時事セキュリティが5分でわかる 第3回
運営会社による全ユーザーのパスワード強制リセットが根本的な解決策だが……
話題のメッセージングアプリ乗っ取り被害は想像以上に大規模
2014年07月16日 18時00分更新
最近気になるセキュリティ事件のあらましをざっくり解説! 注目点とユーザーレベルでの対策をお伝えします。
社会問題になりつつある「アカウント乗っ取り」
特徴は「不自然な日本語」
6月半ばから被害報告が多発し、社会問題になりつつある無料通話・メッセージングアプリのアカウント乗っ取り被害。7月8日現時点で運営会社が確認している被害件数は303件。これは同社に寄せられた「アカウントが乗っ取られた」という相談の内、実際に乗っ取られていることが運営側で確認できている件数に過ぎず、“氷山の一角”と見られる。
セキュリティーの分野に造詣が深いITジャーナリストの三上洋氏は、「私の知人だけでも、乗っ取られたという被害が複数あります。またSNSでも『乗っ取られた』との被害が散見されます。
このことから、被害がかなり広い範囲に及んでいることが予想できます。発覚していないケースも含めると、被害者は数千、数万単位になるかもしれません。不正ログイン事件としては、今までに類を見ない規模だと思います」と一連の乗っ取り被害の規模の大きさを分析している。
手口は前回伝えた通り、乗っ取ったアカウントを装い、“友だち”に「忙しいですか?手伝ってもらってもいいですか?」「近くのコンビニエンスストアでプリペイドカードを買うのを手伝ってもらえますか?」などと送りつけるというもの。
犯人が、“友だち”に要求するのは、既報の通りショッピングサイトのギフトカードなどプリペイド式のウェブマネーだ。「買ったらすぐに番号の写真を送ってください」など、プリペイド番号を写真を送らせる手口が報告されており、滋賀県では男女2人の合計で22万円もの被害が出たとの報道発表もある。
いずれも人気サービスのプリペイド番号なので、オークションなどでの換金も容易い。金銭目的の犯行との見方が有力だが、三上氏は「これだけ大規模になってくると、すべて換金しているとも考えにくくなってきます。金銭目的は金銭目的でも、犯行グループの母体がショッピングサイトなどを運営していて、決算の偽装などに利用されているといったケースも考えられるでしょう」と語る。
犯行グループの全容は依然として不明だが、日本語のネイティブスピーカーなら気付ける「不自然な日本語」や、「ユンビニ」「コソビニ」など、通常間違いようのない“かな”の取り違えなど、被害報告に共通する点が明らかになっている。また、「中国語では自然な会話が成立した」との報告もあるという。これらの特徴から、中国語が使える人物らによるものとの見方が今のところ有力だ。
サービス側ではスタンプのプレゼントキャンペーンを実施
しかしこれが新たな詐欺を生む可能性も!?
メッセージングアプリの運営会社はセキュリティー強化のため、PINコードをスマートフォン側で入力しなければPCからログインできない仕様を実装したが、この仕様について三上氏は「有効な手段ではありますが、根本的な解決にはならないと思います」と話す。
PCからのログインではPINコードが必要となるが、「他のスマートフォン」からログインする場合にはPINコードが要求されない※ためだ。スマートフォンでのログイン時には、認証も登録メールアドレスを介して実施される。メールアドレスが犯人に握られている以上、不正ログインを防止する役割を果たせない。
「犯人たちはスマートフォンで、手作業で、次々にメッセージを送っているのかもしれません。数人でできることではないので、数十人程度の規模によるものだと思います。どの報告でも手口が非常に似通っていることから、乗っ取った後のやり取りをマニュアル化し、アルバイトを雇って詐欺行為に及んでいるのかもしれません」と、三上氏は犯人像について分析している。
該当のアプリでは前述のPINコード認証の導入に加え、「パスワードを変更したらスタンプをプレゼント」というキャンペーンを展開している。「いい考えだ」という声がある一方で、三上氏はこのキャンペーンにも不安を覚えているという。
「パスワードを変えるとスタンプが貰える。犯人の側から考えてみると、このキャンペーンに便乗してパスワード変更をうながす偽のメールをばらまけば、そのままログインできる大量のメールアドレスとパスワードが入手できるチャンスです。
言い換えれば、今、アプリユーザーを標的としたフィッシング詐欺がしやすい状況になっているこということです。まだ実際にそういった事例は確認されていませんが、今後は、そういった手口に対する警戒も強めておいた方がいいでしょう」。
※ 記事制作時。7月17日15:00より、スマートフォン版アプリもログイン時にPINコードが要求される仕様になります。
唯一の完璧な対策は「全ユーザーのパスワードの強制リセット」
個人レベルでは「他のサービスで一切使っていないパスワードの設定」
最後に、根本的な解決策とユーザーレベルでの対策をきいた。
「不正ログインが今後起きないようにする唯一の方法は、運営会社側で、全ユーザーのパスワードを強制的にリセットする措置をとり、これまで使っていたパスワードではログインできないようにすることです。こうすれば流出したメールアドレスとパスワードではログインできなくなりますから、乗っ取り被害を未然に防げます。
とはいえ、今やユーザー数が膨大なサービスですから、運営会社としてもこういった措置を前向きに検討するとはいかないようです。やはり第一に、ユーザー各々がパスワードを変更しておくことが大切です。
身近にいる乗っ取りの被害に遭った人たちに、メールアドレスのドメインをきいてみました。すると、大手プロバイダーのものに加え、キャリアメール、中には、独自ドメインのメールアドレスを使っていた人もいることが分かりました。特定のプロバイダーのメールアドレスを使っている人だけが被害に遭っているわけではないようなのです。
大元を辿れば、大手プロバイダーからの大規模流出が絡んだ今回の乗っ取り被害ですが、『大手プロバイダーのサービスは一切使っていないからといって安全』というわけではありません。何気なく登録していた他のサービスから流出していることも否定できませんし、流出したことを公表しないサービスがないとも言い切れないからです。
乗っ取りからアカウントを守るためには、まずパスワードを変更すること。そして他のサービスで使っているパスワードを流用せず、新たに作り直すのが有効でしょう」
この連載の記事
-
第22回
デジタル
パスワードの教訓、長澤まさみさんの盗まれたプライベート写真から何を得る? -
第21回
デジタル
ランサムウェアがビジネス化して、信用を重視しはじめてきた -
第20回
デジタル
使っちゃダメ! FPS向けチートツールが国内初の摘発事例に発展 -
第19回
デジタル
これぞ攻性防御!? 警視庁が国内初のボットネット無力化作戦決行! -
第18回
デジタル
史上最悪の振り込め詐欺被害額! 対策は両親宅に電話番号を貼り出せ!? -
第17回
デジタル
「年収1000万のイケメン」に注意!? 女性を狙う婚活サイト詐欺 -
第16回
デジタル
なぜ!? パスワードを変えても、SNS乗っ取りが止まらない -
第15回
デジタル
翻訳サービスの仕様で公官庁のメール文が見放題に!? -
第14回
デジタル
SNS乗っ取りスパム、犯人は海外の詐欺業者だった!? -
第13回
デジタル
NASの設定ミスで、学校関係者の個人情報が丸見えに!? -
第12回
デジタル
2015年、気をつけたいセキュリティの脅威とは? - この連載の一覧へ