時事セキュリティが5分でわかる 第3回

運営会社による全ユーザーのパスワード強制リセットが根本的な解決策だが……

話題のメッセージングアプリ乗っ取り被害は想像以上に大規模

社会問題になりつつある「アカウント乗っ取り」
特徴は「不自然な日本語」

アカウントを乗っ取られた三上氏の知人から、三上氏に直接届いたLINEのメッセージ。「コンビニすべて置いています」など、不自然な日本語が目立つ

　6月半ばから被害報告が多発し、社会問題になりつつある無料通話・メッセージングアプリのアカウント乗っ取り被害。7月8日現時点で運営会社が確認している被害件数は303件。これは同社に寄せられた「アカウントが乗っ取られた」という相談の内、実際に乗っ取られていることが運営側で確認できている件数に過ぎず、“氷山の一角”と見られる。

　セキュリティーの分野に造詣が深いITジャーナリストの三上洋氏は、「私の知人だけでも、乗っ取られたという被害が複数あります。またSNSでも『乗っ取られた』との被害が散見されます。

　このことから、被害がかなり広い範囲に及んでいることが予想できます。発覚していないケースも含めると、被害者は数千、数万単位になるかもしれません。不正ログイン事件としては、今までに類を見ない規模だと思います」と一連の乗っ取り被害の規模の大きさを分析している。

　手口は前回伝えた通り、乗っ取ったアカウントを装い、“友だち”に「忙しいですか？手伝ってもらってもいいですか？」「近くのコンビニエンスストアでプリペイドカードを買うのを手伝ってもらえますか？」などと送りつけるというもの。

　犯人が、“友だち”に要求するのは、既報の通りショッピングサイトのギフトカードなどプリペイド式のウェブマネーだ。「買ったらすぐに番号の写真を送ってください」など、プリペイド番号を写真を送らせる手口が報告されており、滋賀県では男女2人の合計で22万円もの被害が出たとの報道発表もある。

　いずれも人気サービスのプリペイド番号なので、オークションなどでの換金も容易い。金銭目的の犯行との見方が有力だが、三上氏は「これだけ大規模になってくると、すべて換金しているとも考えにくくなってきます。金銭目的は金銭目的でも、犯行グループの母体がショッピングサイトなどを運営していて、決算の偽装などに利用されているといったケースも考えられるでしょう」と語る。

　犯行グループの全容は依然として不明だが、日本語のネイティブスピーカーなら気付ける「不自然な日本語」や、「ユンビニ」「コソビニ」など、通常間違いようのない“かな”の取り違えなど、被害報告に共通する点が明らかになっている。また、「中国語では自然な会話が成立した」との報告もあるという。これらの特徴から、中国語が使える人物らによるものとの見方が今のところ有力だ。

サービス側ではスタンプのプレゼントキャンペーンを実施
しかしこれが新たな詐欺を生む可能性も!?

「私のためになんかしてもらえますか？」

　メッセージングアプリの運営会社はセキュリティー強化のため、PINコードをスマートフォン側で入力しなければPCからログインできない仕様を実装したが、この仕様について三上氏は「有効な手段ではありますが、根本的な解決にはならないと思います」と話す。

　PCからのログインではPINコードが必要となるが、「他のスマートフォン」からログインする場合にはPINコードが要求されない※ためだ。スマートフォンでのログイン時には、認証も登録メールアドレスを介して実施される。メールアドレスが犯人に握られている以上、不正ログインを防止する役割を果たせない。

　「犯人たちはスマートフォンで、手作業で、次々にメッセージを送っているのかもしれません。数人でできることではないので、数十人程度の規模によるものだと思います。どの報告でも手口が非常に似通っていることから、乗っ取った後のやり取りをマニュアル化し、アルバイトを雇って詐欺行為に及んでいるのかもしれません」と、三上氏は犯人像について分析している。

　該当のアプリでは前述のPINコード認証の導入に加え、「パスワードを変更したらスタンプをプレゼント」というキャンペーンを展開している。「いい考えだ」という声がある一方で、三上氏はこのキャンペーンにも不安を覚えているという。

　「パスワードを変えるとスタンプが貰える。犯人の側から考えてみると、このキャンペーンに便乗してパスワード変更をうながす偽のメールをばらまけば、そのままログインできる大量のメールアドレスとパスワードが入手できるチャンスです。

　言い換えれば、今、アプリユーザーを標的としたフィッシング詐欺がしやすい状況になっているこということです。まだ実際にそういった事例は確認されていませんが、今後は、そういった手口に対する警戒も強めておいた方がいいでしょう」。

^{※ 記事制作時。7月17日15:00より、スマートフォン版アプリもログイン時にPINコードが要求される仕様になります。}

唯一の完璧な対策は「全ユーザーのパスワードの強制リセット」
個人レベルでは「他のサービスで一切使っていないパスワードの設定」

　最後に、根本的な解決策とユーザーレベルでの対策をきいた。

　「不正ログインが今後起きないようにする唯一の方法は、運営会社側で、全ユーザーのパスワードを強制的にリセットする措置をとり、これまで使っていたパスワードではログインできないようにすることです。こうすれば流出したメールアドレスとパスワードではログインできなくなりますから、乗っ取り被害を未然に防げます。

　とはいえ、今やユーザー数が膨大なサービスですから、運営会社としてもこういった措置を前向きに検討するとはいかないようです。やはり第一に、ユーザー各々がパスワードを変更しておくことが大切です。

　身近にいる乗っ取りの被害に遭った人たちに、メールアドレスのドメインをきいてみました。すると、大手プロバイダーのものに加え、キャリアメール、中には、独自ドメインのメールアドレスを使っていた人もいることが分かりました。特定のプロバイダーのメールアドレスを使っている人だけが被害に遭っているわけではないようなのです。

　大元を辿れば、大手プロバイダーからの大規模流出が絡んだ今回の乗っ取り被害ですが、『大手プロバイダーのサービスは一切使っていないからといって安全』というわけではありません。何気なく登録していた他のサービスから流出していることも否定できませんし、流出したことを公表しないサービスがないとも言い切れないからです。

　乗っ取りからアカウントを守るためには、まずパスワードを変更すること。そして他のサービスで使っているパスワードを流用せず、新たに作り直すのが有効でしょう」