日曜日、朝起きるとFacebookからメールが3通届いていた。受信は午前3時過ぎ。
「メールアドレスを追加しましたか?」「電話番号を削除しましたか?」「メールアドレスを削除しましたか?」
いずれも身に覚えがなく、「私は変更していません」というボタンを押して、元に戻そうと試みるも、すでにメールアドレスも電話番号もパスワードも変更されており、自分のアカウントに入れなくなった。
━━SNS乗っ取り被害。被害者はテレビ朝日の記者で「乗っ取られるような不用意なことはしていないはず」と振り返る。
米セキュリティ会社 ノートンの調べでは、IDを盗まれた76%が経済的な損失を被っているという。実際の出来事をテレビ朝日経済部 佐藤美妃記者に聞いた。
■SNS乗っ取り、気がついてからの行動
━━気がついてからの対応は?
友達しか見られない「非公開設定」だったため、自分のアカウントで何が行われているかわからず、何百人かいる友人に対してもどう注意喚起していいかわからなかった。ひとまず、連絡先が分かる友人に「通報」をお願いした。
━━その後の動きは?
6月3日、乗っ取り犯が動き出した。「八ヶ岳に登った」という投稿のほか、アイコンが猫に変えられ、職業は「フィットネス機器販売の役員」「エステサロン経営」に。趣味は「フォークダンス」、住まいは京都市、出身大学は香港大学という「自分とはかけ離れたもの」になってしまった。
6月5日、自分のアカウントを取り戻すため、別のアカウントを作成し、当該のアカウントは「なりすまし」であると報告。しかし、3分後に「規定違反ではない」として訴えは却下された。
━━ヘルプセンターには働きかけたのか?
ヘルプセンターにおける「不正アクセスをされた場合」という手順に則ってアカウントを取り戻そうとした。その際、「メールアドレスを変更されていますか?」などの問いに答えていくと最終的にアカウントを取り戻すためにパスコードを送る段取りになっているが、送り先が差し替えられたメールアドレスになっていて効果がなかった。その後、新たに作ったアカウントが使用停止にされた。
━━警察には相談したか?
「これは不正アクセス禁止法違反ではないか」と思い、警察署にも電話相談した。しかし、「このようなケースだと、被害者になるのはFacebook側。とはいえ、こうした会社が被害を申し立てることはまずない」との回答だった。警察も「お力になれなくて申し訳ない」と歯痒く思っている様子だった。
なお、乗っ取り犯に変えられたプロフィールをもとに検索すると、同一犯のものとみられるアカウントが20以上あった。全員が同じようにフィットネス機器販売の役員。ほとんどが若い女性で、投稿もいわゆる“意識高い系”。ただし、どれも投稿される日本語には違和感あった。
■金銭的な被害も?
━━乗っ取られることで、他にもどのような被害が想定されるか?
例えば、Facebookの場合は実名での利用が基本であるため、その“信頼性”を悪用されて、情報発信がなされ、詐欺につながる可能性がある。また、アカウントには個人情報が多く含まれ、メッセンジャーで友人らと個別にやりとりもできるため、それらを悪用され、脅迫や性犯罪などにつながる危険性もある。
また、アカウントを他のサービスと連携して利用している場合、それらが悪用されるリスクもある。
LINEでは、友達にオンラインで使うプリペイドカードなどの購入を促すメッセージが送られたり、LINE Payと連携している銀行口座から金銭を引き出されたりする可能性もある。
━━犯人の目的はどこにあるのか?
私のケースでは、何かを誘導する投稿や友達への怪しいメッセージの送信は現在のところ確認されていない。しかし、「友達の友達」にあたる人にはメッセージが送られている。対象は一定の年齢以上の男性が多く、「こんにちは、初めましてよろしくお願いします」「初めまして。これを機に引き続きご縁を結びたいと思います」という内容で、やり取りをした方も不自然な日本語を警戒し、それ以上のやりとりをやめたとのことで、乗っ取り犯が最終的に何をしたかったのかは判然としない。ただ、ロマンス詐欺などを狙っていた可能性は否定できない。
■乗っ取りの手口
━━そもそもなぜ乗っ取られたのだろうか?
不審なメールが届いて開いたりした記憶はない。しかし、ECサイトなど“何かになりすましたメール”を開いた可能性はある。
サイバーセキュリティ大手のラック、そしてキヤノンマーケティングジャパンに取材したところ、「偽のメールアドレスを使ってフィッシングサイトでIDとパスワードが盗まれる事例は少なくなく、私が乗っ取られたころ(5月22日~6月4日)は世界的にもフィッシングサイトの数が急増していた」とのこと。このようにしてIDやパスワードなどが流出すると、それをいろんなサイトにぶつけて乗っ取る(リスト型攻撃)という手口につながる。
偽のメールアドレス、Webサイトを見分けることはプロでも難しい。例えば、「BAISOKU.com」と「BAlSOKU.cοm」では、ローマ字の「アイ」の大文字と「エル」の小文字、ローマ字の「オー」とギリシャ文字の「オミクロン」が混ざっているが判別は難しく、URLやメールアドレスを見て信用し、クリックするとフィッシングサイトに誘導されてしまう。
さらに、パスワードの類推もAIの進化で効率的に解析できるようになっているとのこと。
■対策はできるのか?
━━どのような対策が有効なのか?
まず、「パスワードの使い回しはNG」。あえてアナログにIDとパスワードをノートなどに書くのも有効。特に、SNSのIDやパスワードは使い回さないことが重要。サイトごとに「+α」を付けると忘れにくい。Facebookなら「FB」など。また、パスワードは英字(大文字と小文字)+数字+記号で10桁以上にすると比較的安全だ。パスワードの中には辞書に載っている単語は入れない。特に英単語はNG。また、日本語を置き換えるのも良い。たとえば「試合に勝つ」なら、「4I2K@2」など。加えて、二段階認証の設定も重要。ちなみに、悪意ある人がやろうと思えば、6桁ぐらいのパスワードならどれほど複雑な組み合わせでも一瞬で解析できるとのこと。
フィッシングのメールかどうかを見分けるのは、専門家でも困難。面倒だが、メールのリンクから飛ばないようにして、公式サイトなどからアクセスすること。
(『ABEMA/倍速ニュース』より)
