ソーシャルメディアにおける攻撃とその対策

ソーシャルメディアは、あらゆる規模の企業にとって、顧客とのつながりを深めるのに最適な手段です。実際にソーシャルメディアの広告収入は、年々着実に増加しています。例えば米国では、2018年上半期に131億ドルとなり、前年比38％増でした^１。また、2018年にソーシャルメディアのアクティブユーザーが32億人近くいたことを考えれば、企業がソーシャルメディアへの投資を惜しまないのも不思議ではありません²。

しかし、こうしたインターネット上のやりとりには危険がつきものです。サイバー犯罪者たちは、ソーシャルメディア上の攻撃により、年間約32億5千万ドルの収益を得ています³。ほとんどの広告配信企業は、Facebook、YouTube、Twitter、Instagram、LinkedInなどのソーシャルメディア上で受けるすべての攻撃を監視・分類・整理するコストも技術もありません。企業が単独で取り組むには、あまりにも大きな業務です。

サイバー犯罪者がソーシャルメディアで攻撃する方法

ソーシャルメディアで攻撃される危険性があるのは、有名な公人や芸能人、ブランド企業、一般ユーザーなど、ほぼすべての人です。ハッカーや悪質なユーザーは、金銭的な動機や政治的な動機に関わらず、目的を達成するために様々な手法や小細工を用います。ここでは、ソーシャルメディア上の攻撃を実行する際に使用される、最も一般的な手法⁴を紹介します。

• アカウントへの不正アクセス：多くの企業では、ソーシャルメディアのパスワード管理があまりにも軽視されています。企業の離職率が上昇し、新入社員が入社すると、たちまちパスワードが共有されるうえに、元社員はソーシャルメディアのアカウントへのアクセスが可能なままになります。また、SNSが提供するセキュリティ保護は十分ではありません。例えば、Facebookでは管理者アカウントと個人アカウントがリンクしており、企業に大きな影響を与えるセキュリティ上の脆弱性があります。企業は、法人および個人のパスワード管理指針に沿って行動する必要があります。パスワード管理の不備に続きアカウントが乗っ取られた場合には、ブランドの社会的評価に一生消えることのない壊滅的な影響を与える可能性があります。
• 社員を狙ったフィッシング攻撃：攻撃者は、LinkedInで偽のソーシャルメディア アカウントを作成し、その企業の幹部になりすますことで、資金や機密情報を引き出すことができます。通常は、企業の経理部門や調達部門の重役をターゲットにします。なりすまし犯は、人間の心理的な側面を2つの方法で利用します。1つ目は、気に入られたい人物、上司などになりすますことで、被害者の信頼感を巧みに利用します。2つ目は、時間的なプレッシャーを与えることにより、被害者の意思決定プロセスを短絡的にして妨害します。なりすましは、緊急の送金を要求したり、機密情報を要求したりすることがあります。
• 顧客を狙ったフィッシング攻撃：釣り糸フィッシング詐欺(Angler phishing)とも呼ばれるこの攻撃では、攻撃者が本物と見せかけたカスタマーサービスのSNSアカウントを作成し、顧客がお問い合わせフォームに送信してくるのを待ちます。自動監視(リスニング)ツールを使えば、攻撃者は簡単に顧客のSNSアカウントを監視し、被害に合いそうな人を見つけることができます。攻撃を仕掛けることが多いのは、企業のカスタマーサービス担当者の管理が届かない夜間や週末です。攻撃者は、顧客が企業アカウントに連絡するのを見つけると、そのやりとりを傍受し、そっくりなカスタマーサービスアカウントからタイムリーな返信を送ります。その後、攻撃者は、無防備なユーザーに偽のウェブドメインをクリックさせ、認証情報を取得するのです。
• 企業の重役を狙った攻撃：ソーシャルメディア上の個人に対する攻撃は、クレデンシャル情報を狙ったフィッシング詐欺だけではありません。Doxing (さらし行為)とは、インターネット上で、特定の人物を辱めたり、脅したり、脅迫したりするために、その人の住所などの個人情報を集める行為です。米国では、Doxingはストーカー行為の一種であり、正確な事実と場所に応じて多くの連邦法や州法の下で違法となります。悪質なユーザーは、企業の重役の個人情報をソーシャルメディア上で広く公開することができます。公開された役員の情報は、嫌がらせや危害を加えようとするユーザーから公然と、あるいは私的に脅かされることになります。

ソーシャルメディアにおける詐欺と手口

サイバー犯罪者が個人や法人に対してソーシャルメディア上の攻撃を仕掛ける際の手法を理解したところで、一般人を対象とした攻撃についてご紹介します。

次のような従来型のソーシャルエンジニアリング詐欺では、映画や公演などの無料キャンペーンを装って、偽のクーポンや悪質なページへのリンクを投稿することがあります。また、巧妙に仕組まれたフィッシング詐欺を、ソーシャルメディアのユーザーにダイレクトメッセージとして送信するケースもあります。

このようなソーシャルメディアを利用した攻撃や詐欺には、次のようなものがあります。

• 映画の無料ダウンロード
• 在宅ワーク / 簡単にお金を稼ぐ
• 偽のクーポン
• 無料航空券

ソーシャルメディア上の攻撃から守る：基礎知識

ソーシャルメディアの攻撃から社員と企業を守るためには、いくつかのステップがあります。

• パスワードに加えて、ソーシャルメディアのアカウントや管理ツールを保護するために、二段階認証を有効にしましょう。二段階認証は、承認していないデバイスやIPアドレスからサインインしようとした場合に、認証コードを含むSMSまたはメールによる警告が受け取れる仕組みです。
• 二段階認証を設定すると、承認していないコンピュータまたはモバイル端末からFacebookにアクセスしようとするたびに、特別なログインコードの入力またはログイン試行の確認が求められます。また、当社が認識していないコンピュータから誰かがログインしようとしたときに警告を表示することもできます。
• セキュリティ担当者がソーシャルメディア担当者と連携することで、企業がソーシャルメディア上でどのような活動をしているかをより明確に把握することができます。その結果、セキュリティチームは、社会的脅威に対するセキュリティ対策を定義することができます。
• 社員や企業のソーシャルメディアアカウントを、公式・非公式に関わらず、すべてリスト化しましょう。リスト作成のプロセスを自動化し、新しいアカウントが追加されたらそれを記録するツールの使用も検討してください。
• リストができたら、アカウントやアプリへのログイン権を持つすべての人を特定しましょう。各ユーザーのアクセスが承認されていることを確認してください。
• 管理を簡素化しましょう。直接的な管理者の数を減らし、パスワードを強化し、パスワード管理サービスを使用することから始めましょう。メール・アプリ・ネットワークへのアクセスに使用しているものと同じシングルサインオン(SSO)の使用を検討してください。
• サードパーティのソーシャルメディアアプリ、特に自分に代わって投稿やコメントを公開するためのアプリは数を減らしましょう。これにより、ハッカーがアカウントにアクセスして勝手にコンテンツを公開する可能性を最小限に抑えることができます。
• ソーシャルメディア上のサイバー犯罪行為や脅威を表す異常がないか、アカウントを自動的に監視するサービスを導入します。

ソーシャルメディアにおける攻撃から社員や企業を守る方法について詳しく知りたい方は、こちら。

¹https://www.digitalinformationworld.com/2018/11/infographic-social-media-advertising-revenue-in-the-united-states.html
²https://blog.hootsuite.com/social-media-advertising-stats/
³https://www.bleepingcomputer.com/news/security/social-media-attacks-generate-325-billion-for-crooks-each-year/
⁴https://www.proofpoint.com/sites/default/files/pfpt-en-how-to-stop-social-media-hacks-whitepaper.pdf