おはようございます！ デジタルキーパーです。
今朝もお元気でお過ごしですか？

7月16日に発生したテスラのイーロン･マスクやオバマ前大統領ら著名人のTwitterアカウント乗っ取り事件は、なんとフロリダ州の17才の少年を主犯とする4人の若者の犯行とわかり、4人は逮捕されました。

いずれ真相は明らかになると思われますが、今わかっている情報からは

• 少年達はTwitter社の社員をだまし信頼関係を結んだ上で、ある社員から電話でTwitter社のサポートツールのアカウント情報を聞き出した。
• サポートツールを操作して、130件のアカウントを乗っ取り、うち45件のアカウントのパスワードを変更してなりすまし、3億5000万人もの人に偽投稿を送った。
• 36件のアカウントでは、非公開のプライベートメッセージが読まれ、上院議員を含む7件のアカウントはデータがダウンロードされた。

事が分かります。

Twitter社は今回の攻撃をソーシャルエンジニアリングのうち「スピアフィッシング攻撃(spear-phishing campaign)」によると発表しました。

スピア(spear)とは武器のヤリのことで、特定の個人を狙ってメールなどによりエサを提供して、代わりに情報を盗むことを言います。

アメリカではこれまでも、北朝鮮が軍需産業に従事する人たちを狙って、好条件の転職を持ちかけるなど、スピアフィッシングの事例が発覚していました。

ソーシャルエンジニアリングとは、「重要情報をマルウェアやハッキングと言った技術的な手段を使わずに盗み出す｣ことです

犯人とは知らず、親しくやりとりしていくうちに、知らず知らずにうちに誘導されて、重要情報を漏らしたり、いつの間にかマルウェアなど不正プログラムをインストールされてしまったりします。

わずか17才の少年に、Twitterの社員がだまされて門外不出のアカウント情報を提供してしまったことから、怖さが分かります。

「ライバル会社の人と仲良くなって、うっかり機密情報や営業情報を見せた」
「転職先で、つい前の勤務先のアカウントを使用して、情報を取り出して使った｣
から
「スマホに役に立つアプリを入れてあげるから、友人をだましてロックを解除し、行動監視アプリ(ストーカーウェア)を入れる｣
「訪問時に相手の好意で家庭のWifiに接続してもらったことを良いことに、外から家庭内の情報を盗み取る｣

など人の油断や好意、好奇心につけ込んだソーシャルエンジニアリング犯罪は誰もが直面する危険性があります。

今回の17才の少年達の大胆な犯罪をきっかけに、もう一度大切なアカウントなど情報管理について、ぜひ再検討してみて下さい。

本日もどうぞ良い日でありますように！

 

詳しくは下記の当社公式ブログもご覧下さい。

>誰もが直面するソーシャルエンジニアリングの危険～Twitter大規模アカウント乗っ取りから学ぶ