サイバー犯罪者はスピアフィッシングに使う情報をどうやって収集するのか

2019年2月22日

過去10年以上にわたって標的型攻撃を分析し続ける中で、繰り返し見られるのは「標的となった人がフィッシングメールを開いたところからすべてが始まった」という状況です。スピアフィッシングメールはなぜ、こんなに効果的なのでしょうか?それは、特定の相手や状況に合わせてカスタマイズされているからです。

情報源としてよく使われるのは、標的となる人のSNSです。気になるのは、サイバー犯罪者は狙った人のアカウントをどのようにして突き止めるのか、というところですが、大部分はその人がどのくらい世間に露出しているかによります。その人の詳しい経歴とLinkedInプロフィールへのリンクが勤務先のWebサイトに公開されていれば、突き止めるのはとても簡単です。しかし、メールアドレスしか分からない場合、話はかなり複雑です。さらに、標的とする企業のオフィスに入って行くところを撮影した写真だけが手がかりだったら、その人のプロフィールをSNSで見つけられる確率はさらに下がります。

私たちは、断片的なデータを基に情報を検索するという、ちょっとした実験をしてみました。実験にはSNSの使用程度が異なる数人の同僚に協力してもらい、どこでも手に入る検索ツールを使用して彼らを探し出そうと試みました。

写真を使った検索

写真を手がかりに人捜しをするのは、あまり一般的ではありません。私たちは次のような筋書きを想定しました。サイバー犯罪者はまず、自分が狙う企業の入ったビルの入り口で待ち構え、特定のロゴがついた通行証を持っている人を片っ端から盗撮。その後、スピアフィッシングを仕掛けるのに最適な標的の検索を開始。さて、標的を探すと言っても、どこから始めればいいでしょう?

早いものでもう2年前となりますが、私たちはFindFaceという顔認識サービスに関する記事を掲載しました。このサービスでは、ある一定の条件を満たし、かつ探したい人物を写した高品質の写真が数枚あれば、一致するSNSアカウントをすぐに突き止められます。しかし、昨年9月から、このサービスを一般の人が無料で使うことはできなくなりました。開発元が政府や企業のソリューション開発に注力し、同サービスを有料化したためです。それだけでなく、開発元は、公開バージョンは「可能性を示すためのデモンストレーション」だったとはっきり述べてもいます。

 

しかし、このサービスを完全に無視することはできません。サイバー犯罪者は、標的型攻撃の実施のため、さらなる手段に投資することがあります。FindFaceの場合は余計な痕跡を残してしまいますが、すべては目的によります。

写真による検索のサービスは、Googleが無料で提供しています。Googleはまた、さまざまな検索サービスから自動的に写真を探す、画像検索用のブラウザー拡張機能も提供しています。しかし、この方法で検索できるのはインターネットに公開済みの写真だけなので、私たちが今回想定したシナリオには当てはまりません。企業のWebサイトに掲載される公式写真の場合は話が別ですが、こういった写真には追加情報(氏名)が併せて掲載されているものです。

それでもなお、私たちはこの検索方法を試してみました。Google検索によって、この調査協力者の情報をなんとか「gentleman」というカテゴリにまで絞り込みましたが、そこまででした。彼は同じ写真をFacebookなどのSNSでも使っていたのですが。したがって、万一写真を撮られたとしても、サイバー犯罪者が有料の顔認証サービスを使用していない限り、その写真からあなたのプロフィールが割り出される可能性は低いと考えられます。

氏名

インターネットで人捜しをするときには、まずその人の氏名を検索するのが普通です。当然、この検索が成功するかどうかは、その名前の人が世の中にどれくらいいるかにかかっています。ある特定の「ジョン・スミス(John Smith)」さんを特定するのは、簡単ではないでしょう。しかし、「ルーリエ(Lurie)」という比較的珍しい姓の人ならば、Googleは実にすばやく探し出してくれます。

ところで、ユーザー登録していない人にも登録ユーザーのプロフィールを見せてくれるSNSがあるのは知っていましたか?以降、そのあたりも含めて見てみましょう。

メールアドレスと電話番号

さて、相手のメールアドレスか電話番号が分かっている場合はどうでしょう?この情報があれば、さまざまなSNSの1つ1つで、直接検索することができます。しかし、必要なデータを自動的に集めてくれる情報収集サービスもあります。中でもいちばん有名なPipl(英語サイト)の場合、電話番号またはメールアドレスを使ってSNS内のユーザーページへのリンクを探し出すことができるだけでなく、生年月日や学歴、職歴などの簡単な経歴も表示されます。Piplの開発元によれば、このサービスが所有する情報は30億人分を超えるそうです。

このサービスを使用して、私たちは調査協力者10人のうち5人について、少なくとも1つのユーザーアカウントへのリンクを探し出すことができました。また、オンラインでのニックネーム(ハンドル名)が判明した例もいくつかありました。

ハンドル名

プライベートのメールアドレスと勤め先のメールアドレスで同じハンドル名を使っている人もいれば、それぞれ別のものにしている人もいます。サイバー犯罪者の手に入ってしまえば、どんなハンドル名でも、狙った人に関してさらなる情報を引き出すのに利用されてしまいます。

ハンドル名の検索に使えるのが、namechkknowemのようなサービスです(リンク先はいずれも英語)。namechkでは100以上、knowemでは500以上の情報源からアカウント名を検索できます。もちろん、ハンドル名がありきたりのものだった場合、特定の個人を探し出せるという保証はありません。それでも、このようなサービスが、サイバー犯罪者にとって大変便利なツールであることは確かです。

さて、対策は?

ご覧のとおり、技術的な裏技や手間のかかるサービスを利用しなくても、標的となり得る人に関するデータ(住所、趣味など)を集めることは可能です。したがって、フィッシング詐欺の手口を知るだけでなく、従業員向けにシンプルなルールを策定することをお勧めします。

  1. SNSの登録に、公開されているメールアドレスまたは電話番号を使わない。
  2. プライベート用のアカウントと仕事用のアカウントに、同じ写真を使わない。
  3. 1つのSNSプロフィールから別のプロフィールが芋づる式に分かってしまうのを防ぐため、SNSごとに異なるハンドル名を使用する。
  4. 必要以上の個人情報をSNSに公開しない。

中でも重要なのは、従業員のワークステーションを、効果的なアンチフィッシングテクノロジーをはじめとする十分な機能を備えた信頼性の高いセキュリティソリューションで保護することです。