AppleもMetaもだまされた？ 警察から届く偽の「緊急要請」、悪用する手口が横行：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　大手SNSの運営会社に警察から届いた1通のメール。特定のアカウントに関するユーザー情報の開示を求める内容だった。すぐに情報を開示しなければ誰かの身に重大な危険が及ぶかもしれない。そう判断したSNS運営会社は、求められたデータを開示した。しかし全てはだましの手口だった――。

　何者かが捜査員や警察になりすまして携帯電話会社やSNS運営会社をだまし、顧客やユーザーの情報を開示させる事件が米国などで相次いでいるという。

　米Bloombergの報道によると、AppleやMeta（元Facebook）もこの手口にだまされて、2021年半ば、ユーザーの住所や電話番号、IPアドレスといった情報を、司法当局者を装う相手に提供していたことが、関係者の証言から明らかになった。

米Bloombergの報道

　セキュリティジャーナリスト、ブライアン・クレブズ氏のWebサイト「KrebsOnSecurity」は、ゲーマー向けのチャットサービス「Discord」も、18歳のユーザーが使っていた電話番号に関連付けられたアカウントの情報を不正に要求され、情報提供に応じたと伝えている。

KrebsOnSecurityの記事

　いずれのケースでも、何者かが警察や捜査機関の電子メールアカウントを乗っ取って、「緊急データリクエスト」（EDR）と呼ばれる情報開示請求を送り付けていた。

　例えば特定のSNSアカウントの持ち主について捜査している警察が、その持ち主に関する情報をSNS運営企業に開示させようとする場合、通常であれば、裁判所の許可を得た捜索令状を取得する必要がある。しかし人の生死にかかわるような緊急事態が想定される場合、令状なしでデータの開示を求めることができる。それがEDRだ。

　サイバー犯罪者は、警察や捜査機関になりすまして偽造EDRを利用すれば、電話会社やSNSをだまして簡単にデータを開示させられることに目を付けた。EDRを受け取った企業も、警察の電子メールアカウントから届いたメールで「直ちにデータを提供しなければ、罪のない人が死ぬかもしれない」といわれれば、そのEDRが本物かどうかを調査している時間はない。

　情報を開示してしまったDiscordは、「検証プロセスを通じて捜査機関のアカウント自体は正規のものだったことを確認したが、あとになって、そのアカウントが悪意を持つ人物によって侵害されていたことが分かった」とBloombergに説明している。

　AppleやMetaも、政府機関や警察からの情報開示請求については正規のものかどうかの検証を行っていると強調する。しかし米司法省の元検察官は「ほとんどのISP（インターネットサービスプロバイダー）やIT企業では、捜索令状や召喚状の信ぴょう性をきちんと検証できる仕組みが整っていない。正規の要請に見える限りは従ってしまう」とKrebsOnSecurityに打ち明けた。

　偽造EDRを利用すれば、狙った相手の情報を入手できる成功率は極めて高い。闇市場ではこうした詐欺メールの送信に不正利用できる政府機関や警察の電子メールアカウント情報や、偽造EDRが売買されているという。

　ストーカー行為やハッキング、嫌がらせなどの目的で偽造EDRを利用する手口は一般的になりつつある。しかも多くの場合、10代の未成年が関与しているらしい。

　例えば「Apple、Uber、Instagramといった企業に対する召喚状送付に使える政府機関の電子メールアカウント」が、150ドルで売りに出されたこともあったという。

　英BBCによれば、ロンドンでは3月に、ハッキング事件に関与した容疑で10代の容疑者が逮捕されており、容疑者はそうした一連の事件に関与していた可能性があるという。米Microsoftなどのシステムに不正侵入したとされるサイバー犯罪集団「Lapsus$」との関係も疑われている。

英BBCの報道

　こうした偽造EDRが横行する現状についてKrebsOnSecurityは、「電子メールのみに依存して、機密性が高い利用者情報の法的リクエストを処理することの危険性を物語っている」と指摘する。米国では実態調査や法整備などの対策に乗り出す動きもあるようだが、犯人が国内にいるとは限らず、悪用できる捜査機関は国内外に無数にあることから、実効性のある対策を打ち出せるかどうかは分からない。