価値あるものが、狙われる

ハッキングされたコンピューターやメールアドレス、その他オンラインアカウントについて、実際ハッキングするほどのものなのかと考えたことはありませんか?もちろん、不正入手したインターネット銀行やPayPalのアカウント情報に大きな価値があるのはわかりきったことに思えますが、FacebookやSkype、その他無数のオンラインサービスの場合はどうなのでしょう。 こうしたアカウントの価値は、少なくとも2つの方法で算出することができます。1つめは金銭上の価値、つまり、ハッキングされたアカウントの市場価値がどの程度かを見る方法です。一方で、こうしたアカウントはソーシャルエンジニアリングを使う犯罪者にとっても価値があります。言い換えれば、犯罪者がフィッシング攻撃にどのように利用できるか、という観点です。 幸いなことに、ワシントン・ポストの元記者であり業界で最も広く尊敬を集めているジャーナリストの1人であるブライアン・クレブス(Brian Krebs)氏が数年前、自身の運営するニュースサイト『Krebs on Security』で、ハッキングされたマシンの価値を示した図表を公開しています。クレブス氏は、ハッキングされたメール等のアカウントの価値に対する評価も含め、この見解を数回にわたって検討しています。また、クレブス氏の先例にならい、SANS Instituteがさまざまな言語でこの見解を詳しく説明しています。以下は、SANSの図です。 では、各種アカウントの直接的な金銭価値から見ていきましょう。クレブス氏は、アカウントの販売が行われているいかがわしいブラックマーケットのフォーラムを見て回り、アカウントの価値を見積もりました。ある有名な販売者は、iTunesアカウントに8ドル、Fedex.com、Continental.com、United.comのアカウントに6ドル、Grouponアカウントに5ドル、Godaddyアカウントに4ドルの価格をつけ、FacebookとTwitterのアクティブアカウントについてはわずか2.5ドルで販売していたと同氏は述べています。外交官、著名な実業家、有名人、軍需企業などの価値のあるターゲットと関連しているアカウントであれば、これらの価格は少し上がるはずです。クレブス氏は別の市場に関する記事の中で、Dell、Overstock、Walmart、Tesco、BestBuyなどのインターネットショッピング用アカウントが1ドル~3ドルの価値だったと述べています。 興味深いのは、ハッキングされたPayPalやインターネット銀行のアカウントの価値は、読者の皆さんがイメージするほど単純ではないことです。たとえば、銀行口座に2000ドル入っている、またはクレジットカードやPayPalで2000ドル使えるとしましょう。このアカウントの価値は2000ドルでしょうか?実際は少し違います。アカウントに不正侵入した犯罪者たちは、こうしたアカウントを卸販売していて、自分たちでアカウントから金銭を引き出すことはほぼありません。単純に、それをするには人手がかかりすぎ、またあまりにも危険すぎるからです。その代わり、アカウントをハッキングして、そのアクセス権を同じように非合法なブラックマーケットフォーラムで販売するのです。 メインのメールアカウントを手にした犯罪者は、そのアカウントのパスワードをリセットし、同メールアカウントに紐づいたその他アカウントも支配下におくことが可能です。 私は、特定の犯罪者グループの価格表について説明している起訴状やその他調査資料を目にしたことがあります。犯罪者グループは偽造クレジットカードの運用(カーディング)からハッキングしたPayPalアカウントの販売まで、さまざまな詐欺を行っていました。その価値は大変なものでしたが、原則として、米国や欧州の人々のアカウントだと価格は上がり、貯金額とも関連しています。銀行口座やクレジットカードアカウント、メールを使用した認証とひも付けることのできるサービスでは、こうしたひも付けの1つ1つがアカウントの価値を高めます。著名なセキュリティ研究者のDancho Danchev氏は2月、不正入手されたPayPalの価値がこれらの要素でどう変わるのかを示す、すばらしい記事を書いています。 不正入手した金融口座で金を稼ぐための手段としてよく知られているもう1つの方法は、マネーミュールの利用です。口座残高が十分な場合に行われますが、手段としてはまったくの別物といえます。手短に言うと、マネーミュール(金の運び屋)を利用する犯罪者は、「銀行口座からお金を引き出すだけでお金を稼げる」といううまい話を広告に出して、口座の金銭を犯罪者のもとへ運ばせます。詐欺師はマネーミュール募集の広告を出すわけではありませんが、これらの話に乗った人々は、本人が知らないままにマネーミュールの役割を演じています。多くの場合、現金を引き出して別の場所に移した後に、これらの人々にお金が支払われることはありません。 メールや金融口座は、その価値がアカウントの内容や正当な所有者の身元に左右されるため、評価が難しくなります。したがって、ハッキングされたアカウントを金銭以外の価値に置き換えるほうが妥当でしょう。メールアカウントは多くの場合、ほかのあらゆるアカウントを管理するための拠点となります。パスワードを忘れたときには、メールアカウントを通じてリセットするのが普通です。私のパスワードは非常に珍しく、強力なことが多いため、メールを使用してリセットする以外に選択肢はありません。そうしないとパスワードを覚えることができないのです。 私の場合、メールアカウントに対しては、セキュリティに関する対策をしっかり行っており、皆さんにもぜひそうすることをお勧めします。あらゆるアカウントを管理しているアカウントがハッキング被害にあえば、非常に大きな問題となる可能性があるからです。四半期に1回はパスワードを変更し、利用できる高度なセキュリティ機能を1つ残らず導入しましょう。モバイルデバイスを使った2段階認証は必須です。私はモバイルデバイスを通じてメールパスワードをリセットできるようにしていますし、万が一アカウントがハッキングされたり、携帯電話が盗まれたりした場合には、秘密のメールアカウントを使ってメインのメールを復帰させることができるようにしてあります。銀行口座についても同じです。認証には2段階が必要で、頭が痛くなるほど複雑なパスワードを設定しています。 メールアカウントがハッキングされると、自分が持っている連絡先リストも危険にさらされます。ソーシャルメディアのアカウントについても同じ理屈が当てはまります。あなたとつながりのある人々は、あなたのことを信頼しています。知っているアカウントから悪意のあるリンクを含むフィッシングメールが送られてきたら、おそらく開いてしまうでしょう。その責任は、アカウントをハッキングされたあなたにあります。あなたは、セキュリティをおろそかにしたせいでほかの誰かに被害が及んだという事実を背負って生活することになり、それが心配で夜も眠れなくなるのです!というのは冗談ですが、皆さんがセキュリティを強固にする方策を実践し、こうした問題に出くわすことのないようにと願っています。

価値-featured

ハッキングされたコンピューターやメールアドレス、その他オンラインアカウントについて、実際ハッキングするほどのものなのかと考えたことはありませんか?もちろん、不正入手したインターネット銀行やPayPalのアカウント情報に大きな価値があるのはわかりきったことに思えますが、FacebookSkype、その他無数のオンラインサービスの場合はどうなのでしょう。

価値-title

こうしたアカウントの価値は、少なくとも2つの方法で算出することができます。1つめは金銭上の価値、つまり、ハッキングされたアカウントの市場価値がどの程度かを見る方法です。一方で、こうしたアカウントはソーシャルエンジニアリングを使う犯罪者にとっても価値があります。言い換えれば、犯罪者がフィッシング攻撃にどのように利用できるか、という観点です。

幸いなことに、ワシントン・ポストの元記者であり業界で最も広く尊敬を集めているジャーナリストの1人であるブライアン・クレブス(Brian Krebs)氏が数年前、自身の運営するニュースサイト『Krebs on Security』で、ハッキングされたマシンの価値を示した図表を公開しています。クレブス氏は、ハッキングされたメール等のアカウントの価値に対する評価も含め、この見解を数回にわたって検討しています。また、クレブス氏の先例にならい、SANS Instituteがさまざまな言語でこの見解を詳しく説明しています。以下は、SANSの図です。STH-Poster-YouAreATarget-LowResolution

では、各種アカウントの直接的な金銭価値から見ていきましょう。クレブス氏は、アカウントの販売が行われているいかがわしいブラックマーケットのフォーラムを見て回り、アカウントの価値を見積もりました。ある有名な販売者は、iTunesアカウントに8ドル、Fedex.com、Continental.com、United.comのアカウントに6ドル、Grouponアカウントに5ドル、Godaddyアカウントに4ドルの価格をつけ、FacebookとTwitterのアクティブアカウントについてはわずか2.5ドルで販売していたと同氏は述べています。外交官、著名な実業家、有名人、軍需企業などの価値のあるターゲットと関連しているアカウントであれば、これらの価格は少し上がるはずです。クレブス氏は別の市場に関する記事の中で、Dell、Overstock、Walmart、Tesco、BestBuyなどのインターネットショッピング用アカウントが1ドル~3ドルの価値だったと述べています。

興味深いのは、ハッキングされたPayPalやインターネット銀行のアカウントの価値は、読者の皆さんがイメージするほど単純ではないことです。たとえば、銀行口座に2000ドル入っている、またはクレジットカードやPayPalで2000ドル使えるとしましょう。このアカウントの価値は2000ドルでしょうか?実際は少し違います。アカウントに不正侵入した犯罪者たちは、こうしたアカウントを卸販売していて、自分たちでアカウントから金銭を引き出すことはほぼありません。単純に、それをするには人手がかかりすぎ、またあまりにも危険すぎるからです。その代わり、アカウントをハッキングして、そのアクセス権を同じように非合法なブラックマーケットフォーラムで販売するのです。

メインのメールアカウントを手にした犯罪者は、そのアカウントのパスワードをリセットし、同メールアカウントに紐づいたその他アカウントも支配下におくことが可能です。

私は、特定の犯罪者グループの価格表について説明している起訴状やその他調査資料を目にしたことがあります。犯罪者グループは偽造クレジットカードの運用(カーディング)からハッキングしたPayPalアカウントの販売まで、さまざまな詐欺を行っていました。その価値は大変なものでしたが、原則として、米国や欧州の人々のアカウントだと価格は上がり、貯金額とも関連しています。銀行口座やクレジットカードアカウント、メールを使用した認証とひも付けることのできるサービスでは、こうしたひも付けの1つ1つがアカウントの価値を高めます。著名なセキュリティ研究者のDancho Danchev氏は2月、不正入手されたPayPalの価値がこれらの要素でどう変わるのかを示す、すばらしい記事を書いています。

不正入手した金融口座で金を稼ぐための手段としてよく知られているもう1つの方法は、マネーミュールの利用です。口座残高が十分な場合に行われますが、手段としてはまったくの別物といえます。手短に言うと、マネーミュール(金の運び屋)を利用する犯罪者は、「銀行口座からお金を引き出すだけでお金を稼げる」といううまい話を広告に出して、口座の金銭を犯罪者のもとへ運ばせます。詐欺師はマネーミュール募集の広告を出すわけではありませんが、これらの話に乗った人々は、本人が知らないままにマネーミュールの役割を演じています。多くの場合、現金を引き出して別の場所に移した後に、これらの人々にお金が支払われることはありません。

メールや金融口座は、その価値がアカウントの内容や正当な所有者の身元に左右されるため、評価が難しくなります。したがって、ハッキングされたアカウントを金銭以外の価値に置き換えるほうが妥当でしょう。メールアカウントは多くの場合、ほかのあらゆるアカウントを管理するための拠点となります。パスワードを忘れたときには、メールアカウントを通じてリセットするのが普通です。私のパスワードは非常に珍しく、強力なことが多いため、メールを使用してリセットする以外に選択肢はありません。そうしないとパスワードを覚えることができないのです。

私の場合、メールアカウントに対しては、セキュリティに関する対策をしっかり行っており、皆さんにもぜひそうすることをお勧めします。あらゆるアカウントを管理しているアカウントがハッキング被害にあえば、非常に大きな問題となる可能性があるからです。四半期に1回はパスワードを変更し、利用できる高度なセキュリティ機能を1つ残らず導入しましょう。モバイルデバイスを使った2段階認証は必須です。私はモバイルデバイスを通じてメールパスワードをリセットできるようにしていますし、万が一アカウントがハッキングされたり、携帯電話が盗まれたりした場合には、秘密のメールアカウントを使ってメインのメールを復帰させることができるようにしてあります。銀行口座についても同じです。認証には2段階が必要で、頭が痛くなるほど複雑なパスワードを設定しています。

メールアカウントがハッキングされると、自分が持っている連絡先リストも危険にさらされます。ソーシャルメディアのアカウントについても同じ理屈が当てはまります。あなたとつながりのある人々は、あなたのことを信頼しています。知っているアカウントから悪意のあるリンクを含むフィッシングメールが送られてきたら、おそらく開いてしまうでしょう。その責任は、アカウントをハッキングされたあなたにあります。あなたは、セキュリティをおろそかにしたせいでほかの誰かに被害が及んだという事実を背負って生活することになり、それが心配で夜も眠れなくなるのです!というのは冗談ですが、皆さんがセキュリティを強固にする方策を実践し、こうした問題に出くわすことのないようにと願っています。

カスペルスキー製品のFAQ:ライセンス関連

Kaspersky Labのテクニカルサポートは、カスペルスキー アンチウイルスやカスペルスキー インターネット セキュリティといった製品のライセンスの問題について、多くのご要望をいただいています。今回は、テクニカルサポートに多く寄せられる質問を、カスペルスキー製品のソフトウェア使用許諾契約書(EULA)と動作環境を参照しながら紹介します。 1. 1年3台版のライセンスを持っています。1台めをアクティベートした1か月後に残りをアクティベートした場合、ライセンスの期限が切れるのはいつになりますか? ライセンスの期限は同時に終了します。また、ライセンスの利用期限は、最初のアクティベーションを実施した日を起算とする有効期間に限定されます。詳細については、使用許諾契約書の第3.7条を参照してください。 2. 1年3台版のライセンスを持っています。1台のコンピューターで3年間使用することはできますか? いいえ、できません。1台で複数年のご利用を希望される方は、ツインパックをご購入ください。※店頭のみでの販売となります 3. カスペルスキー インターネット セキュリティ 2010の有効なアクティベーションコードを持っています。このアクティベーションコードで、カスペルスキー インターネット セキュリティ(2013)をアクティベートできますか? 有効なライセンスは、「+3」という式に従って、製品の次期バージョンに使用できます。たとえば、製品のバージョン2010のアクティベーションコードを持っているなら、そのコードで、3つの次期バージョン(2011、2012、2013)のいずれかをアクティベートすることができます。 4. ライセンスを更新しました。アクティベーション中に「無効なアクティベーションコード」というエラーが表示されるのですが。 インストール済みアプリケーションのバージョンが新しいライセンスに対応していないことが考えられます。最新の製品をカスペルスキーのWebサイト(http://www.kaspersky.co.jp/productupdates)からダウンロードしてインストールしてから、アクティベートしてください。 5. インターネット接続がないのですが、どうやってアプリケーションをアクティベートしたらいいですか? 新しいマルウェアは毎日のように生まれています。そのため、常に自分の個人情報を保護するには、アプリケーションを定期的に更新することが重要です。カスペルスキー製品の動作環境にあるとおり、アプリケーションを適切に動作させるためにはインターネット接続が必要です。 6. 南アフリカでライセンスを購入しましたが、日本でアプリケーションをアクティベートできません。 パッケージ版の製品は、「使用する地域で購入する」という原則に従って購入するようお勧めします。 こうしたライセンスの制限については、使用許諾契約書の第3.7条~第3.11条に記載されています。また、たとえばアフリカで販売されている製品には、パッケージに以下の情報が書かれています。 この表示は、ライセンスの地域制限についてのお知らせです。 こうしたライセンスの制限は、アクティベーションにのみ適用されます。アクティベーションを実行した後は、ライセンスが有効な間、どの地域でも制限なくご利用いただけます。 7. 「このアクティベーションコードを使用してアクティベーションを実行できる回数を超えています」というエラーが表示され、アクティベーションできません。 カスペルスキーでは、アクティベーションが行われた地域と試行回数をモニターしています。「このアクティベーションコードを使用してアクティベーションを実行できる回数を超えています」というエラーが表示される場合は、カスペルスキーのテクニカルサポートまでお問い合わせください。その際には、製品を購入したことを証明していただく必要があります。

ヒント