製品やサービスに問題が発生したとき、今どきのユーザーはどこを頼るでしょうか?ほぼ間違いなく、SNSです。そこで多くの企業では、従来のようなテクニカルサポート窓口を持つことに加え、自社ブランドに関するメンションを(特にTwitterまたはFacebookで)追う担当チームを設けていたりします。しかし、こういったメンションは当該企業だけでなく、詐欺師にも注目されています。
サイバー犯罪者がSNS上で仕掛ける攻撃
典型的な例を、MalwareHunterTeamが指摘しているので見てみましょう(英語スレッド)。MalwareHunterTeamがツイートしている画像を見ると、よく知られた暗号資産サービス「Blockchain.com」のサポート用公式Twitterアカウントに対して誰かが質問を投げかけたとき、複数のボットアカウントが寄ってきて「このリンクから問い合わせるように」と返信し、フィッシングサイトへのリンクを踏ませようとしている様子が分かります。TrustWalletというウォレットサービスのサポートアカウント関連でも、質問を投げかけるユーザーのツイートに対し、同じようにボットアカウントがフィッシングサイトへのリンクを貼り付けていっています(英語スレッド)。
見てのとおり「誰かが質問を投げかける→公式アカウントが返信する前にボットアカウントが返信、フィッシングサイトへのリンクを貼っていく」というパターンが明白ですが、詐欺師が狙うのは暗号資産やウォレット関連に限りません。その他企業のサポートアカウントに関しても、同じことをしようとする可能性があります。
Twitter上でのなりすましが企業にとって問題である理由
あなたの会社の名をかたる誰かが人をだましたからといって、あなたの会社が法的に罪に問われることにはなりません。しかし、こういったことがあると、自社の評判が損なわれ、お客様を(そして収入を)失う結果となる可能性は否定できないところがあります。お客様の視点から見れば、だまされた人たちはあなたの落ち度で被害を受けた人たちなのです。
自社の顧客がこのような詐欺に遭わないようにするために
まず必要なのは、Twitterアカウントの認証を受けること(青い認証済みバッジが表示されるようにすること)です。だからといって偽物が現れなくなるわけではありませんが、本物と偽物を区別できるようになる、最初の一歩ではあります。認証バッジの付与を受けるのは難しいとも言われています。まずはTwitterのガイドラインをチェックして詳細を確認しましょう。
それと同時に、SNS(主にTwitter)で自社ブランドについてどのようなメンションがなされているか、継続的にモニタリングしましょう。無料で利用できるツールもありますが、全般的にある程度の限界があります。利用料が発生する有料ツールの場合、追加の分析機能が利用可能であったりします。自社ブランドに関するメンションをモニタリングすることで、ユーザーの疑問にすぐ対応できるようになりますし、詐欺師の活動に気付くこともできます。
自社の公式アカウントのふりをするアカウントを見つけた場合は、知的財産権の侵害としてすぐにTwitter社へ報告しましょう。詳しい証拠の提出を求められるかもしれませんが、通常それほど複雑な手続きではありません。
その他、一般的な対策としては以下があります。
- 企業を代表する者とそのお客様との間をつなぐアカウントを、不用意に乱立させない。アカウントがいくつもあると混乱のもとになりかねず、攻撃者としても活動しやすく(多数ある公式アカウントの中に紛れ込みやすく)なります。
- もう使っていない企業アカウントは削除する。アクティブなまま残しておくと、そのアカウントへのアクセスに成功した誰かが、あなたの会社の名前を使って人々をだますかもしれません。
- アカウントを運用していた人が退職した場合は、アカウントのパスワードを変更する。わだかまりをもって退職した元従業員がサイバー犯罪者にログイン情報を漏らす可能性がゼロだとは言い切れません。
企業アカウントに限らず、個人で使用しているSNSアカウントも、強度の高いパスワードで保護しましょう。また、従業員の誰かがフィッシング攻撃に引っかかってしまうと、結果としてサイバー犯罪者が会社の公式Twitterアカウントにアクセスできるようになってしまいます。従業員に、サイバーセキュリティの基本を学んでもらいましょう。