セキュリティ

ソーシャルエンジニアリングによる著作権詐欺に新展開

著作権法は、Copyright.govが言うところの「オリジナルの著作物」を保護する法律であり、これらの著作物を適切な許可なく使用した個人は、損害賠償、裁判費用、弁護士費用などを請求されることがあります。プロの作家やアーティストなど、著作権法に抵触するような活動をしている人でなければ、このことが自分にどう関係するのか疑問に思うかもしれません。ソーシャルメディアサイトを利用していると、自分が投稿した内容に基づいて著作権侵害で訴えられたことを示すメッセージやメールを受け取ることがあります。ソーシャルメディアプロバイダがこのようなメッセージを送ることはありますが、詐欺の可能性もあります。自分の身を守るためには、何を見ればいいのかを知っておく必要があります。

その仕組み

2021年8月、Naked Security社のPaul Ducklin氏は、このテーマに関する記事を同社のサイト(nakedsecurity.sophos.com)に掲載しました。ダックリンによると、詐欺師は何年も前から電子メールやソーシャルメディアのメッセージングを利用して、偽の著作権侵害通知を配信しています。この攻撃ベクトルは、FacebookやInstagramのユーザーをターゲットにすることが多いですが、他のプラットフォームでも使用されています。

ソーシャルメディアユーザーが、著作権を侵害するような投稿をしてしまい、苦情が寄せられているというメッセージを受け取りました。ほとんどの場合、このメッセージはソーシャルメディアサイト自体からのもののように見えます。他のソーシャルエンジニアリング攻撃と同様に、詐欺師は、受信者が何も調べずにすぐに行動できるように、緊急性を感じさせるようにします。受信者は、メッセージを無視して訴訟を起こされ、弁護士費用や多額の和解金、裁判費用の支払いを要求される可能性がある場合と、同梱のリンクをクリックして、ソーシャルメディアのサービスとして提供されている紛争解決プロセスを利用して、問題を法廷外で迅速に解決できるサイトにアクセスする場合があります。このような紛争解決サービスは実際に存在するので、この詐欺の信憑性は高いと言えます。

もちろん、詐欺師のメッセージに含まれるリンクは、サイバー犯罪者が作成した悪意のあるサイトにターゲットを導きます。  被害者がソーシャルメディアのログイン情報を入力すれば、犯人はそれを入手します。  架空の請求を解決するために支払い情報を入力した場合、攻撃者はお金を手に入れ、その支払い情報も手に入れます。  このようなサイトは、マルウェアの配信にも使われる可能性があります。

 

 

詐欺師はメールフィルターを回避するために詐欺の内容を変更している

サイバー犯罪者は、その攻撃を阻止するためのセキュリティ対策を常に変更しています。ダックリンによると、最近のメールには、受信者がクリックするためのリンクではなく、電話番号が含まれているとのことです。これは、送信されたメールの一部が、含まれていたリンクに基づいてフィルタによってブロックされたためです。新しいメッセージは、真偽を確認せずに受信者に行動を起こさせようとする緊急性を感じさせるものです。Ducklin氏の記事には、メッセージが読まれたことが送信者に通知されたと記載されている例があります。このメッセージには、訴訟を起こされないようにするために、受信者が指定された電話番号に電話しなければならない当日の期限が記載されていました。これらの電話番号に電話をかけると、情報を引き出し、悪意のあるサイトに誘導することに長けた詐欺師と話すことになります。

自分を守るために

ダックリンは、ソーシャルメディアユーザーが著作権侵害の詐欺師から逃れるためのいくつかの提案を行いました。今回のようなソーシャルエンジニアリング詐欺の被害に遭わないために、Ducklin氏の提言とその他の提言をご紹介します。

•  あなたが利用しているソーシャルメディアのサイトで、この種の紛争をどのように扱っているかを調べてみましょう。紛争が発生したときにアカウント所有者にどのような方法で連絡しているのか、調べたり、必要に応じてサイトのサポートに連絡したりしてみてください。メールやソーシャルメディアでメッセージを送っているのか?電話番号に連絡するように言われるのでしょうか?万が一、悪意のあるメッセージを受け取った場合に、それを認識して対処できるように、事前にできる限りの情報を得ておきましょう。

•  他のフィッシング詐欺と同様に、不審なメッセージに含まれるリンクをクリックしたり、電話番号に電話をかけたりしてはいけません。本物だとわかっているURLを使ってソーシャルメディアのサイトにアクセスし、そこでログインしてください。電話をかける場合は、受信したメッセージに記載されている番号ではなく、有効であることがわかっている番号を使用してください。

•  詐欺師と思われる人物と何らかの形で連絡を取ってしまった場合は、会話を終了してください。個人情報、支払い情報、アカウント情報の提供、アカウントの設定変更、サイトへのアクセス、アプリケーションのインストールなどは、絶対に口車に乗せられないようにしましょう。ソーシャルメディアサイトのサポート担当者に、本物だと思われるURLや電話番号を使って直接連絡し、被害を報告してください。

•  圧力をかけてくる手口には絶対に屈しないでください。詐欺師は、ターゲットが何も調べずにすぐに行動を起こすように圧力をかけようとします。期限を決めたり、脅したりすることもあります。詐欺師は、相手の主張を調査する時間を取らせたくないのです。なぜなら、詐欺であることがすぐに分かるからです。

まとめてみると…。

今回のようなソーシャルエンジニアリング攻撃は、人間をターゲットにしているため、サイバー犯罪者が最もよく利用する手法です。悪意のあるメールフィルターなどの技術的な対策では、彼らの攻撃を100%防ぐことはできません。ソーシャルメディアサイトに組み込まれたセキュリティ対策も、必ずしもあなたを守ってくれるとは限りません。ソーシャルメディアサイトでは、ユーザーが休暇や勤務先、役職、誕生日など、犯罪者が利用できる情報を投稿することが多いため、犯罪者に好まれます。今日の環境で自分の身を守るためには、詐欺師やその他のサイバー犯罪者がどのような手口を使っているかを知っておく必要があります。Ducklin氏が記事の中で述べているように、”forewarned is forearmed “なのです。

関連する投稿

サイバーセキュリティインシデントの6つの一般的な理由

秋森シエ

商用ドローンの運用に関するサイバーセキュリティ考慮事項

秋森シエ

従業員を狙ったフィッシング詐欺の手口の2つの例

秋森シエ