情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年1月20日号
***************************************************************
マッチングアプリのアカウント情報流出から派生するサイバー犯罪
***************************************************************
昨年末に発覚し、年末から年明けにニュースとなったひとつに「精子提供」取引のトラブルがある。
これは、夫の難病の疑いにより子供が授からないという事からSNSで知り合った男性から性行為に
よって精子提供を受け妊娠した女性が、提供者の男性は当初女性が要求した学歴や国籍等の
条件が詐称されていて精神的苦痛を受けたとして訴訟問題になっているというものである。
倫理的、道徳的な観点は専門外なのでコメントを控えるが、サイバー脅威を扱うセキュリティ従事
者としては気になる点がある。
それはSNSで知り合ったという点である。
過去から同様の問題は存在していたが、やはりSNSが普及し利用され始めてからである。
SNSはインターネットを通じて人との繋がりを持てるアプリケーションであるが、アプリケーションによって
その目的が変わってくる。
その中でもマッチングアプリと呼ばれるSNSは「結婚相手探し」「恋人探し」「デート相手探し」「何
でもOKな相手探し」など目的は違っても自分の条件に合う相手を探すためのアプリである。
「精子提供」という内容も、もしかしたらこれらを巧みに利用して近づいたものかもしれない。
もう一つ気になるのは、事件として表面化している男性が中国籍であるという事である。
中国ブラックマーケットでは、昨年からマッチングアプリの流出したアカウントの売買が目立ち始め、
今年に入りその情報量は急増している。
マッチングアプリは一般的に会員制で月々の会費を支払う。この時にクレジットカードなどを登録して
自動的に会費を払いアプリを利用して自分の希望の相手を探すというものである。
この会員登録が氏名、住所、電話番号、メールアドレスなどの個人情報に加え、会員費を払う決済
情報まで登録しているのである。
普通に考えればこの会員情報が流出してもクレジットカード情報の全てが判らなければ他で利用する
のは簡単ではない。しかし個人の身分証などの登録もあるため、サイバー空間で流出情報を利用した
様々な不正行為が実行できてしまう。
また、このマッチングアプリ内であれば、自動的に会費が支払われるのであるからアカウントを乗っ取り、
アカウント本人になりすまし相手探しの名目で異性に近づくこともできる。
マッチングアプリの特徴はSNS上でお互いが合意すれば、直接連絡を取り現実に合う事もできると
いうことだ。
つまり履歴が好条件のアカウントを使えば、相手と会える可能性も高くなるという事である。
一度会えば自分を気に入ってもらえるように振る舞い、そこで高額プレゼントの要求をする、または投資
などの詐欺行為も行う事ができる。
実際にこのような事件は多数発生しているのである。
今までは、自らが自腹を切って会費を払い、最終的に相手からそれ以上の金品を搾取する、いわゆる
結婚詐欺やロマンス詐欺と呼ばれる犯罪は存在していたが、昨今は自腹も切らない、流出アカウント
を使いなりすましにより、このような犯罪が可能となってしまうのである。
犯罪者にとってなりすましは、会費だけでなく利点がある。
現行犯以外であれば追跡され難いという点があるからだ。
精子提供に絡む事件も、もしかしたら流出アカウントの不正利用だったのかもしれない。
昨年6月には人気マッチングアプリの一つである「Omiai」が不正アクセスを受けて171万人以上の会員
情報が流出したという事件があった。
しかし中国ブラックマーケットでは、「Omiai」以外にも「Pairs」「with」「tapple」「badoo」「pcmax」
「crossme」「OKcpuid」「paters」「tinder」など次から次と情報がアップデートされてアカウントが
売買されている。
これらはフィッシングによるものだけではなく、ハッキングなどによる情報流出が多いのではないかと推測
される。決済を含む複雑なシステムでは様々なシステム稼働のためのプログラムがあり、そこに脆弱性
が存在していればそこから侵入され情報が搾取されてしまう。
それぞれの企業がどのようなシステム構築になっていて、どのような運用方法をしているかによっても
変わってくる。各企業のセキュリティに対する考え方が重要になってくるという事である。
そんな中、サイバー攻撃への防衛力を格付けするサービスを導入する企業が増加しているという。
これは各企業がセキュリティの格付けを受け、それに合わせた取引が実施されるというもの。
格付け度合いによっては「取引停止」などという事にもなり兼ねない。
このような格付け制度は、欧米が先行して導入している企業が多いが、日本でもセキュリティを意識
した企業が採用するケースが出始めてきているのである。
日本IT団体連盟は、昨年サイバーセキュリティーへの取り組み姿勢と情報開示に関して日本の企業
500社を調査し格付け評価したという。
日本もいよいよ、セキュリティのランキングまで付けられ、セキュリティを軽視していた企業や知識がなく
出来ていない企業はビジネスに大きなハンデキャップを負うことになるのかもしれない。
さて、サイバー脅威を調査している立場からすれば、いくら格付けして格付けが上の企業であっても
高度な技術を持つサイバー攻撃者からすれば、あまり関係なく、どの企業にも攻撃する事は可能
であろう。
しかし格付けという発想が機となり、セキュリティに対する考え方が企業に普及していくのであれば
それはそれで良い効果が生まれることは間違いない。
さて今回はマッチングアプリのアカウントに言及してみたが、サイバー闇市場では引き続きクレジット
カードやその他アカウントの流出は増加の一途である。
企業を狙ったランサムウェア攻撃も一層増加している。しかも名だたる大手が名を連ねている。
ここ数年サイバー攻撃が世界的に問題になってきていて、その被害は年々増していくばかりである。
日本はいったいどのような2022年が待ち受けているのだろうか?
新たなサイバー攻撃が登場する前に、せめて現状を少しでも修正する事を考えてほしい。
既にサイバー闇市場では、攻撃者が新たな攻撃を準備し、次なる闇ビジネスを繰り出そうとしている。
何かされてからでは遅い、起きる前に行動していかなければならない。
---------------------------------------------------------------------------------
<参考URL>
東京新聞:2021/12/27
精子取引トラブルで訴訟「京大卒独身日本人と信じたのに…経歴全部ウソ」
精子提供者を女性が提訴 全国初か
https://www.tokyo-np.co.jp/article/151342
日本経済新聞:2022/1/8
サイバー防衛力の格付け広がる 「落第企業」取引停止も
https://www.nikkei.com/article/DGXZQODZ317TQ0R30C21A3000000/
日経XTech:2021/12/1
IT連が「セキュリティー格付け」星付き企業42社発表、情報開示が進むワケ
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06318/
YAHOOニュース/時事通信:2022/1/14
デンソー、サイバー攻撃受ける メキシコ工場が被害
https://news.yahoo.co.jp/articles/72fffb13037370b2fb8a6fd91a8b99a802ce4ec5
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved