ツイッターや暗号資産業界を悩ませる「ソーシャルエンジニアリング攻撃」の巧妙な手口

ツイッターアカウントの大規模乗っ取りの主犯として逮捕された10代の若者、グラハム・クラーク(Graham Clark)容疑者は、長年にわたって暗号資産(仮想通貨)ユーザーをターゲットにしてきたコミュニティーの出身だ。

このコミュニティーの攻撃には大きな1つの共通点がある。彼らはコードの脆弱性よりも、誤りを免れられない人間の性質を利用する。

こうした、いわゆる「ソーシャルエンジニアリング」攻撃はますます巧妙になっており、ツイッターの件は精力的な捜査が行われているが、この問題がすぐに収束する可能性は低いとセキュリティの専門家は述べた。

ニューヨーク・タイムズによると、クラーク容疑者は、1文字、1語など短い独特な名前を使ってソーシャルメディアで不正取引を行う「OG」ユーザーコミュニティの一員だったとされる。

OGユーザーコミュニティのハッカーはまた、暗号資産の世界を長らく悩ませているSIMスワップ詐欺(携帯電話番号を乗っ取り、不正取引を行うもの)でも知られている。

被害額は比較的小さいが

フロリダ州在住のクラーク容疑者は7月31日に逮捕された。連邦検事のアンドリュー・ウォーレン(Andrew Warren)氏は、組織的詐欺、通信詐欺、個人情報の不正利用、権限を持たないコンピューターあるいは電子機器へのアクセスを含む、30件の容疑で起訴を行ったと地元フロリダ州のテレビ局WFLAは伝えた。

クラーク容疑者は、署名人や大企業など130のアカウントを乗っ取り、フォロワーから14万ドル(約1500万円)相当のビットコインを騙し取ったとされている。イーロン・マスク氏やオバマ前大統領など、ハッキングにあったアカウントの知名度を考えると比較的小さな被害額だ。

しかし、彼らが大統領候補のバイデン前副大統領や複数のCEOのアカウントを乗っ取ったことを考えると、はるかに大きな混乱を生み出す可能性があった。

ツイッター社は当初、7月半ばに従業員をターゲットにした「ソーシャルエンジニアリング」攻撃が行われ、不正侵入されたと発表した。その後、同社はさらに正確な情報を提供し、従業員は「携帯電話を使ったスピアフィッシング」攻撃を受けたと述べた。

スピアフィッシング:特定の人物をターゲットにして、データや個人情報を奪う攻撃。魚をスピア(もり)で狙う様子から名づけられた。

やってはいけないことをさせる

ソーシャルエンジニアリングは、詐欺の多くの手法を含む広義の用語で、賄賂から強制、フィッシングまであらゆるものを含むとサイバーセキュリティー企業Unit221Bのアリソン・ニクソン(Allison Nixon)氏は述べた。

宣誓供述書によると、クラーク容疑者はツイッターの従業員に、自分のことをIT部門で働く同僚と信じ込ませた。ツイッターの従業員は、カスタマーサービスのために必要な認証情報をクラーク容疑者に与えた。

「ソーシャルエンジニアリングは、本質的に人を騙して、やってはいけないことをさせるという考え方」とサイバーセキュリティー企業RiskIQのヨナサン・クリンスマ(Yonathan Klijnsma)氏は話す。

「フィッシング攻撃のような単純なものから、もっと手の込んだケースでは、実生活あるいは電話を使って通常ならしないような行動を取るように操ることもある」

暗号資産を狙うSIMスワップ攻撃

ビットコインなどのデジタル資産保有者は、このスタイルの攻撃をよく知っている。彼らは長い間、SIMスワップと呼ばれるソーシャルエンジニアリング攻撃の格好のターゲットとなってきた。

SIMスワップの犯人は、通信会社の従業員に賄賂を送ったり、騙したりして、被害者の電話番号を自分たちの端末に移行させる。これによって犯人は、被害者の2段階認証ツールを利用、またはスキップして、暗号資産ウォレットやソーシャルメディアアカウントにアクセスできるようになる。

ニクソン氏は、ツイッターをハッキングした犯人らが、SIMスワップコミュニティーから生まれた手法に似た方法を使ったことを示す証拠を目にしたと語った。テック系メディアのテッククランチ(TechCrunch)も、OGユーザーコミュニティーが関与していたと報じている。

ニクソン氏は、OGユーザーコミュニティの手法はより巧妙になっていることを懸念している。

「彼らは通信会社への攻撃で経験を積み、現在は他の企業をターゲットにしている。彼らの攻撃は非常に効果的だ。彼らは資金を出してくれるパートナーを見つけるだろう。ツイッターに対する攻撃は派手な宣伝になった」

対応が遅れる通信会社

個人をターゲットにデジタル資産を騙し取るSIMスワップ詐欺の事例は数多い。有名な事例では投資家のマイケル・テルピン(Michael Terpin)氏が狙われ、1500ビットコインが盗まれた。

安全なSIMカードを提供するEfaniのハシーブ・アワン(Haseeb Awan)CEOは、毎日約1000人がSIMスワップ攻撃の被害にあっていると推計しているが、「被害者の多くは名乗り出ない」と述べた。

ほとんどの消費者はそのリスクに気づいていないが、SIMスワップ攻撃はますます巧妙になっているとアワン氏は述べる。

「通信会社は、1日にどれだけ多くの携帯電話を契約できるかを考えて仕事をしている。それが彼らが利益をあげる方法だ。(中略)SIMスワップ攻撃を気にしていないわけではない。対応するためのインフラが整っていない。コールセンターや開発者は海外かもしれない。すべてを管理するのは非常に難しい」

スマートフォンは魅力的なターゲット

我々の私生活や金融面での暮らしがますますデジタル化するなか、スマートフォンはハッカーにとって魅力的なターゲットであり、SIMスワップは人気の手法になっているとニクソン氏は述べた。

暗号資産の世界では、スマートフォンはしばしば個人が自分の資産にアクセスするための重要なツールであり、ハッカーにとっては非常に魅力的な攻撃対象となっている。

一部の通信会社は、SIMスワップの抑制、防止に成功している。ツイッターで検索した結果によると、SIMスワップに関する苦情は2019年〜2020年にかけて減少したとニクソン氏は指摘した。

アワン氏によると、SIMカードを紛失したり、アカウントを復旧させるためにサポートが必要なこともあるため、利便性を図るために、多くの通信会社は店舗スタッフが保護機能を無効化できるようにしている。

セキュリティーコンサルタント会社Archon Securityのアラリック・アルーア(Alaric Aloor)CEOは、「最小権限の原則」といった基本的取り組みを守ることが企業にとって重要と述べた。つまり、顧客のアカウントに重要な変更を加えることができるのは、可能な限り少ない従業員に制限すべきだ。

アルーア氏の見解では、多くの企業がこうした基本的取り組みから逸脱していることが、SIMスワップや他のソーシャルエンジニアリング攻撃の拡大を許してしまった。

「我々は皆、ソーシャルメディアが外部の人間によっていかに操作され、多くの人の感情を揺さぶることができるかを目の当たりにした。だから現状では、ツイッターは、電気・ガス・水道のように重要なインフラと考えるべき」とアルーア氏は述べた。

「何もできない」

こうした攻撃の犯人の多くは捕まらず、罰を受けることはめったにないとニクソン氏は言う。

だが、ツイッターのハッキングでの逮捕は例外だ。ニューヨーク・タイムズはまた、クラーク容疑者のオンラインでの偽名の1つが、シアトル在住のエンジェル投資家グレッグ・ベネット(Gregg Bennett)氏に対する2019年のSIMスワップ攻撃に関与していたようだと報じた。

2019年後半、ビットコインが盗まれた取引所ビットトレックス(Bittrex)に対する訴訟を起こした後、ベネット氏は、取引所へのハッキングはフロリダ州のIPアドレスとウィンドウズNTを利用して行われたが、自分はどちらも使ったことがないとCoinDeskに語った。

シークレットサービスは攻撃によって盗まれた100ビットコインを押収したが、クラーク容疑者が未成年であったことから起訴しなかったとニューヨーク・タイムズは報じた。

仮に被害者が自分の電話が乗っ取られたと気付いても「ほとんど何もできない」とアワン氏は言う。通信会社が責任を認める可能性は小さく、法的対応策がないため、犯罪を抑えることはできないだろう。

結果として、ハッカーは技術を磨き、さらに警察に見つかりにくくするチャンスを何度も得ることになる。

進化する攻撃

RiskIQのクリンスマ氏にとって大きな収穫の1つは、ハッキングが驚くような形で露見したことだ。

「我々のデータは、ソーシャルエンジニアリングによって暗号資産を手に入れるために、さまざまな方法を使って、こうした活動が長く行われていたことを示している」とクリンスマ氏は述べた。

「しかし、ハッカーがひとたびツイッターをハッキングしようと決め、それに成功すると、彼らは突然注目を集めることになった。犯罪者たちが被害者を見つける新しい方法を探すなか、こうした活動は常に進化している」

SIMスワップは、ニクソン氏によると「ターゲットを絞った攻撃」の1つの側面に過ぎず、認証情報を入手したり、プラットフォームに不正侵入するための他の数多くの手法も存在する。

これは、暗号資産取引所などのプラットフォームに多額の資金(あるいは暗号資産)を保管している個人にとっては特に問題だ。

「安心感を完全に弱めることになる。(中略)リスクの一部を排除することはできるが、ハッカーはプロバイダーや、あなたが関与できないものを攻撃しており、それでもあなたが乗っ取られることになる」とニクソン氏は述べた。

消極的な大企業

アルーア氏、ニクソン氏の両氏によると、Equifaxやツイッターなどの大企業も、こうした攻撃の被害にあう可能性を抑えるための動機を持たないかもしれない。

2017年に1億4700万人の個人情報が流出した件に関して、連邦取引委員会と5億7500万ドルで和解を図ろうとするEquifaxの計画をアルーア氏は指摘した。同社は当初、被害者1人に対して125ドルを支払うとされていたが、被害者数の多さからこれは実現しそうにない。

「このことは少なくともアメリカでは『情報流出があっても影響はない』という幅広い見解を示していると思う」とアルーア氏は述べた。

ニクソン氏は、SIMスワップに対処するための協調的取り組みが具体化しないことを懸念している。何度も繰り返されているにもかかわらず、SIMスワップ防止にほとんど進展がないからだ。

「SIMスワップは電話システムを完全に破壊する。IDシステムを破壊する。国家安全保障や重要なインフラに根本的なレベルで影響を与えるものを破壊する」とニクソン氏は述べた。

関連記事:Twitter大規模乗っ取り被害のCoinDesk──7月15日の舞台裏と教訓

翻訳:山口晶子
編集:増田隆幸、佐藤茂
写真:Shutterstock
原文:Social Engineering: A Plague on Crypto and Twitter, Unlikely to Stop