PC操作時は背後に注意 photo by janeb13 via pixabay
ちょっと変わったインターネット関連の事件が話題になった。
「SNSの人気アカウント消去の疑い 少年3人を逮捕」というものだ。要約すると以下のような内容になる。
LINE@ を利用して年間1000万円の広告収入を得ていた北海道の18歳少年が、監禁されてアカウントを削除された。事件を起こしたのは、東京都内に住む18歳から19歳の少年3人。彼らは、北海道の少年の競合業者で、敵の排除を目論んだ。3人はアカウントの嘘の購入話で、北海道の少年を東京に呼び出し、監禁してパスコードなどを聞き出した。
LINE@ は、人気SNSアプリ LINE のビジネス向けアカウントだ。通常の LINE と違い、顧客に対する一斉送信が可能になっている。元々はLINE公式アカウントと別のものだったが、サービス統合して
LINE公式アカウントに一本化された。
このサービスは、元々企業のPRや店舗の集客に用いられるものだが、アフィリエイトや情報商材との相性もよい。そのため、そうした業者も利用している。
この事件に対してネットでは、驚く書き込みが多数見られた。
セキュリティを突破するために、本人を呼び出して監禁するという内容だったからだ。
しかし、セキュリティを突破するために、リアルの人間を攻めるのは、ある意味王道とも言える。この事件では、儲け話を餌に呼び出しているので、
ソーシャル・エンジニアリングの亜種に分類することもできるだろう。
ソーシャル・エンジニアリングは、
ユーザーIDやパスワードなどを、人的な手段や物理的な方法で入手する方法だ。たとえば、
電話でパスワードを聞き出す。あるいは
肩越しにパスワードを盗み見る。
ゴミ箱を漁るトラッシングというのも、よく知られた方法だ。情報技術的な方法とは関係なく情報を入手することが、通常のクラッキング*とは大きく違う。
<*情報技術的な方法でコンピュータネットワークに繋がれたシステムへ不正に侵入したり、破壊・改竄することなど>
ソーシャル・エンジニアリングの多くは、
コミュニケーションや、人間の隙、あるいはミスを利用している。最大の脆弱性はコンピューターやプログラムではなく、それらを使う人間にあるというわけだ。
普通の人間は、生活の中で自分の情報を徹底的に隠して暮らしたりはしない。そうしている人は、相当な変わり者だろう。
コンピューターを前にしているときは警戒していても、普段の暮らしでは気を抜いている人の方が多いのではないか。しかしセキュリティを突破するのは、コンピューターやスマホ経由とは限らない。コンピューターから離れても、絶えず警戒していなければならない。
冒頭の事件では、
アカウントを購入するという儲け話を振られた。そして、相手も実際に顔を出して会うと言っていたわけだ。そこまでされれば信用してしまうかもしれない。金額によっては、一度ぐらい会ってみるかとなるだろう。まさか監禁目的で呼び出されているなど、気付く方が特殊だろう。