リスク・フォーカスレポート
1.ソーシャルメディアと詐欺
2013年5月31日、FacebookやTwitter、mixi、モバゲーなどのソーシャル・ネットワーキング・サービス(以下:SNS)で知り合った相手に、”デート商法”で「必ずもうかる」と持ちかけた商品を売りつけ、18府県の延べ約1000人から計約9億6000万円を詐取していた容疑者が逮捕された。
この他にも、最近の傾向として、夢見る若者たちを狙った「音楽制作請負振り込め詐欺」や「歌のレッスン振り込め詐欺」等、SNSを活用した犯罪が頻発している。
さらに、”結婚詐欺”や”ニセ芸能人が近づいてきて出会い系サイトに誘導され、高額な利用料を払ってしまった”、あるいは”架空のもうけ話を信じて高額の商材を買ってしまった”などの事案も多く報告されている。
SNSの詐欺行為でよく見られるのが、他の有料サイトに誘導しようとするものである。まず、悪質業者はサイト内から不特定多数にメールを送信する。送られてくるメールには大抵、簡単な自己紹介が記載されており、場合によっては顔写真が添付されている。
悪質業者はメールの返信を待ち、返信のあったユーザーにのみメールを送る。この時のメールは出会い系サイトなどに誘導させるような内容になっている。例えば「このサイトにアドレスを載せています」などのような文章と一緒にURLが記載されている。
記載されているURLのサイトは有料の出会い系サイトになっており、メールの送り主とやり取りをする場合には、ポイントを購入しなければならない仕組みになっている。甘い誘いや写真に釣られてしまったユーザーは、ついポイントを購入してしまう。
これがSNSを利用した典型的な詐欺行為である。中には、メール内のURLをクリックした時点で勝手に登録され、登録料を要求される場合もある。
2.(個人)情報の公開が招く危険性
SNS上でのコミュニケーションでは、「同じサービス利用者の○○と私は△大学の同級生である」とか「私は□□社△店でアルバイトをし始めた」などのように、しばしば利用者同士や特定の法人との関係が掲載されることがある。情報の発信者は他人に閲覧されても構わないと判断した上(もしくは何も考えずに)で、こうした関係性を掲載するが、その記述の中で言及される他人や組織にとっては公表が望ましくない内容が含まれている場合が往々にしてある。
さらに、関係性の掲載を引用したメッセージを他の利用者(フォロワーやシェアしたユーザー)が発信することにより、元の掲載をおこなった利用者が意図していた範囲の外側にいる利用者にまで情報が伝播する可能性がある。
SNS上でのコミュニケーションでは、相手が友人またはその知人に限られていると思い込んでいることから、受け取ったメッセージや機微情報の発信についても警戒の水準が極めて低い。
しかし、利用者が仲間内だけとの認識のままSNS上で公開している情報は、悪意を持った部外者にとっては、通常では容易に入手しがたい、攻撃対象の周辺の人間関係を掌握できるという意味で、ソーシャル・エンジニアリング(※1)を仕掛けるための貴重な参考情報になってしまう。例えば、基本的なプロフィールとして公開している法人名や所属部署をもとに、攻撃者が法人情報や関係者情報を収集し、利用者プロフィールを公開している本人や同僚・上司になりすまして、ソーシャル・エンジニアリングを仕掛ける恐れがある。
また、公表されている生年月日や電話番号などの情報は、ログインパスワードを推測するヒントになり、推測に成功すれば不正アクセスにつながりやすい。
多くのSNSで公開されている情報は、下記表のように悪用される可能性が考えられる。
※1ソーシャル・エンジニアリング
ソーシャル・エンジニアリングとは、情報セキュリティ分野では、機械的(mechanical)な手段や技術的(technical)な手段ではなく、人間の行為や行動における心理的(psychological)な弱点を狙う手法により、個人情報や機密情報などを詐取する行為や手口のことを指す。
情報セキュリティにおいては、機械的な手段や技術的な手段ではなく、人間の行為や、行動における心理的な弱点を狙う手法によって、個人情報や機密情報などを詐取する行為や手口を指す。場合によっては、フィッシングやトロイの木馬などのマルウェア(悪意を持ったソフトウェア)を使った手法なども、ソーシャル・エンジニアリングに含まれる。これらは、不正アクセスなどを成功させるための補足手段として用いられることもある。
ソーシャル・エンジニアリングの手口は多岐にわたり、手口をさまざまな形で組み合わせて用いることが多い。
(表)公開情報の悪用例
※2標的型攻撃メール
標的型攻撃メールとは、特定の組織や個人宛に送られるウィルス付きメールであり、PCを感染させ組織内に侵入するものである。
【標的型攻撃メールの手口】
電子メールに仕込んだウィルスに感染させる必要があるため、メール本文、件名、ウィルスの仕込み方法等、以下のような手口でメール受信者を信頼させようとする。
- 電子メールの差出人や本文に、取引先の署名、公共機関等、信頼できる組織名を用いる。
- 取引先、公共機関等、信頼できるWebサイト等で公表されている情報を加工してメール本文や添付ファイルを作成する。
- 組織内の正規の業務メールを加工して、メール本文や添付ファイルを作成する。
- HTML形式のメールを利用し、正しいURLリンクとみせかけて、不正なWebサイトへ接続させる。
- 関係者を装い業務に関連した、または業務にまったく関係のない会話を繰り返しするなどして、メール受信者の警戒心を和らげる。
- 外部からの問い合わせ等を装い、自然な電子メールのやり取りで添付ファイルを開かせる、またURLリンクにアクセスさせる。
上記のような標的型攻撃メールは新しい手法ではないが、ソーシャルメディアに公開された情報等が活用されれば、より関係者に近いように見せかけ、より精度の高い巧妙な手口で攻撃が可能になる。
3.ソーシャルメディア上の情報公開に対する認識
いわゆる”バイトテロ”のような一部の無防備なソーシャルメディア利用者の情報公開おける一番のポイントは、SNSは安全だという認識にある。出会い系サイトに対しては警戒している人でも、SNS内でのやり取りは安全だと勝手に思い込んでしまい、来たメールに対しても疑わず返信したり、教えられたサイトに登録してしまうという事が多い。
SNSを通じた詐欺的なメッセージは”友達”を通じて発信されることが多く、スパムメールを使った詐欺行為と比較して、騙される可能性が高いとされている。
「偽装アカウントからの”友達”申請」の例のように、架空の人物や、実在する人物を装ったアカウントからの友達申請が大量に行われた事例もある。また、動画などの再生ボタンに対する”いいね!”ボタンの埋め込みも行われている。
例えば、アダルトサイトなどにアクセスした際に、そうとは知らずに”いいね!”ボタンを押してしまい、その結果として、そのサイトをアクセスしたことが周知されてしまうという事件も起きている。
なお、この手法を悪用すれば、利用者がまったく覚えのないサイトを、あたかも閲覧したように見せることもできてしまう。
悪質業者はSNS内の同じコミュニティ内の障壁の低さに目をつけ、詐欺行為を繰り返している。送られてくるメールの内容は、甘い誘いであったり、写真が添付されていたり、出会い系サイトのサクラのメールでよく見られる内容のものがほとんどである。
そして、SNSにおいてもこのような詐欺行為がある事を知らない人、サクラの手口を知らない人は、このような詐欺に遭う危険性が高い。
対策としては、知らない相手からのメールには注意を払い、むやみに他のサイトに行かないことがまずもって重要である。少しでも変だと思ったら、やり取りするのは止めるという思いで、サイトを利用した方が良い。
誰でも簡単に登録・利用できるSNSは、悪質業者にとっても利用しやすいということを強く認識しなければならない。
4.人ごとではないソーシャルメディアへの情報公開リスク
「1億円を差し上げます」と謳って、偽のSNSサイトの利用料金を詐取したとして、IT会社社員2人の容疑者が逮捕された。
容疑者らは動画投稿サイトなどで「宝くじで2億円当たったが、余命が少なく身内もないので1億円を誰かに差し上げます」とメッセージを配信し、偽のSNSサイトに誘導。閲覧者がメッセージを送受信するたびに料金を徴収していた。容疑者らは平成22年7月から同様の手口で、全国の男女約2千人から1億9千万円を騙し取っていたとみられている。
▼「余命少ないので1億円あげる」偽SNSで課金1億9千万円詐欺で男2人逮捕(産経ニュース)
上記のような一見突拍子もない”儲け話し”の手口も決して他人事ではない。自分は騙されない自信があるからと思っている人も、会社の同僚や、両親・祖父母が、自分を装った詐欺師に騙される恐れがあることを忘れてはいけない。
また、会社内における周囲の人や家族に対しても、SNSにおける無防備な情報の開示や利用に注意を促す必要がある。
家族や会社関係者が上記のような詐欺手口の知識不足から、意図せず、もしくは危険性を認識していないことから、意図的に自らの情報を公開している場合が少なくない。
実際具体的には、「公開範囲に関する問題」「位置情報に関する問題」「詐欺行為の存在」「オンライン広告に対する認識」などに対する知識不足が引き起こしている場合が多いのである。
SNSの利用(例えばFacebookやmixi)では、友人の名前や職業、よく行くお店などを何も気にせずに、一般公開しているケースが散見される。これは、詐欺師からすれば、ユーザーの家族や会社関係の近しい人を騙す際の”ウソの精度”を高める格好の材料が用意に入手できていることになる。
SNSにおける無防備な情報の開示は『詐欺をしてください』『私を騙してください』などと言っているようなものであり、個人情報の詐取ではなく、自ら提供しているという事実に正面から向き合う必要がある。