被害事例に学ぶ、高齢者のためのデジタルリテラシー
知っておきたい脅威と影響
オバマ元大統領やビル・ゲイツのTwitterアカウントを乗っ取り、17歳が仕掛けた不正アクセスの手口とは
2020年8月21日 06:00
2020年7月15日、米国のバラク・オバマ元大統領、ジョー・バイデン氏、イーロン・マスク氏、ビル・ゲイツ氏、カニエ・ウェスト氏、マイケル・ブルームバーグ氏、そしてAppleやUberの公式Twitterアカウントがまとめて乗っ取られる騒動が起こりました。
乗っ取られたアカウントでは、「30分以内にビットコインを送ると倍になって返ってくる」というツイートが投稿されました。もちろん、倍になるどころか、1円も返ってきません。この騒動についてはすぐにニュースでも報道されたのですが、それでも1200万円相当のビットコインが送金されました。
ことの重大さに法執行機関も本気を出しました。7月31日、このサイバー犯罪を行った主犯格として、フロリダ州在住の17歳の少年を逮捕しました。過去のチャットでのやり取りや利用されたビットコインアドレスなどから身元が判明したそうです。17歳の少年には約7600万円の保釈金が設定されていますが、彼は4億円を超えるビットコインを所有していることが明らかになっていますす。
彼はTwitterの内部のシステムに侵入し、アカウントを乗っ取りました。もちろん、彼はTwitter社で働いているわけではありません。
Twitterはこの事件について「ソーシャルエンジニアリング」の被害を受けたことを7月16日に発表しました。ソーシャルエンジニアリングとは、重要な情報を情報通信技術を使わずに盗む方法です。例えば、電話でパスワードを聞き出す、肩越しにキー入力を見る、ごみ箱を漁る、といった手口があり、総務省でも注意を呼び掛けています。
また、一部の従業員を標的にした電話での「スピアフィッシング攻撃」が行われたことも後日明らかにしました。スピアフィッシング攻撃とは、特定の人物や組織を標的にしたフィッシング詐欺のことです。標的を絞り込んでいるため、危険度の高い攻撃です。
犯人は従業員に電話し、適当な嘘をついて資格情報を入手したのです。そして、その資格情報を元にTwitterのアカウントサポートツールに不正アクセス。130件のアカウントを標的にし、そのうち45件のアカウントからツイートを行いました。また、36件のアカウントに関してはダイレクトメッセージの受信ボックスにアクセスされ、7件のアカウントではTwitterデータのダウンロードも行われています。
The attack on July 15, 2020, targeted a small number of employees through a phone spear phishing attack. This attack relied on a significant and concerted attempt to mislead certain employees and exploit human vulnerabilities to gain access to our internal systems.
— Twitter Support (@TwitterSupport)July 31, 2020
今回のTwitterの騒動に関しては短期決戦だったようですが、過去の事件では時間をかけて信頼を得てからサイバー犯罪を実行したケースもあります。
怪しい相手から連絡があった場合は、情報を渡す前に、別のルートで確認を取ることが効果的です。とはいえ、相手も「極秘で」「急いでいる」など、いろいろ理由を付けて焦らせてくるので、難しい面もあります。せめて、何があろうと電話でパスワードは教えないなどの社内ルールを決めておくと最悪の事態を回避できるかもしれません。
今回の事件はいい教訓となりました。犯人はすぐにばれるようなことを行ったため、すぐに逮捕されたのです。もし、静かに目立たず稼ぐことに注力していたら、被害が深刻化していたことでしょう。
有名人のアカウントを乗っ取り、流言の流布を行い株価を操作することもできます。政治家のアカウントで暴言を吐き、世論を動かしてしまうかもしれません。大統領のアカウントなら、国家間の関係にひびが入ってしまいます。
もう1つ、この事件に絡んだ事件も起きました。8月5日、オンライン公聴会がビデオ会議サービス「Zoom」で実施されたのですが、部外者が乱入し、いたずらされてしまう「Zoom爆撃」が起きたのです。公聴会が始まるとポルノ動画が再生されました。また、Zoom爆撃を行った犯人は、今回の事件で逮捕された人たちを釈放するように求めていました。これはパスワードを設定していなかったことが原因でZoom爆撃を受ける結果となったのです。
複雑なパスワードや2段階認証を設定していても、乗っ取られて勝手にツイートされ、プライベートなダイレクトメールまで見られてしまうというのはとても怖いことです。とはいえ、こういう事例があるということは知っておいた方がいいでしょう。
また、SNSで不審な投稿を見たときも疑う癖が付いていれば、今回の騒動のようにビットコインを送金するような失敗を回避できる可能性が高まります。最後は、デジタルリテラシーを高め、自分の身を守りましょう。
あなたの両親も“ネット詐欺”の餌食になっているかもしれません――その最新の手口を広く知ってもらうことで高齢者のデジタルリテラシー向上を図り、ネット詐欺被害の撲滅を目指しましょう。この連載では、「DLIS(デジタルリテラシー向上機構)」に寄せられた情報をもとに、ネット詐欺の被害事例を紹介。対処方法なども解説していきます。
「被害事例に学ぶ、高齢者のためのデジタルリテラシー」の注目記事
- みちょぱ、団長安田、ゴリけん…タレントが相次いで詐欺被害を告白、その手口とは
- チェーンメールで有名だった「神の手雲」が15年ぶりにLINEで回ってきた
- マイナポイント第2弾に便乗、「獲得したポイント2万円分が失効する」という詐欺メールが拡散中
- 注文した覚えはないのに? Amazonから代引き商品が送りつけられる詐欺に注意
- キャッシュカード&暗証番号を渡さなくても口座のお金が盗まれることも。自称「警察」から口座開設を求められたら要注意
- 「電話料金の未納があります」、フィリピンからNTTファイナンスをかたる怪しい国際電話がかかってきた
- Facebookで明石家さんまさん、大坂なおみさんなど著名人の写真を悪用したネット詐欺が横行中
- URLが本物そっくりな詐欺サイトに注意! 「ホモグラフ攻撃」などの手法を知っておこう
- ノブコブ吉村さんも遭遇、「PCのカメラからシャッター音! 何か撮影された!?」と驚かせる手口とは?
- SMSで不在通知が届いてもURLはクリック禁止! 偽宅配詐欺に要注意
- そのほかの詐欺事例など、この連載の記事一覧はこちら
高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。