LINEやiMessage、WeChatなど日本でも人気のメッセージングアプリでやり取りされている会話の内容を、FBIがどのような法的手続きを取って入手しているのかといったトレーニング資料*1が公開された。米国政府の透明性と情報公開に関する活動を行なっている非営利団体によって出された開示請求に基づき、同団体が11月に入手したものだ。
例えばLINEであれば、容疑者または被疑者のプロフィール画像、表示名、メールアドレス、電話番号、LINE ID、登録日などに加え、エンド-to-エンドでの暗号化(E2EE)が適用されておらず、尚且つ有効な令状がある場合には最大7日分のテキストチャットを入手できるといったことが、必要な手順と共にトレーニングアドバイスとして記載されている。
つまり有効な令状を持ってしても、エンド-to-エンドでの暗号化が適用されている場合には、FBIとはいえすんなりとその会話内容にアクセスできるわけではないということでもある。
では、悪意ある者が情報を窃取する時には、どのようにするのだろうか?
さすがに、FBIのように令状(しかも、この場合は偽物)を持ってメッセージングアプリの運営会社に問い合わせるわけにもいかない。そこで多くの場合用いられるのが、フィッシング詐欺などによる方法だ。同僚や取引先からのメールを装ってメール内の悪意あるリンクをクリックさせるように仕向けてくる手口である。
FBIの年次報告書によると、2020年の被害報告件数はなんと241,342件*2。単純計算で2分に1件のペースで被害報告が行われている。そして被害総額は5,400万ドル(およそ60億円)にもおよぶ。この報告書では、詐欺師から身を守るために心がける3つのポイントが記されているので、ここで紹介しておきたい。
再三、各所でアドバイスされているような内容なので目新しさは無い。しかし、2分に1件のペースで被害報告が行われているという現実を顧みれば、侮ることなかれである。
オンラインでの詐欺行為を阻止した成功事例としては、インターポール(国際刑事警察機構)が主導して今年6月から9月までの期間で実施したコードネーム HAECHI-Ⅱ作戦*3がある。日本を含む20カ国の警察機関が連携し、1,660件の事件に関与した1,003人を逮捕、2,700万ドル(およそ30億円)の回収に成功した。
詐取された金銭が回収されたことで、800万ドルを詐取されたコロンビアの繊維会社は倒産の危機を免れている。 11月に米国の大手家電量販店で、店舗での商品が盗まれるといった窃盗事件(これはオンラインでの詐欺行為ではなく、店舗での窃盗という物理的な行為)が頻発したことを懸念し被害企業の株価が一時17%安となることも発生したが*4、このコロンビアの繊維会社での例のように、オンラインでの詐欺行為の被害が企業の存続に直接的な影響を与えるまでに発展することもままある。
狙われるのは企業だけでなく、企業への投資を行っている投資家も狙われている。
11月に米国証券取引委員会(SEC)が投資家に向けて発行した注意喚起*5では、米国証券取引委員会を装った偽のメールや電話、ボイスメール、手紙などに気を付けるよう述べている。
その手口とは、標的とされた投資家の口座が不正取引に悪用されているので確認したいということで、保有株式、口座番号、暗証番号、パスワードなどを聞き出そうとするものである。
こうして冷静な時に聞けば怪しいことにも気付くことができるかもしれないが、その時の状況や信頼に足るような情報が提供された時には、その判断も難しいものとなるかもしれない。
これらの手口を見ていくと、どことなく類似性があるようにも思えてくる。11月には中国の研究者らが、ディープラーニング(深層学習)アルゴリズムを用いてフィッシング詐欺のウェブサイトを検出する方法を学会誌で発表した*6。13,000件ものフィッシング詐欺のウェブサイトを用いた実証実験で、99%の精度での検出が実証されたとのことである。
コロナ禍によって働き方が変わり、怪しいメールや電話が来ても隣の席の同僚に気軽に確認することが困難になった。そのような隙をも突く形で、「人」の脆弱性を狙った手口が大幅に増えている。
人工知能に学習させるためのコストも、専門家によっては年率50~70%低下しているとも言われており、コストの低下と被害事例の増加によって同僚の代わりに怪しいメールを教えてくれるような技術が登場するのも、そう遠い話ではないだろう。
とはいえ、今日明日でどうにかなる話というわけでもない。 この後開くメールのリンクをクリックする前に、いま一度立ち止まって確認されたい。
*1 https://therecord.media/fbi-document-shows-what-data-can-be-obtained-from-encrypted-messaging-apps/
*2 https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf
*3 https://www.interpol.int/News-and-Events/News/2021/More-than-1-000-arrests-and-USD-27-million-intercepted-in-massive-financial-crime-crackdown
*4 https://www.bloomberg.co.jp/news/articles/2021-11-23/R3139MT0G1KW01
*5 https://www.investor.gov/introduction-investing/general-resources/news-alerts/alerts-bulletins/investor-alerts/beware-0
*6 http://www.inderscience.com/offer.php?id=119167
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。