情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年2月25日号
***************************************************************
話題のClubhouseのデータが中国に流出?SNSから波及する脅威
***************************************************************
今話題のClubhouseは音声ベースのSNSで、テレビ等での紹介もあり一気に人気が高まっている。
しかし米国スタンフォードインターネット観測所の研究者のレポートによると、Clubhouseの利用する
音声技術が中国上海に本社を置くクラウドサービスプロバイダー
“Agora”という企業の技術であり、
このクラウド上のサーバにデータが保管されていて、しかも暗号化なしの平文であるという。
これにより中国に監視され、場合によっては重要な情報が流出する可能性もあるというニュースが
先週流れた。また既にハッキングされていて情報は流出しているというニュースも出ている。
Clubhouse同様に動画アプリの“TikTok”も中国企業が開発運営していて情報漏洩の可能性が
あるとして、昨年米国や日本でも公式アカウントを停止する動きがあった。
SNSは今のインターネット時代には欠かせないツールでLINE、Twitter、Facebook、Instagram
TikTokなどを代表するように老若男女が各種SNSを利用している。
遠方にいる家族や特定の人と簡単に連絡を取ることができ、自分の気持ちや行動を情報として発信
して、それに共感した人が情報交換できる。
またテキストで文章を送るだけでなく写真や動画を一緒に投稿することで実際の状況がより現実化し、
特定の相手とデジタル通話も可能になっている。
これらの便利な機能を面白く楽しく使うだけなら全く問題ないのだが、これを悪用したサイバー犯罪が
ここ数年急増している。特に中国人が関係した事故や事件が多く報じられている。
全ての中国人が悪いわけではないが、注意するに越したことはない。
最も多いのは、アカウントを乗っ取りなりすまし、あたかも本人であるかのように友人、知人、有名人に
なりすまして情報を搾取するフィッシング詐欺である。
ここ数日では教育評論家の“尾木ママ”の偽アカウントが出回り金銭に関する投稿を続けていたという。
昨年亡くなった俳優の“三浦春馬”になりすまして楽曲配信サイトに誘導するものも確認されている。
更に企業の偽アカウントも出回り、あたかも有名企業の公式アカウントかのように見せて「セキュリティ
強化の為、情報を更新してください」「5000円当選しました」「1年分当選しました」など様々な手法
で詐欺行為が発生している。
なりすましにより直接金銭を要求し友人・知人から金銭を盗み取る詐欺もあれば、フィッシングにより
搾取された情報を別のところで利用されて別のサイバー犯罪に利用するケースもある。
これはハッキングにより様々なアカウントが奪われ、更にそれを使って各種情報を入手し、最終的には
金銭に関連するサイバー犯罪を繰り返すという事になる。
昨年ドコモ口座なりすましにより連携する銀行口座から多額の金銭が不正出金された事件は記憶に
新しい。
中国ブラックマーケットでは各種アカウントの売買情報は常に存在し、SNSのアカウント売買も多く
確認されていて、SNS以外でも「楽天」「メルカリ」「ラクマ」「YAHOO」「Google」「Amazon」
「iCloud」などのアカウントも多く確認されている。
また単純にアカウントのみの販売だけではなく【本人認証代行します】【SMS認証が可能です】などと
言ったように本人認証まで全てできるように準備をしているのである。
最近のニュースで気になるのは、サイバー犯罪の実行犯が日本国内で実行していて、しかも指示役は
中国にいてSNSを使って連絡を取り合い、犯罪を実行しているケースが多いという事だ。
このままの状態を続ければ、単純にサイバー被害を受けて金銭を奪われるだけでなく、気がついた時
には全ての情報が奪われ、気付いたら日本そのものが乗っ取られてしまうかもしれない。
2月に入り中国ブラックマーケットでは7日と20日の2回に渡り【日本のVPN接続情報を販売します】
という掲示を確認している。暗号化する為のセキュリティソリューションでさえハッキングして情報を共有し
様々な攻撃をしてきている。
クレジットカード情報に関しての売買掲示数は、昨年上期(2020年1月~6月)に14件だったのに
対し今年は2カ月弱で15件確認されている。
もちろんハッキングだけではなくフィッシングにより入手する情報もあるのだから搾取されている数が増え
売買する掲示件数が増えるのは当然かもしれない。
サイバー犯罪者達は目に見えないところで着々とサイバー犯罪を計画し準備し実行に移してくる。
これだけサイバー攻撃のニュースがあり警告しても次々と新手の手段で攻撃を実行してくるのである。
サイバー攻撃者達は皆の考えているほど甘いものではない。
SNSは便利で楽しいツールではあるが、もう一度セキュリティ面も考えてみる必要があるかもしれない。
安心して利用するためにも、企業も個人も一層セキュリティ面の見直しが必要になる。
---------------------------------------------------------------------------------
<参考URL>
BUSINESS
INSIDER:2021/2/16
Clubhouseに脆弱性あり…スタンフォード大の研究者が発見、データ保護方針を見直し
https://gigazine.net/news/20210215-clubhouse-china-spying-concerns/
GigaZine:2021/2/15
Clubhouseのセキュリティに懸念、中国政府に監視される可能性も
https://gigazine.net/news/20210215-clubhouse-china-spying-concerns/
YAHOOニュース:2021/2/22
SNSで虚偽の当選連絡、企業の偽アカウントが使われる事案が増えている
https://news.yahoo.co.jp/articles/e84fa5a2497d3fd59e561774a8aa24b4bc196d81
毎日新聞:2021/2/9
ドコモ口座不正、中国の犯罪組織関与か 中国系アプリで指示役と通信
https://mainichi.jp/articles/20210209/k00/00m/040/105000c?fbclid=IwAR1RIBHUkNXniIWe5BJTukc5UgeG6W0DFBojNyRXscxuuYdrS6XuyHNsp6A
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved