インターネット利用のベテランであっても、標的型ハッキングから身を守れない。これは、経験から明らかです。インターネットをはじめとするネットワークと日常生活の結びつきが強まる中、ネット上でのセキュリティは急務となりつつあります。
ほとんどの人がメールやSNSのアカウントを持ち、オンラインバンキングを利用しています。また、商品をオンラインで注文し、モバイル端末経由でインターネットにアクセスして、(たとえば、2段階認証で)認証情報などの重要な情報を入力しています。しかし、残念ながら、100%安全なシステムは1つもありません。
ネット上でのデータのやりとりが増えるほど、狡猾なハッカーの攻撃対象は広がります。セキュリティ専門家のいう「攻撃対象領域」ですが、この領域が広いほど攻撃しやすくなります。それがいったいどういうことなのか、過去3年間に実際に起きた出来事が教えてくれます。
アカウントの盗み方:ハッキング?それとも電話?
ハッカーが利用する最強のツールの1つは「ヒューマンハッキング」、つまりソーシャルエンジニアリングです。2016年2月26日、オンラインメディア『Fusion』の編集者であるケビン・ルーズ(Kevin Roose)氏は、この手法の威力を確かめることにしました(英語記事)。この挑戦を受けて立ったのは(英語記事)、ソーシャルエンジニアリングハッカーのジェシカ・クラーク(Jessica Clark)氏とセキュリティエキスパートのダン・テントラー(Dan Tentler)氏の2人です。
クラーク氏は、1回の電話でルーズ氏のメールをハッキングしてみせると約束し、見事に成功させました。まず、クラーク氏のチームは、ルーズ氏とはどのような人物か、何が好きで何が嫌いか、などの情報を網羅した13ページに及ぶプロファイルを作成しました。データはすべて、公開されている情報源から入手したものです。
準備が整ったところで、クラーク氏はルーズ氏の携帯電話番号を偽装し、彼が加入している携帯電話会社に電話をかけました。緊迫感を増すため、赤ん坊の泣き声の入ったビデオをバックグラウンドで流しておきました。
クラーク氏は、ルーズ氏の妻であると名乗りました。そして、自分と自分の「夫」はローンを申し込もうとしているのだが、育児に疲れていて夫婦で使っているメールアドレスを忘れてしまった、と訴えました。赤ん坊の泣き声もあり、クラーク氏はすぐさまサポート担当者を納得させ、メールのパスワードをリセットさせることに成功。標的のメールへ自在にアクセスできるようになったのです。
テントラー氏の使った手段はフィッシングでした。ルーズ氏がSquarespaceにブログを開設していることに気付いたテントラー氏は、まず、Squarespaceからの偽の公式メールをルーズ氏に送信しました。このメールは、Squarespace管理者が「セキュリティ」のため、SSL証明書のアップデートを依頼するという内容でした。しかし、このファイルは、保護するどころか、テントラー氏がルーズ氏のPCへアクセスできるようにするものでした。テントラー氏が作成したのは、ルーズ氏に特定の認証情報を要求する偽のポップアップ数個。これですべて完了です。
テントラー氏はルーズ氏の銀行関連情報、メール、オンラインストアのログイン認証情報だけでなく、クレジットカード情報や社会保障番号まで手に入れることができました。その上、テントラー氏はハッキングしていた48時間の間、ルーズ氏の写真とPCのスクリーンショットを2分おきに自動撮影していたのです。
改めて、フィッシングに引っかからないためのヒント集をご紹介! https://t.co/dXHulOtjMK pic.twitter.com/uLFyuqh9X9
— カスペルスキー 公式 (@kaspersky_japan) March 3, 2016
ソフトウェアエンジニアの口座を一晩で空にする方法
2015年春、ソフトウェア開発者のパータップ・デイビス(Partap Davis)氏は3,000ドルを失いました。ある日の夜、数時間のうちに、見知らぬハッカーが彼の2つのメールアカウント、電話番号、Twitterアカウントを手に入れ、2段階認証を如才なく迂回し、デイビス氏のBitcoinウォレットを空っぽにしたのです。デイビス氏が非常に不愉快な朝を迎えたことは言うまでもありません。
特筆すべきは、デイビス氏が熟練のインターネット利用者であるということです。同氏は常に信頼性の高いパスワードを選んでいましたし、悪意あるリンクをクリックしたことなどありません。デイビス氏のメールはGoogleの2段階認証システムで保護され、新しいコンピューターからログインするときは、携帯電話にメールで送られてくる6桁のコードをわざわざ入力しなければなりませんでした。
デイビス氏は、預金を3つのBitcoinウォレットに分けて保管し、これらのウォレットを、Authyというモバイルアプリの提供する2段階認証サービスで保護していました。このように、デイビス氏が妥当なセキュリティ対策をすべて講じていたにもかかわらず、標的型ハッキングを防御できませんでした。
この事件の後、デイビス氏は激昂し、数週間かけて犯人を捜しました。さらにThe Vergeの編集者たちに連絡し、協力を要請しました。その結果、このハッキングがどのように行われたかを突き止めるに至りました。
デイビス氏は、メインのメールアドレスにPatrap@mail.comを使っていました。ここで受信したメールはすべて、覚えにくいGmailアドレスに転送されるようにしていました(Patrap@gmail.comはすでに別の人が使っていたため)。
一方、Hackforumというハッキングコミュニティでは、数か月の間、ある特別なスクリプトが、欲しい人なら誰でも買える状態になっていました。このスクリプトを使えば、Mail.comのパスワードリセットページの弱点を突くことができます。どうやら、2段階認証の迂回とデイビス氏のパスワード変更には、このスクリプトが使われたようです。
モバイルプラットフォームを狙うマルウェアが飛躍的に機能強化を遂げています。中には決済システムの2段階認証を迂回するものも。 https://t.co/eCgJp37Ctd pic.twitter.com/t5w5EJ4aHX
— カスペルスキー 公式 (@kaspersky_japan) April 2, 2016
その後、ハッカーはデイビス氏のAT&Tアカウントの新しいパスワードを要求し、続いてデイビス氏宛ての着信電話を、カリフォルニア州ロングビーチのある電話番号へ転送するようにカスタマーサービスに依頼しました。確認のメールを受け取ったカスタマーサービスは、通話関連のコントロールを犯人へ渡すことに同意してしまったのでした。強力なツールがあれば、Googleの2段階認証を迂回し、デイビス氏のGmailアカウントにアクセスするのはそれほど難しくありませんでした。
ショートメッセージはデイビス氏の古い電話番号宛てに送信されていたので、ハッカーは目の不自由なユーザー向けのGoogleアクセシビリティ機能を使用しました。この機能は、電話で確認コードを読み上げてくれます。こうしてGmailがハッキングされ、ハッカーと獲物の間に立ちふさがるのはAuthyアプリだけになりました。
折に触れ重要性が強調される「2段階認証」ですが、そもそもそれはどういう仕組みでどういうアカウントに必要なもの?…解説します。 http://t.co/0Gahdovakq pic.twitter.com/7up8hk9T1H
— カスペルスキー 公式 (@kaspersky_japan) June 16, 2014
この最後の砦を陥落させるために犯人がしたのは、mail.comのアドレスと(またしても読み上げ機能で入手した)新しい確認コードを使って、犯人自身の電話からこのアプリをリセットする、ただそれだけでした。まんまと、すべてのセキュリティ対策を攻略したハッカーは、デイビス氏のBitcoinウォレットのうち1つのパスワードを変更し、Authyとmail.comのアドレスを使用して、ウォレット内のお金をすべて余所へ転送しました。
残り2つの口座に入っていたお金は、手つかずのままでした。口座の1つは、パスワードリセット後48時間以内の預金引き出しを許可していなかったのです。もう1つの口座については、デイビス氏の運転免許証のコピーを提出する必要があったからで、ハッカーは免許証までは入手できていませんでした。
正体不明の荒らし屋に破壊された日常生活
2015年10月のFusionに書かれているとおり、ストレイター(Strater)家の崩壊はピザとともに始まりました(英語記事)。数年前、頼んでもいないのに近所のカフェやレストランからピザやパイなどあらゆる種類の食べ物が届けられるようになり、ストレイター家の庭は食べ物で埋め尽くされました。ストレイター夫妻は謝罪し、注文を取り下げなければなりませんでした。
その後も、花束、大量の砂や砂利、レッカー車など、欲しくもないものが次々と届けられました。しかし、これらは氷山の一角に過ぎませんでした。それから3年間の悪夢に比べたら。
地元のテレビ局に勤めるシニア放送エンジニアのポール・ストレイター氏と、元病院管理責任者である妻のエイミーさんは、息子のブレア(Blair)さんと対立するハッカー(またはハッカー集団)の犠牲になったのでした。警察には、夫妻の署名が入った爆破予告が届きました。ハッカーたちはエイミーさんのアカウントを利用して、「校内で銃を撃ちまくってやる」という見出しで始まる小学校襲撃計画を発表しました。警察はストレイター家を頻繁に訪れるようになりましたが、いったい何が起こっているのか、いぶかしむ近隣住民との関係は改善されませんでした。
犯人は、Tesla Motorsの公式アカウントをハッキングし、フォロワーにこう呼びかけました。「ストレイター家に電話した人にTesla車を1台プレゼント」。その週末、ストレイター家の電話が鳴りやむことはありませんでした。「プロモーション」中の車を狙ったTeslaファンから、多いときで1分間に5本もの電話がかかってきました。中には、ストレイター家に無料のTesla車が隠されているのではないかと勘ぐって、ガレージを開けろと要求しに来た男もいました。
ストレイター氏は執拗な攻撃に対抗しようとしました。自分のアカウントのパスワードをすべて変更し、地元のレストランのマネージャーに、全額前払いされていない限り、ストレイター家への出前には一切応じないよう伝えました。さらに、オスウィーゴ警察に連絡し、増援部隊を派遣する前にストレイター家に電話し、緊急通報が本物かどうか確認するよう要請しました。トラブルが次々と発生する中、ストレイター夫妻の結婚生活は破たんしました。
攻撃は止まりませんでした。エイミーさんのSNSアカウントがハッキングされ、人種差別的な発言が次々と書きこまれました。ほどなくして、彼女は職を失いました。誰かが彼女と家族の人生をめちゃくちゃにしようとしているのだと何度も上司に訴えましたが、その甲斐なく、解雇されたのです。
やがて、エイミーさんはLinkedInアカウントのコントロールを取り戻し、Twitterアカウントもなんとか削除に成功しました。しかし、これまでの事情から、しばらくの間、エイミーさんは自分の専門分野で仕事を見つけることができませんでした。生計を立てるためにUberで働かざるを得ませんでしたが、それでも十分ではなく、危うく家を失いかけました。
エイミーさんの息子、ブレアさんはFusionにこう答えています。「母の名前をGoogleで検索すると、以前は母が書いた学術論文とか、素晴らしい業績とかがヒットしたものです。それが今では、ハッカー、ハッカー、ハッカー、それだけです」
ブレアさんの責任だという人もいます。ブレアさんはさまざまなサイバー犯罪グループに入っていたのですが、どこでも味方を見つけられなかったのです(英語記事)。とにかく、ストレイター家では、ハッカーとは無縁の両親が息子の「罪」の報いを受けたのでした。
なるほど。では、安心して暮らすにはどうすればいいの?
こうした事件は、標的型ハッキングから身を守るのはほぼ不可能であることを物語っています。ですから、もし、隠しておきたいことがあるなら、オンライン上に公開しないでください。幸い、高度な技術力を持つ犯罪者は大多数の一般人には興味を持っていません。私たちに必要なのは、広く一般人を狙ったサイバー犯罪者から身を守ることです。インターネットにはこの手の「スペシャリスト」があふれていますが、嬉しいことに、彼らが使う手法は極めて単純です。
お勧めするのは、次の対策です。
- フィッシングの仕組みとその回避方法を覚えておきましょう。
- アカウントごとに個別の信頼できるパスワードを設定しましょう。
- インターネットを安全に使う方法を読んでおきましょう。
- 重要な操作をするとき、無料Wi-Fiを使うのはやめましょう。また、オンラインでお金を扱うときにするべきこと、してはいけないことを知っておきましょう。
- 使用しているデバイスには、すべて適切なセキュリティ製品をインストールしましょう。スマートフォンやタブレットも、例外ではありません。当社のカスペルスキー マルチプラットフォーム セキュリティは、Windows、Mac、Androidに対応しています。