価値あるものが、狙われる

オンラインサービスのアカウントがハッキングの被害に遭う事例が増えています。価値があるこそ、狙われるのです。

価値-featured

ハッキングされたコンピューターやメールアドレス、その他オンラインアカウントについて、実際ハッキングするほどのものなのかと考えたことはありませんか?もちろん、不正入手したインターネット銀行やPayPalのアカウント情報に大きな価値があるのはわかりきったことに思えますが、FacebookSkype、その他無数のオンラインサービスの場合はどうなのでしょう。

こうしたアカウントの価値は、少なくとも2つの方法で算出することができます。1つめは金銭上の価値、つまり、ハッキングされたアカウントの市場価値がどの程度かを見る方法です。一方で、こうしたアカウントはソーシャルエンジニアリングを使う犯罪者にとっても価値があります。言い換えれば、犯罪者がフィッシング攻撃にどのように利用できるか、という観点です。

幸いなことに、ワシントン・ポストの元記者であり業界で最も広く尊敬を集めているジャーナリストの1人であるブライアン・クレブス(Brian Krebs)氏が数年前、自身の運営するニュースサイト『Krebs on Security』で、ハッキングされたマシンの価値を示した図表を公開しています。クレブス氏は、ハッキングされたメール等のアカウントの価値に対する評価も含め、この見解を数回にわたって検討しています。また、クレブス氏の先例にならい、SANS Instituteがさまざまな言語でこの見解を詳しく説明しています。以下は、SANSの図です。STH-Poster-YouAreATarget-LowResolution

では、各種アカウントの直接的な金銭価値から見ていきましょう。クレブス氏は、アカウントの販売が行われているいかがわしいブラックマーケットのフォーラムを見て回り、アカウントの価値を見積もりました。ある有名な販売者は、iTunesアカウントに8ドル、Fedex.com、Continental.com、United.comのアカウントに6ドル、Grouponアカウントに5ドル、Godaddyアカウントに4ドルの価格をつけ、FacebookとTwitterのアクティブアカウントについてはわずか2.5ドルで販売していたと同氏は述べています。外交官、著名な実業家、有名人、軍需企業などの価値のあるターゲットと関連しているアカウントであれば、これらの価格は少し上がるはずです。クレブス氏は別の市場に関する記事の中で、Dell、Overstock、Walmart、Tesco、BestBuyなどのインターネットショッピング用アカウントが1ドル~3ドルの価値だったと述べています。

興味深いのは、ハッキングされたPayPalやインターネット銀行のアカウントの価値は、読者の皆さんがイメージするほど単純ではないことです。たとえば、銀行口座に2000ドル入っている、またはクレジットカードやPayPalで2000ドル使えるとしましょう。このアカウントの価値は2000ドルでしょうか?実際は少し違います。アカウントに不正侵入した犯罪者たちは、こうしたアカウントを卸販売していて、自分たちでアカウントから金銭を引き出すことはほぼありません。単純に、それをするには人手がかかりすぎ、またあまりにも危険すぎるからです。その代わり、アカウントをハッキングして、そのアクセス権を同じように非合法なブラックマーケットフォーラムで販売するのです。

メインのメールアカウントを手にした犯罪者は、そのアカウントのパスワードをリセットし、同メールアカウントに紐づいたその他アカウントも支配下におくことが可能です。

私は、特定の犯罪者グループの価格表について説明している起訴状やその他調査資料を目にしたことがあります。犯罪者グループは偽造クレジットカードの運用(カーディング)からハッキングしたPayPalアカウントの販売まで、さまざまな詐欺を行っていました。その価値は大変なものでしたが、原則として、米国や欧州の人々のアカウントだと価格は上がり、貯金額とも関連しています。銀行口座やクレジットカードアカウント、メールを使用した認証とひも付けることのできるサービスでは、こうしたひも付けの1つ1つがアカウントの価値を高めます。著名なセキュリティ研究者のDancho Danchev氏は2月、不正入手されたPayPalの価値がこれらの要素でどう変わるのかを示す、すばらしい記事を書いています。

不正入手した金融口座で金を稼ぐための手段としてよく知られているもう1つの方法は、マネーミュールの利用です。口座残高が十分な場合に行われますが、手段としてはまったくの別物といえます。手短に言うと、マネーミュール(金の運び屋)を利用する犯罪者は、「銀行口座からお金を引き出すだけでお金を稼げる」といううまい話を広告に出して、口座の金銭を犯罪者のもとへ運ばせます。詐欺師はマネーミュール募集の広告を出すわけではありませんが、これらの話に乗った人々は、本人が知らないままにマネーミュールの役割を演じています。多くの場合、現金を引き出して別の場所に移した後に、これらの人々にお金が支払われることはありません。

メールや金融口座は、その価値がアカウントの内容や正当な所有者の身元に左右されるため、評価が難しくなります。したがって、ハッキングされたアカウントを金銭以外の価値に置き換えるほうが妥当でしょう。メールアカウントは多くの場合、ほかのあらゆるアカウントを管理するための拠点となります。パスワードを忘れたときには、メールアカウントを通じてリセットするのが普通です。私のパスワードは非常に珍しく、強力なことが多いため、メールを使用してリセットする以外に選択肢はありません。そうしないとパスワードを覚えることができないのです。

私の場合、メールアカウントに対しては、セキュリティに関する対策をしっかり行っており、皆さんにもぜひそうすることをお勧めします。あらゆるアカウントを管理しているアカウントがハッキング被害にあえば、非常に大きな問題となる可能性があるからです。四半期に1回はパスワードを変更し、利用できる高度なセキュリティ機能を1つ残らず導入しましょう。モバイルデバイスを使った2段階認証は必須です。私はモバイルデバイスを通じてメールパスワードをリセットできるようにしていますし、万が一アカウントがハッキングされたり、携帯電話が盗まれたりした場合には、秘密のメールアカウントを使ってメインのメールを復帰させることができるようにしてあります。銀行口座についても同じです。認証には2段階が必要で、頭が痛くなるほど複雑なパスワードを設定しています。

メールアカウントがハッキングされると、自分が持っている連絡先リストも危険にさらされます。ソーシャルメディアのアカウントについても同じ理屈が当てはまります。あなたとつながりのある人々は、あなたのことを信頼しています。知っているアカウントから悪意のあるリンクを含むフィッシングメールが送られてきたら、おそらく開いてしまうでしょう。その責任は、アカウントをハッキングされたあなたにあります。あなたは、セキュリティをおろそかにしたせいでほかの誰かに被害が及んだという事実を背負って生活することになり、それが心配で夜も眠れなくなるのです!というのは冗談ですが、皆さんがセキュリティを強固にする方策を実践し、こうした問題に出くわすことのないようにと願っています。

ヒント