ロシアのサイバー犯罪者によってどれくらいの個人アカウントがハックされているのかに関する統計はない。インスタグラムやフェイスブック、その他いかなるソーシャルメディア・プラットフォームも、この手の情報を公表していない。だが、私がロシアに帰国してたった2週間で、私のGmailアカウントは2度ハックされた。そして今度はインスタグラムだ。
「残念だが、君は標的になったようだ」とアメリカの友人が言った。だがたとえ油断が原因で標的になってしまったのだとしても、ハッカーのほうこそ日々レベルアップしているのだから仕方ないのではないか。私がこんな目に遭ったのは誰の責任なのだろう。
多くの人は知らないが、実はロシア人ハッカーのサービスは金で買える。例えば、あなたがポルノ動画を広めたいポルノ会社や、絶対に選挙に勝ちたい立候補者だったとしよう。望みを叶える方法はいくらでもある。ダークネットに限らず、テレグラムや他のメッセンジャーにおいても叶えられる。
インフォウォッチ・アタックキラーで主任を務めるルステム・ハイレッディノフ氏によれば、最も有名なハッカーらは、ウェブサイトやメッセンジャーでのチャットなど、自分が恒常的に機能するリソースを有している。「彼らはそれを、アカウントのハッキングなど、自分の基本的な『サービス』を売るために利用する」とハイレッディノフ氏は説明する。
「より複雑な『サービス』、例えばさまざまな詐欺スキーム、盗まれた個人情報や支払いデータなどの利用を含むサービスは、ダークウェブ・リソースで購入できるかもしれない。そこへのアクセスは通常制限されている。」
wwwXyZというニックネームで知られるあるロシア人「善玉ハッカー」(ペネトレーションテストを専門とする道徳的なコンピューターハッカー)がロシア・ビヨンドの取材に応じてくれた。この人物によれば、サイバー犯罪者は通常自分でクライアントを探すのだという。「あるいは、彼らはhackerone.comなどのプラットフォームで見つかる」とwwwXyZ氏は語る。
Group-IBでブランド保護チームの主任を務めるイリヤ・ロジノフ氏の話では、インターネットでハッキングサービスを買うことの唯一の問題は、それらが偽物である場合があることだという。「時には広告ばかりか掲示板全体が偽物であることもある」とロジノフ氏は言う。「こうしたものが作られる目的はただ一つ、訪問者を騙すことだ。」
インフォウォッチによれば、ハッカーのクライアントの大半は、競争相手をハックすることに関心がある個人や小企業だという。「あなたのアカウントは、故意にハックされることもあれば、無作為にハックされることもある」とハイレッディノフ氏は説明する。例えば、ハッカーはあなたのアカウントをボットネット(マルウェアに感染して悪意ある行為者にコントロールされている複数のデバイスから成るグループ)の一部として使ったり、スパムのために使ったりする。
だが、フォロワーが525人しかおらず、しかもその大半が私の友人という私のインスタグラムのアカウントを、一体誰が必要としているというのか。「有名人のアカウントも、フォロワーの少ないアカウントも標的となり得る」とGroup-IBのロジノフ氏は解説する。
ハッカーの欲が慎ましい場合もある。「我々の知るケースでは、数百人のフォロワーがいるインスタグラムのアカウントをハックした後で、攻撃者が100ドル未満しか要求しなかったこともある」とロジノフ氏は言う。
サイバー専門家の多くが、人気のあるなしにかかわらず、自分のアカウントのセキュリティーに気をつけるよう勧めている。もちろん、あなたが格好の獲物と見なされるには数多くのパラメーターがあるが、ポップスターだろうと一般のユーザーだろうと、誰でもハッキングの被害に遭い得る。
wwwXyZ氏によれば、アカウントがハックされたとすれば、それは実のところ自分自身の過失だ。80パーセント近い人が、簡単なパスワードを使ったり、複数のサイトで同一のパスワードを使い回したりしているとwwwXyZ氏は言う。
彼によると、私のインスタグラムのアカウントは、ソーシャルエンジニアリングか、力ずくか、あるいはパスワードやその他の個人情報を得るための試行錯誤の結果ハックされたのだという。
「また、この事態はMITM攻撃(中間者攻撃)によっても起こり得る」とwwwXyZ氏は指摘する。「ハッカーが被害者と同じネットワーク内にいるとき、ハッカーはあなたのデバイスに、ハッカーのデバイスが一種のインターネット接続だと思い込ませる。その間にハッカーはCookieやログイン、パスワードなどの貴重な情報に介入する。」
wwwXyZ氏によると、被害者になるのはふつう保護の甘いサイトやサーバーを利用している人だという。VPNなしに公共のWi-Fiを使う人、公共のプロキシを利用する人、詐欺師のウェブサイトを信用してしまう人だ。要するに、ほとんど皆である。
ロシア・ビヨンドはサイバー専門家らに、ハッカーから自分のアカウントを守るにはどうすれば良いか訊いた。
その回答がこちらだ。
なるほど、私の場合はもう手遅れだ.....。
ロシア・ビヨンドのニュースレター
の配信を申し込む
今週のベストストーリーを直接受信します。