乗っ取りや偽サイトに注意!!SNSのセキュリティリスク

SNS上でセキュリティリスクがおこってしまう原因

  • 認証情報の漏えい・流出・解読
  • 詐欺行為

認証情報の漏えい・流出・解読からアカウントが乗っ取られる!

LINEの乗っ取り

1.ログイン情報の流出

他社のサービスから流出したと思われるメールアドレスやパスワードなどを利用して、LINEに不正ログインし乗っ取ります。

2.なりすまし

知人や家族になりすまして聞き出した情報で不正ログインし乗っ取ります。

電話番号と4桁の認証番号、この2つの情報を渡してしまうとアカウントを乗っ取られてしまいます。

Twitterの乗っ取り

1.ログイン情報の流出

他社のサービスから流出したと思われるメールアドレスやパスワードなどを利用して、Twitterに不正ログインし乗っ取ります。

2.「アプリ連携」を利用

「アプリ連携」とは、他のアプリが自分のTwitterアカウントを利用できるようにする機能のことで、本来は使い勝手を良くするための機能です。

アプリ連携を許可されたアプリは、許可されたTwitterアカウントで、「ツイートする」、「新しくフォローする」、「プロフィールを更新する」、「ダイレクトメッセージを見る」、「タイムラインのツイートを見る」、「フォローしている人を見る」などが可能になります。(アプリによって、許可される操作が異なります)。
これらを悪用することが、Twitterアカウント乗っ取りの主な手口です。

Facebookの乗っ取り

1.スワード紛失した場合の救済措置を逆手とった乗っ取り

パスワードを忘れてログインできなくなった場合の救済措置を逆手に取った悪質なアカウント乗っ取り方法が知られています。

Facebookには、パスワードを忘れたなどの理由でログインできなくなった場合、自分のアカウントに登録されている友達3人に協力してもらうことでパスワードを再発行してもらえる機能があります。これを悪用されると簡単にアカウントを乗っ取られてしまう危険性があります。

まず、攻撃者は友達になりすました3人分のアカウントを登録しておきます。
次に、あなたののアカウントに友達申請をして友達になります。
そして、あなたののアカウントが一般公開しているメールアドレスを利用して救済措置を行い、3つのなりすましアカウントにセキュリティコードを送信します。
最後に、入手したセキュリティコードを使ってログインし、あなたのパスワードを変更して乗っ取る、というのが手口です。

2.スパムの友達申請の承認

1.と被りますが、うっかり攻撃者の友達申請を3人分承認してしまうかつ設定上メールアドレスを公開していると、1の手法を使って乗っ取られてしまいます。

認証情報の漏えい・流出・解読からアカウントの乗っ取り対策!

LINEの乗っ取り対策

1.パスワード設定する。

アプリ起動時のパスワード入力を設定する。

2.他の端末からのログイン許可をしない

他端末からのログインを許可しない設定をおこなう。

いずれもLINEアプリの「その他」→「設定」→「アカウント」もしくは「プライバシー管理」で簡単に設定できます。

3.知人や家族から不自然なメッセージが届いた際は、すぐに対応せずに、本人に直接連絡をする。

急に電話番号や、4桁の認証番号を聞かれた場合は、乗っ取り犯だと思いましょう。そしてそれ以外でも普段と異なるメッセージが届いた場合は、本人に電話をして確認しましょう。

4.依頼された内容が金銭や認証情報などの場合には、乗っ取りの可能性が高いため信じない。

近くのコンビニでプリペイドカードを何枚か買ってきてほしい。
買ってきたらそのカードの裏面にあるIDの写メを送ってくれ。

と言った手口で具体的に購入してほしいプリペイドカードを指定し、プリペイドカードの券面にある番号を教えてほしい、または写真を撮って送ってほしいと頼んできます。

そういった場合は、絶対に信じないようにしましょう。

Twitterの乗っ取り対策

1.パスワード設定する。

アプリ起動時のパスワード入力を設定する。

2.アプリ連携を安易に許可しない

本当に必要なもの、信頼できるアプリのみ自分のアカウントとのアプリ連携を許可しましょう。提供元不明のアプリや、何のために権限を必要とするのか不明瞭なアプリに対して、アプリ連携を許可することは非常に危険です。

※完全にアカウントを乗っ取られておらず、権限を悪用されているだけの場合は、アプリ内の「設定」から「アプリ連携」の一覧を開き、原因と思われるアプリの「許可を取り消す」を実行し、パスワードも変更しましょう!

facebookの乗っ取り対策

1.メールアドレスを一般公開しないように設定する。

facebookアプリの「設定」→「セキュリティとログイン」→「アカウントにアクセスできなくなった時に助けてもらう友達を3~5人選択」

2.「セキュリティ設定」で「信頼できる連絡先」の設定を事前に行っておく

「セキュリティ設定」で「信頼できる連絡先」の設定を事前に行っておくことで、パスワード再発行の救済措置を限られた人物にのみ許可することができます。

LINEにも言えることですが、良く知らない相手を友達として承認する際は相手のプロフィール情報などを事前に確認して、本人かどうか判断してから行うように意識しましょう。

詐欺行為の発生

フィッシング詐欺

  フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことをいいます。

万が一、アカウントが乗っ取られてしまうと、第三者(フィッシャー)にスパムやウイルス(マルウェア)の配布やダイエットサプリなどの医薬品の宣伝に使われてしまいます。

そのほか、第三者が自分の手ごまを増やすために、フィッシングサイトを掲載しているDMをアカウントのフォロワーへ勝手に大量送信します。

スミッシング詐欺

スミッシング詐欺とは、スマートフォンのショートメール「SMS」を利用した「フィッシング詐欺」のことで、SMSで送られてきたURLをクリックさせることで、偽のサイトに誘導し、個人情報やクレジットカード情報などを盗む詐欺をいいます。

「フィッシング」詐欺の中でもSMSを使ったものが、「スミッシング」と呼ばれています。「SMS」と「フィッシング」をかけあわせてスミッシング詐欺と呼びます。

近年では、配送業者からの不在連絡や、通販サイトからの不正ログイン検知を騙る詐欺が増えてきており、被害をSNSやYouTubeなどで警告している人も非常に多いです。

スミッシング詐欺の増加理由として、セキュリティ向上の観点から、二段階認証としてSMSを利用することが増えてきたということと、メルマガの乱立などもありEメールが無視されてきているという背景があります。

電話番号さえわかればメッセージを送ることができ、迷惑メール振り分けもなく、認証などにも使われるSMSが詐欺の攻撃者に目をつけられています。

では、いったいどんな手口で騙すのかというと、例えば、配送業者の不在通知連絡を騙った事例です。

大手配送会社の名前を騙り、不在通知から再配達へ誘導すると見せかけ、実際はフィッシングサイトに誘導し、そこで電話番号やメールアドレスなどの情報を窃取したり、IDやパスワードを窃取したり、マルウェアという不正なアプリをインストールさせたりします。

フィッシング詐欺・スミッシング詐欺に遭わない対策

対策としては、メールやSMSに記載されているURLのドメインを確認する習慣を身につけることがポイントとなります。

いったんクリックしてサイトに入ってしまうと、見た目では正規サイトかどうか、判断つかないケースも多いです。

ただし、ドメインでも正規サイトを巧妙に模倣しているケースも多いため、自分では判断つかない可能性もある。SMSに記載されているURLは基本的にクリックせず、正規アプリや正規サイトからアクセスし、通知がきていないか確認する習慣を身につけましょう!

また、偽サイトの場合、IDやパスワードなど、もっともらしい理由をつけて、配達に不要な情報まで取得しようとするケースが見られるのでそういうデータを入力させようとしたら要注意です。

アイリスオーヤマの偽サイト被害が拡大!!

 アイリスオーヤマの公式通販サイト「アイリスプラザ」を装った偽サイトの被害が増えているとして、注意喚起を行っています。

偽サイトはアイリスプラザからロゴや商品写真を転載して公式サイトになりすまし、割安な価格で販売しているように見せかけて個人情報やクレジットカード番号の入力を求めます。

アイリスオーヤマによると実際に「個人情報を送った」「支払いをしてしまった」という相談を複数受けているとのことです。

 アイリスオーヤマが偽サイトを最初に発見し、そのURLとともに注意喚起したのは21年3月。その後も偽サイトは増え、既に閉鎖されているものを含めてこれまでに27件のURLを確認しています。

 こうした偽装サイトでは検索エンジンで社名を検索した際、公式サイトより上に表示される広告を誘導に使うケースもあります。大阪府警は「大幅な値引きや限定商品などの表示には特に注意。買い物は、SNSなどに表示される広告からではなく、正規ホームページや正規アプリから行いましょう」と呼びかけています。

 アイリスプラザの正しいURLは「www.irisplaza.co.jp/」。

出典:アイリスプラザ

相手やURLのドメインを疑い、必ず正規サイトへアクセスすることが鉄則ですね!

サイバー攻撃からホームページを守る「BLUE Sphere」

https://bluesphere.japan-resilience.co.jp

「ITトレンド年間ランキング」2021年度 年間第1位

最新情報をチェックしよう!