ESET/マルウェア情報局

Instagramのアカウントなりすまし詐欺に注意(実際にやってみた)

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「Instagramのクローンアカウントによる攻撃とは?」を再編集したものです。

 ソーシャルメディアは、意中の人や友だちと連絡を取り合う、あるいは経験のシェアにはうってつけのツールだといえる。しかし、インターネット上のありとあらゆるものと同様に、簡単に悪用されかねない。少しばかりの悪知恵と運さえあれば、気づかれずに被害者から金銭を盗み出すことも難しくない。

 過去に、クローンアカウントの話を何度か聞いたことがあるが、最近つながったアカウントへ送金することになった場合、事前に別の通信手段でアカウントの持ち主を確認するなど、信頼できるかどうか今一度考えるユーザーがほとんどだろうと楽観視していた。しかし、現実では、いまだにこの手の詐欺に騙される人が少なくない。そこで、このような詐欺が実際にどのように行なわれるかを解説しよう。

 セキュリティに関して執筆する際、現実の世界でその詐欺がどれほど簡単に行なうことができるかを再現して確認することにしている。実際に詐欺がどのように行なわれているのかを確かめたほうが、より具体的にリスクに関するメッセージを伝えやすく、読者も自らのアカウントや自分自身のセキュリティについて気をつけるようになると考えている。そのため、詐欺の再現に協力してくれる人を探し出す必要がある。しかし、最近は周囲に詐欺の再現に協力してくれる人がほぼゼロとなってしまった。広く呼びかけてみたものの、手を挙げてくれる人は誰もいなかった。

 結局、協力者を得られなかったため、私は自分のInstagramのアカウントをクローンするしか方法がないと結論づけた。Instagramでは、900アカウント近くをフォローしており、フォロワーは1400名ほど。ほとんどの投稿は、似たような海辺の写真やビーチをぶらつく自分の写真だ。私は、別のスマホを使用して新しいアカウントを作成した。極力、本物に見えるよう、元の写真をアップロードするのではなく、ほかの誰かが作ったかのように、元のアカウントのスクリーンショットを4枚撮影した。これらの画像をコピーするのは容易だったが、難しかったのはプロフィール写真をコピーする際に、それらしい複製写真を作るためフィードに投稿する必要があったことだ。

 これが実際のInstagramアカウント「@jakemooreuk」のスクリーンショットだ。

ジェイク ムーア
海と家族、そして素晴らしいドーセット州を愛する男
ESETのサイバーセキュリティ専門家

 そして、こちらがInstagramの複製アカウント「@jakemoore_uk」だ。プロフィールに「元アカウントへアクセスできなくなったため新アカウントを作成」と変更が加えられていることに注目してほしい。

ジェイク ムーア
「元アカウントへアクセスできなくなったため新アカウントを作成」
海と家族、そして素晴らしいドーセット州を愛する男
ESETのサイバーセキュリティ専門家

 友だちを30名ほどフォローし、彼らがこのクローンアカウントをフォローするか実験を始めた。そのうち10名はプライベートアカウントであったため承認が必要で、20名は公開アカウントであった。

 すぐに、プライベートアカウントの3名が私のリクエストを承認し、2名がフォローを返してきた。私がセキュリティに関する仕事をしており、またこういった影響を受けやすく、アカウントを乗っ取られやすい傾向にあることを考慮すると、彼らが別の通信手段で私に連絡し、このリクエストが本当か質問を投げかけてくるだろうと期待していた。

 だが、フォローの数は増えたが、そのうちの誰からも連絡はなかった。実験初日に13名がフォローを返してきたため、夕方に彼らへメッセージを送り、どのような返答をするか確認することとした。

 まず、私はアカウントの乗っ取りについて説明し、フォローリクエストの承認についてお礼とともに、近況を報告することにした。

「新しいフォローリクエストの承認ありがとう。信じられないことに、アカウントへのアクセスができなくなってしまったよ。これまでのフォロワーがすべていなくなった。とにもかくにも、みんなが元気であることを願うばかりだ。時には日々の出来事をシェアするよ。コーヒーショップのコーヒーが懐かしい。」

 新しい13名のフォロワーのうち、8名がこのメッセージに返答してきた。この実験の最終目標は、疑われずに手っ取り早くお金を要求するために、もっともらしい話をでっち上げることだ。関係が十分に出来上がっていない場合は非常に難しいが、被害者がメッセージの相手が知り合いであると信じきってしまっている場合は、送金してしまう傾向にある。

 あるフォロワーは希望の持てるメッセージを返してきた。彼女は明らかに私のことを気の毒に思っており、非常に腹立たしいと同情してくれたのだ。

「新しいフォローリクエストの承認ありがとう。信じられないことに、アカウントへのアクセスができなくなってしまったよ。これまでのフォロワーがすべていなくなった。とにもかくにも、みんなが元気であることを願うばかりだ。時には日々の出来事をシェアするよ。コーヒーショップのコーヒーが懐かしい。」

「何があったの?本当に最悪だね。」

 ソーシャルエンジニアリングが成功するには、信憑性、自信、そしてそれらをあたかも本当のように見せ、筋が通ったようにするための、少しばかりの運が必要となる。最初のメッセージで銀行口座への送金を依頼するのでは相手に警戒心を与えてしまう。そのため、会話の最中にタイミングを見て、話の流れを私のキャッシュフローの状況に関する話に持っていくようにした。

 実験前には、より本当らしく見せるために銀行の口座番号ではなく、新しいPayPalアカウントを自分名義で作成した。これは詐欺師が似たようなメールアドレスを私の名義を偽ったPayPalアカウントにするようなものだ。幸いなことに、誰も使っていなかったため、私は「jakemooreuk@xxxxxx.com」を選択した。

 次が、会話の内容だ。

「新しいフォローリクエストの承認ありがとう。信じられないことに、アカウントへのアクセスができなくなってしまったよ。これまでのフォロワーがすべていなくなった。とにもかくにも、みんなが元気であることを願うばかりだ。時には日々の出来事をシェアするよ。コーヒーショップのコーヒーが懐かしい。」

「何があったの?本当に最悪だね。」

「本当に最悪だよね。加えて、オンラインアカウントまで乗っ取られて、銀行口座のお金も全て盗まれてしまったんだ。もうやってられないよ。」

「えっ?そうなの?それはひどい話ね。あなたが大丈夫だといいけど。」

「実は、全くの一文無しになってしまったんだよ。銀行のキャッシュカードが届くまでお金は無いし、車の中に少しばかり小銭があったけど、現金ではどこも買い物ができないしね。」

「何てこと。何かできることがあったら教えて。」

「ありがとう。ちょっとお願いがあるんだ。ちゃんと返すから、僕のPayPalアカウント『j HYPERLINK
"mailto:jakemooreuk@xxxxxx.com"akemooreuk@xxxxxx.com』に50ポンド(約7000円)を送金してもらえないかな?できる限りすぐに返すからさ。」

 思っていた以上にスムーズに事が運び、確認すら必要なく、このアカウントを本物だと騙すことができたことには戸惑いすら感じてしまった。さらに、彼女は自ら私のサポートを申し出てくれることになるとは、想像もしていなかった。これは、直接的に金銭を要求するのではなく、相手から提案させるという心理の裏をかいたプロのソーシャルエンジニアに使用される高度なテクニックと同じだ。

注記:彼女が新しいPayPalアカウントに送金する前に連絡をとることができたが、この実験で次のことが証明された。それは、このように大量の情報がオンライン上にあると、非常に簡単にこの手の詐欺を実行できてしまうということである。実際に必要となるのは、複製するアカウントと連絡先だけである。

ソーシャルメディアのアカウントの安全性を守るにはどうすればよいだろうか?

 まず、可能な限りオンライン上の個人情報と写真の数を削減することが急務だ。一筋縄にはいかないが、次世代のソーシャルメディアユーザーに対し、後から情報を削除できなくなってしまう前に、そもそもオンラインに投稿する情報量を制限することを教育しなければならない。この詐欺は、アカウントが非公開の場合はうまくいかないはずだ。

 それでも、プライベートアカウントの持ち主の多くは、相手が誰かもわからない状態で自分へのフォローを許している。自分が何を投稿するかを考え、自分のことが知られても問題ない人にだけフォローを承認することも重要な判断のひとつといえる。すべてを公開状態にしてしまうと、今回のような危険が再現される可能性があるということだ。

 また、金銭を要求された際は、額面通りに受け取らないことも覚えておくとよい。新しいアカウントに送金する前に、別の通信手段から必ず本人確認を行なうべきである。今回のケースでも、被害者が私に直接電話していれば、この「詐欺実験」は失敗していただろう。

 もし、実際に電話があれば、彼女への詐欺はあきらめ、返答をもらった他の7人にターゲットを変更したはずだ。

 この詐欺は、Instagramだけに限ったことではなく、FacebookやTwitter、LinkedInでも起こっていたことを確認している。そのため、くれぐれもクローンアカウントには注意が必要だ。このようなクローンアカウントを見つけた場合、速やかに運営元に報告し、本当のアカウント所有者に知らせるべきだろう。

Send in the clones: Facebook cloning revisited
(クローンを送り込む:Facebookクローンの再来)

[引用・出典元]
Attack of the Instagram clones by Jake Moore 17 Aug 2020 - 11:30AM
https://www.welivesecurity.com/2020/08/17/attack-instagram-clones/