隣人の Facebook の個人情報などから多額の現金引き出しに成功した犯人を拘留

Sophos Press Release
Iain Wood

※この記事は本社サイト「Naked Securiy」掲載の記事を翻訳しています※

英国の男が、隣人が Facebook に投稿した個人情報からパスワードを推測して、彼らの銀行口座から 35,000 ポンド (約 55,000 ドル) を盗み出すことに成功しました。

この出来事から、今後の私たち自身とオンラインバンクのセキュリティ対策に役立つ教訓をいくつか学び取ることができます。

デイリーテレグラフ紙 によると、ニューキャッスル在住の Iain Wood (33 歳) は、自分と同じアパートに住む人々と仲良くなり、彼らの個人情報を悪用して、オンラインバンクのセキュリティチェックを通過していました。

Wood の手口では、被害者の銀行口座にログインを試みる際に、パスワードを忘れた場合に押すボタンをクリックします。

そして Facebook や Friends Reunited (英国大手の SNS) で得たヒントをもとに、記念日、最初に通った学校の名前、母親の旧姓などの本人確認のための質問への答えを推定して入力します。

Wood は毎日 18 時間コンピュータに向かい、隣人たちの個人情報を漁っていたと報じられています。

今回、詐欺が比較的容易に成功した理由として、同じ共同住宅内の住人をターゲットにしたため、郵便を盗み取る機会があったことが挙げられます。

Wood は、被害者が銀行に登録していた住所を変更し、自分のポストに届けられたカードを使って現金を引き出していました。

有罪を認めた Wood が拘置されてから、今日まで 15 か月が経過しています。

この記事の内容から、以下のような点について注意が必要であると考えられます。

共同アパートに住んでいる場合、郵便物の管理はしっかりと
不特定多数の人と建物を共用していて、共通の場所に郵便物が置かれている場合には、あなた宛ての手紙が誰かにのぞかれる危険性は高くなります。

residential mailboxes

重要な文書は安全な別の住所 (たとえば両親の家) に送付されるようになっていたり、受領のサインが必須になっていたりすれば、セキュリティレベルはさらに高まります。また、予期していたのと異なるタイミングで郵便物が配達されたり、全く配達されなかったりすることがないか、注意しておきます。

個人情報の共有や、本当のことを言うのは止める

facebook fraud

インターネットで公開する個人情報について、慎重になる必要があります。公開した情報が、なりすましやオンライン詐欺に悪用される可能性があります。

インターネット上で尋ねられるすべての質問に正直に答える必要はありません。本当の生年月日や母親の旧姓を、その Web サイトに教える必要性が本当にあるでしょうか。 ユーザーが本当のことを言っているかどうか確認するでしょうか。

たとえば、生年月日をすべて入力するよう Web サイトが要求してきた場合には、次のような選択肢があります。

その Web サイトを利用しない、嘘の生年月日を入力する、またはサイトを信用して本当の生年月日を入力するかのいずれかです。

Web サイトの中には、利用条件として正確な情報の入力を義務付けているものもありますが、本当のことを言っているかどうか検証する術はありません。ですので、敢えてリスクを冒す必要はありません。たとえば、Facebook では本当の生年月日を入力することを要求していますが、これはあなたの誕生日が 8 月 14 日か 3 月 3 日のどちらであるかという問題ではなく、本人の実際の年齢と大幅に異なる世代の人物 (たとえば、13 歳の少年など) へのなりすましができないようにするためだと思われます。

fake Facebook

Facebook で自分の生年月日を公開しないように設定しただけでは、十分ではありません。Facebook は数年前、ユーザーが公開/非公開のどちらを選択したかに関係なく、登録者全員の生年月日を誤って流出させてしまったことがあります。

したがって、可能な場合は本当の生年月日を書かないことを推奨しますが、大まかな年齢層については嘘をつかないほうがよいでしょう。

同様に、母親の旧姓についても、公の記録に記載されている情報だとしても、本当のことを書く必要はありません。たとえば、「Xena Warrior Princess」、「C3PO」、「Malcolm Muggeridge」などと (有名人や映画の登場人物の名前などを) 入力しても、ユーザー自身がその名前を忘れることがなく、他人からは推測できないものであれば何でも構いません。

オンラインバンクに求められるユーザーアカウントのセキュリティ強化
一部のバンキングサイトは、アカウントのセキュリティのために上記のような質問をすると、問題が発生することに気付き、ユーザーに対して誕生日や結婚記念日などの分かりやすい日付を入力しないよう警告しています。

ただし、誤った方法をユーザーに勧めている Web サイトもいまだ存在します。

しかし一方、それ以上に、別の口座に送金する際には二要素認証を使用するよう求めるオンラインバンクが増加しています。

二要素認証が使用されているオンラインバンキングの Web サイトの場合、ユーザーは複数のセキュリティ質問の答えを記憶しておく必要があるばかりでなく、銀行カードを挿入した携帯デバイスが入力を要請するランダムな数字も入力する必要があります。

pinsentry

こうすれば、確かにサイバー犯罪者が通過しなければならないセキュリティのレベルは高くなります。Iain Wood が郵便物の宛先を変更する方法をとった理由もおそらくこれでしょう。

でもなぜ、送金のタイミングではなく、ユーザーがアカウントに最初にログインしたときに認証デバイスの使用を義務付けるオンラインバンクが増えないのでしょうか。

送金時に限らず、口座にアクセスして何らかの操作が行わる場合には、事前に口座にアクセスしている人物が本人かどうかの適切な認証を義務付けておいた方が良いはずです。

remote access

私がソフォスの電子メールにリモートからログインするためには、認証デバイスを毎回使用しなければなりません。社外で働く人のいる多くの企業でも同様のはずです。

それなのに、なぜオンラインバンクの口座には、最初にログインするときに身元を証明しなくてもログインできてしまうのでしょうか。

私たち各ユーザーが、ソーシャルネットワークで共有する情報や、Web サイトに登録するパスワードを忘れた際の質問と答えの選択については、これまで以上に気を付ける必要があります。

また同時に、利用しているオンラインバンクに対しては、犯罪者が口座にアクセスする危険性を最小限にするように、保護機能を強化の強化を要請すべきです。

Facebook におけるセキュリティの脅威と安全性に関する詳細情報については、10 万人以上のメンバーが Facebook について意見を交わしているソフォスの Facebook ページにご参加いただき、情報を取得されることをお勧めします。

ソフォスは、次世代エンドポイントおよびネットワークセキュリティのリーダー企業であり、連携型セキュリティのパイオニアとして、エンドポイント、ネットワーク、暗号化、Web、電子メール、モバイルセキュリティソリューションを連携させ、優れた効果を発揮させる革新的なポートフォリオを開発しています。ソフォスの製品は、脅威対策やデータ流出対策のベストソリューションとして認知されており、世界約150カ国で1億ユーザー以上のお客様に採用されています。ソフォスの製品は、26,000社以上の登録パートナー企業から構成されるグローバルチャネルからのみ提供されます。ソフォスの本社は英国オックスフォードにあり、ロンドン証券取引所に上場しています(LSE: SOPH)。詳細については、www.sophos.comをご覧ください。