確率の高いだましの手口、「マニュアル・ハイジャッキング」の実態とは？

Googleは特定の相手を付け狙って電子メールやソーシャルメディアのアカウントを乗っ取る「マニュアル・ハイジャッキング」の実態調査結果を公表した。

[鈴木聖子，ITmedia]

　米Googleは11月6日、特定の相手を付け狙って電子メールやソーシャルメディアのアカウントを乗っ取る「マニュアル・ハイジャッキング」の実態に関する調査報告書を発表した。

　Googleは、プロの攻撃者が相当な時間を費やして特定の相手のアカウントを乗っ取り、金銭被害などを生じさせる攻撃をマニュアル・ハイジャッキングと命名。1日の発生頻度は100万人中9例と極めて少ないものの、重大な被害が生じることから対策強化の一環として調査に乗り出した。

「だまされない」と思っていてもだまされる「マニュアル・ハイジャッキング」（Googleより）

　マニュアル・ハイジャッキングでは詐欺メールや偽サイトを使ってユーザー名やパスワードを入力させる手口がよく使われる。ほとんどのユーザーは、フィッシング詐欺などに自分はだまされないと思っているが、Googleの調査では45％の確率で偽サイトが通用してしまうことが判明。偽サイトを閲覧した人は14％の確率で自分の情報を提供していた。

　乗っ取られたアカウントの約20％は、攻撃者がログイン情報を入手してから30分以内にアクセスされていた。攻撃者はパスワードを変更して本来のアカウント保持者を締め出したり、銀行口座情報やソーシャルメディアのアカウント情報を探るなどしていた。

　被害者のアカウントのアドレス帳に登録されたユーザーには、全員にあててフィッシング詐欺メールが送信されていた。受け取った相手は友人から届いたと思ってだまされてしまう確率が高く、乗っ取られたアカウントの連絡先に登録されたユーザーが乗っ取り被害に遭う確率は36倍に上る。

　Googleは、こうした被害に遭わないためにもログイン情報などを入力させようとするメールやメッセージは警戒するよう勧告。万が一の場合に連絡を取るための電話番号などをGoogleに登録し、2段階認証などのセキュリティ対策を利用するよう呼び掛けている。