被害事例に学ぶ、高齢者のためのデジタルリテラシー
知っておきたい脅威と影響
オバマ元大統領やビル・ゲイツのTwitterアカウントを乗っ取り、17歳が仕掛けた不正アクセスの手口とは
2020年8月21日 06:00
2020年7月15日、米国のバラク・オバマ元大統領、ジョー・バイデン氏、イーロン・マスク氏、ビル・ゲイツ氏、カニエ・ウェスト氏、マイケル・ブルームバーグ氏、そしてAppleやUberの公式Twitterアカウントがまとめて乗っ取られる騒動が起こりました。
乗っ取られたアカウントでは、「30分以内にビットコインを送ると倍になって返ってくる」というツイートが投稿されました。もちろん、倍になるどころか、1円も返ってきません。この騒動についてはすぐにニュースでも報道されたのですが、それでも1200万円相当のビットコインが送金されました。
ことの重大さに法執行機関も本気を出しました。7月31日、このサイバー犯罪を行った主犯格として、フロリダ州在住の17歳の少年を逮捕しました。過去のチャットでのやり取りや利用されたビットコインアドレスなどから身元が判明したそうです。17歳の少年には約7600万円の保釈金が設定されていますが、彼は4億円を超えるビットコインを所有していることが明らかになっていますす。
彼はTwitterの内部のシステムに侵入し、アカウントを乗っ取りました。もちろん、彼はTwitter社で働いているわけではありません。
Twitterはこの事件について「ソーシャルエンジニアリング」の被害を受けたことを7月16日に発表しました。ソーシャルエンジニアリングとは、重要な情報を情報通信技術を使わずに盗む方法です。例えば、電話でパスワードを聞き出す、肩越しにキー入力を見る、ごみ箱を漁る、といった手口があり、総務省でも注意を呼び掛けています。
また、一部の従業員を標的にした電話での「スピアフィッシング攻撃」が行われたことも後日明らかにしました。スピアフィッシング攻撃とは、特定の人物や組織を標的にしたフィッシング詐欺のことです。標的を絞り込んでいるため、危険度の高い攻撃です。
犯人は従業員に電話し、適当な嘘をついて資格情報を入手したのです。そして、その資格情報を元にTwitterのアカウントサポートツールに不正アクセス。130件のアカウントを標的にし、そのうち45件のアカウントからツイートを行いました。また、36件のアカウントに関してはダイレクトメッセージの受信ボックスにアクセスされ、7件のアカウントではTwitterデータのダウンロードも行われています。
The attack on July 15, 2020, targeted a small number of employees through a phone spear phishing attack. This attack relied on a significant and concerted attempt to mislead certain employees and exploit human vulnerabilities to gain access to our internal systems.
— Twitter Support (@TwitterSupport)July 31, 2020
今回のTwitterの騒動に関しては短期決戦だったようですが、過去の事件では時間をかけて信頼を得てからサイバー犯罪を実行したケースもあります。
怪しい相手から連絡があった場合は、情報を渡す前に、別のルートで確認を取ることが効果的です。とはいえ、相手も「極秘で」「急いでいる」など、いろいろ理由を付けて焦らせてくるので、難しい面もあります。せめて、何があろうと電話でパスワードは教えないなどの社内ルールを決めておくと最悪の事態を回避できるかもしれません。
今回の事件はいい教訓となりました。犯人はすぐにばれるようなことを行ったため、すぐに逮捕されたのです。もし、静かに目立たず稼ぐことに注力していたら、被害が深刻化していたことでしょう。
有名人のアカウントを乗っ取り、流言の流布を行い株価を操作することもできます。政治家のアカウントで暴言を吐き、世論を動かしてしまうかもしれません。大統領のアカウントなら、国家間の関係にひびが入ってしまいます。
もう1つ、この事件に絡んだ事件も起きました。8月5日、オンライン公聴会がビデオ会議サービス「Zoom」で実施されたのですが、部外者が乱入し、いたずらされてしまう「Zoom爆撃」が起きたのです。公聴会が始まるとポルノ動画が再生されました。また、Zoom爆撃を行った犯人は、今回の事件で逮捕された人たちを釈放するように求めていました。これはパスワードを設定していなかったことが原因でZoom爆撃を受ける結果となったのです。
複雑なパスワードや2段階認証を設定していても、乗っ取られて勝手にツイートされ、プライベートなダイレクトメールまで見られてしまうというのはとても怖いことです。とはいえ、こういう事例があるということは知っておいた方がいいでしょう。
また、SNSで不審な投稿を見たときも疑う癖が付いていれば、今回の騒動のようにビットコインを送金するような失敗を回避できる可能性が高まります。最後は、デジタルリテラシーを高め、自分の身を守りましょう。
あなたの両親も“ネット詐欺”の餌食になっているかもしれません――その最新の手口を広く知ってもらうことで高齢者のデジタルリテラシー向上を図り、ネット詐欺被害の撲滅を目指しましょう。この連載では、「DLIS(デジタルリテラシー向上機構)」に寄せられた情報をもとに、ネット詐欺の被害事例を紹介。対処方法なども解説していきます。
「被害事例に学ぶ、高齢者のためのデジタルリテラシー」の注目記事
- Airbnbで素敵物件を予約しようとして危うく詐欺の被害に!? 正規サイトを悪用して金銭をだまし取ろうとする手口に要注意
- チェーンメールで有名だった「神の手雲」が15年ぶりにLINEで回ってきた
- 募集内容はECサイトでの商品売却や銀行口座の開設など、高収入をうたう「闇バイト」の危険性
- キャッシュカード&暗証番号を渡さなくても口座のお金が盗まれることも。自称「警察」から口座開設を求められたら要注意
- まるで本人、ネット詐欺の「ディープフェイク」技術が向上して見分けるのが難しいレベルに
- ネットを見ていたら突然「ウイルス感染」警告、誘導先のアプリをインストールしてみると……
- 元ZOZO前澤氏の「お金配り」に参加したつもりが……Facebookで起こっている詐欺に注意
- iPhoneのカレンダーから「セキュリティ警告」? 身に覚えのないイベントが勝手に追加されていた
- 友だちから「写真がネットに載ってるじゃん、気まずいな!」と連絡が来た
- 2回目の「特別定額給付金」が支給される? うっかり騙されて個人情報を入力してしまった
- 「500万円」クラスの高級車の当選メールが届いたので開いてみた
- 「総額450万円」の書留郵便物を受け取るよう郵便局から連絡が来た
- クレジットカードが届くのを待っていたら、いつの間にか不正利用された
- 「ETCサービス利用照会サービス」のアカウントが停止したのでメールの指示に従ってみた
- Twitterの怪しいトレンド便乗詐欺、「稼げるかも」と思って連絡したら大変なことに……
- マッチングアプリで知り合った外国人を信用したら1000万円以上を失った
- そのほかの詐欺事例など、この連載の記事一覧はこちら
高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。