の端末から、なりすまし犯がアカウントにログインすることになります。こうした場合、「他の端末で同じアカウントを利用した」という内容の警告が表示されます。心当たりがない場合には、乗っ取りがおこなわれたと考えましょう。
まず、自分がログインできるかを試す必要があります。もしもログインができる状態であれば、なりすまし犯はまだパスワードを変更していないはずです。一刻もはやくパスワードを変更して、なりすまし犯をアカウントから締め出しましょう。
もしもログインができなくなっている場合は、残念ながらアカウントは完全になりすまし犯に乗っ取られてしまっています。SNSの問題報告フォームから、ご自分の手で通報をおこなってください。
また、被害の拡大を防ぐためにも、友人たちに乗っ取りにあってしまったことを知らせておきたいところです。可能であれば他の手段で連絡可能な友人に頼んで、乗っ取りにあった旨をタイムラインに書き込んでおいてもらいましょう。
さて、今回はSNS詐欺を題材にお伝えしましたが、いかがでしたでしょうか。
旧来の詐欺の手口と重なる部分もありますが、SNSを使うことで新たに気をつけなければいけない点も増えました。みなさん自身だけでなく友人にも迷惑をかけてしまいますので、くれぐれもご注意ください。
それではみなさん、良いデジタルライフを!

著者:滝澤真実

滝澤真実氏ITコンサルタントにしてハッカー小説作家。企業や個人のIT全般に関する困り事の相談に乗るかたわら、その豊富な知識を生かして娯楽小説を執筆している。
滝澤真実 小説公式サイト http://masamitakizawa.correctica.jp/

ページ上部へ戻る