#セキュリティのアレ 『(1)「レイバンをかたったスパム投稿」をどう見る?』をみた感想的なアレ

ここでは 2015/11/10 に掲載された「セキュリティのアレ」シリーズ『(1)「レイバンをかたったスパム投稿」をどう見る?』を拝見した感想/メモ/雑記を書いています。

  • 「セキュリティのアレ」って?

@IT さんでシリーズとして掲載されている、セキュリティ専門家の方と @IT 編集部の方々が時事ネタを語るシリーズです。
今回拝見したのは↓
セキュリティのアレ(1):「レイバンをかたったスパム投稿」をどう見る?【動画】 - @IT


以下、感想/メモ/雑記です。
---

そもそもレイバンを騙ったスパム投稿ってどんなんでしたっけ。

SNSスパム投稿に関するご注意 : Ray-Ban
レイバンのスパムがTwitterで流行っているようです(山本一郎) - 個人 - Yahoo!ニュース
アカウント乗っ取り型のレイバンの激安サングラス宣伝スパム勢い止まらず 有名人も被害に - Togetterまとめ
TechLION vol.24 #techlion (4ページ目) - Togetterまとめ
2016年1月14日(木) の TechLION 「EC・決済最新動向」でもちょろっと事例として話に出たみたいですね。

うん、スパム型よくある話のやつ、という感じでしたか。
さて、「アカウント乗っ取り」と「スパム投稿」といったらパッと思いつく方法は↓のパターンでしょうか。

  • アカウントへの不正ログイン
  • (Twitter)アプリ連携機能の悪用
  • (Facebook)同姓同名プロフィール丸パクリによる投稿(乗っ取りもどき)

不正ログインであれば、ありがちなのはパスワード使い回しによるものでしょうか。他サイトから漏洩した直後に発生することが多そうな気がします。時間を置いてアクセスしていつ盗まれたかわかりにくくする、という手は、まあないとは言えないでしょうけど、いつまで漏洩した情報が使えるか分からないし私が攻撃者なら情報が新鮮なうちに使いたくなります…が、実際のところどうなんでしょうか。
ひとまず使用しているサービスで情報漏洩が発生した場合、何が漏洩したのか、確認は必須ですね。
アプリ連携機能は…うん、まずは動画を見ましょうか。

---

「今までは、スパムメール、迷惑メールとしてメールでこうバーッとバラ撒いて、まあ何人か引っ掛かってくれる人がいればラッキーみたいなそういう…犯罪者側のビジネスモデルがありましたよね。で、それに対して、まあそれとやってることはほとんど変わらないんだけど、そのスパム、迷惑メールの代わりになる、拡散手段がここ 1〜2 年で SNS に急激にシフトしてきたかなーと」(根岸さん)

「…か、もしくは SNS を使っている層を取り込みたいとか」(辻さん)

最近は身の回りをみても、現実で身近な人との連絡にはメールより LINE、ソーシャル的に繋がるなら SNS(日本なら Twitter, Facebook, mixi? instagram は…そう多くはないでしょうね)を使う人が多いですね。あと連絡手段に使うとしたら SMS ですが…電話番号の登録が必須になってる最近のサービスってあんまり記憶にないなぁ。
…攻撃者さん、利用率をよう調べてはるんやろなぁ、としみじみ。

---

「そこ(詐欺サイト)で買うとどうなるんですかね。偽物が送られてくるんすかね」(根岸さん)
「どうなんですかねー。カード情報が盗られるだけかもしんないかも…でもなんかその…モノが届いたっていう、偽物が届いたって話を聞いたことはあるんすけどね」(辻さん)

↓らへんでしょうかね。
オンラインショッピングで偽のブランド商品が届いた、どうしたら良いですか? : インターネット詐欺対策協会

---

「あとはまずは偽物かどうかっていうのはなかなか見分けつきにくいっていう人もいるかと思うんですけど…」(辻さん)
「今回のサイトってホントの…そっくりに偽装してありますよね」(根岸さん)
「ところどころなんか日本語が変だとかったりとか…」(辻さん)

「狙いとして『日本人』は当然明確…Twitter の投稿がそうですもんね、日本語で」(宮田さん)

「あとは引っかからないようにしましょうってなかなか難しい…」(辻さん)

「ところどころ日本語がおかしい」は mass 型によくあるイメージ。ただここを判断基準にするのはなかなかに厳しい。
あとこういう(スパム)類の文章は「言えば言うほど嘘っぽくなる」と思っているので、極力「日本語の」文章を省くタイプはありそう。例えば「あの女優がまさか...!?続きは↓URL!!」みたいな記号を使うもの...うん、男性の下半身に訴えかけるやつですね。こういうのスパム型の注意喚起記事でよく見る気がします。「女優」の部分はアイドルでもイケメン俳優でもなんでもありだと思います。

---

「そういうの(スパムっぽい投稿)がポンッと出てきたら、もちろん『知っている人が参加するから』って…思うんじゃなくて『これ何なんですか』っていうぐらい聞いてあげたほうが…」(辻さん)

Facebook でのアカウント偽装、そういえば以前相談されたことがあったなぁ、と。
そのときは友人申請のタイミングでの偽装で、聞いてくれた方は「なんで(偽装の対象が)私なんだろう。特に何も(いかがわしいサイトにアクセスしたり、登録したり)していないのに」と不思議がっていました。
「うん、引っ掛けようとしてる人にとっては騙せりゃ勝ちだから、そこは大事では無いかと。可能性があるとしたら友達(攻撃対象)が多いんじゃない?ひとまず、それは私じゃないから無視して、と伝えておけば?」なんてことを話したりしました。
ちなみにその時は、その人の友人からの確認メッセージで偽装申請されていることに気付いたそうです。

---

「あと、今回のきっかけになったのは、そのーアカウントの乗っ取りが最初のトリガーじゃないですか。あれはなんで起きてるんでしょうかね」(根岸さん)

アカウント乗っ取りのきっかけ…うん、まあ考えていたものと似た感じですかね。

---

「パスワードをちゃんとやんなきゃダメってことですよね」(根岸さん)

パスワードの使い回し…パスワード定期変更…うっ、頭が(ry
うんまあ、パスワードを使う分には、個人的にはパスワードマネージャを使用してどうにかしたいところ。
二要素認証…うーん、パスワード微妙。助けて OpenID Foundation。
OpenID ファウンデーション・ジャパン
OpenID Foundation は一例。回し者ではありません。

---

まとめ→14:45 あたりから

---

この手の話題は突けば突くほど泥沼になることが多いように思いますが、動画内のまとめではとてもシンプルかつ要点を抑えたもので参考になります(継続が肝心ですが)。
現状守る側は、人との連携で守っていくことが大切でしょう。ただ…システム的に守ることができれば一番いいんでしょうね。