さて、前回の続きなわけですが、今回はSNSアカウントに関するセキュリティに関して少し掘り下げてみようかと思います。
SNSアカウントについての「セキュリティ事故」
さて、SNSアカウントに関するセキュリティ事故(事故?といえるか微妙なものもありますが)ですが、以下のようなものがあります。
①アカウントの乗っ取り
使用しているアカウントを、犯人に使用され、自分が使えなくなってしまうこと。
これにより、SNSアカウントに登録されている自分の個人情報やデータ等が犯人に漏えいしたり、アカウントで本人になりすまして不適切な投稿をされたりする。
乗っ取ったアカウントで友人登録されている人にメッセージを送り、自分になりすましてAmazonのギフトカードのコードを送信させようとしたり、感染サイトに誘導して友人の端末をマルウェア感染させようとしたりというのがありました。
原因の多くは、「リスト攻撃」と言われるものが最近では多く、過去の情報漏えい事件において漏えいしたメールアドレスとパスワードの情報を利用して、使い回しが行われている場合に乗っ取られる攻撃手法や、パスワード忘れ等の場合のアカウントのリセットの手法を悪用する手法があったります。
あとは、スマホのロックをせずに放置して、誰か(子供・友人)に勝手に使われる、というようなケースもあります。
②偽アカウント
芸能人等の有名人などに多いのですが、犯人が自分になりすまして自分が使用しているアカウントとは別の新しいアカウント=偽アカウントを登録・作成し、自分になりすましてSNS上で活動する、というものです。
芸能人の場合は、肖像権等の問題になりますので、SNSの運営元にアカウントの停止等を依頼したり、いわゆる「公式アカウント」を作成したりすることで、対応することが多いようです。これを放置しておくと、偽アカウントを本人のアカウントを勘違いした人が、偽アカウントでの活動を信じてしまい、ウィルス感染被害にあったり、本人の評判を落とすことになったりという結果になります。
一般の人の場合でも、偽アカウントで本人になりすまし、本人が働いている会社内の情報等を偽アカウントで友人登録された人を利用して不正入手を試みる、といったソーシャルエンジニアリングの手法の一つとして利用されることがあります。
この偽アカウントについては、アカウント名を本人のものから少しだけ変えてしまえば、作成することは可能であることが多いので、作成自体を防ぐことは難しい部分です。
ただし、「そのアカウントが偽アカウントである」ということを利用者に知らせることで、偽アカウントのSNS上での活動を困難にさせることが有効な手段といえます。
まあ、同姓同名の方もいたりするので、偽アカウントなのか、偶然の一致なのかはちゃんと確かめる必要はありますね。
③架空アカウント
偽アカウントに似ていますが、偽アカウントは実在する本人のアカウントになりすますのに対し、こちらは実在しない架空の人物になりすます、というものです。
なぜ、そのようなことをするのか?ということですが、単に個人の趣味というか楽しみでやる方もありますが、明確に目的をもった活動をする架空アカウントがあります。
例えば、特定の組織に不正アクセスを行うために、組織内の誰かにSNS上で接触し、不正アクセスに必要な情報を取得する、多数の架空アカウントを使用し特定の思想・信条等に関係する発言等を行いそれが多数の意見であるように見せかける、多数の架空アカウントを利用してクリック等を多数行ったり、フォロワー数を稼いで広告収入を不正に(?)得ようとする、などです。
これも、SNSによりますが、偽アカウント同様に架空アカウント自体は作成可能な場合が多いです。まあ、自分に実害がなければ、普通の利用者としては放っておくのがよいでしょう。
④捨てアカウント
架空アカウントに近いのですが、継続的な使用をせずに、一時的に使用して、その後当該アカウントを消去する(SNSを退会する)ものです。
最近のSNSではメッセンジャーや音声通話が出来るものも多いため、SNS上だけではなく実際に会話をする、対面で会う、といったことも含めて行い詐欺行為をする、SNS上での新規登録限定等の特典を狙う等を行う場合に使われるようです。
架空アカウントとの違いですが、架空アカウントは「実体」へのアクセスが不要な場合が多いのですが、捨てアカウントは多少は「実体」へのアクセスが必要な場合に使われることが多いようです。
対策はあるのか?
さて、こういった事故があるわけですが、これらに対する対策はどうなっているのか?ということですが、SNSの運営側もいろいろ努力はしているわけなのですが、それはまた次回のコラムで書いてみようかと思います。
セキュリティ・エグゼクティブ・ディレクター中島浩光
