SNSやウェブサービスを運営するテクノロジー企業は多くのユーザーデータを保管しており、時には法執行機関が犯罪捜査に必要なユーザーデータの提供を求めることがあります。ところが近年、法執行機関になりすましたハッカーが「偽のデータ要求」を送ってユーザーデータを不正入手する事例が確認されており、個人情報を悪用して未成年に性的画像を送るように求めるなどの事件も発生しているとのことです。
Data From Fake Legal Requests Used to Sexually Extort Minors (FB, GOOG, TWTR) – Bloomberg
https://www.bloomberg.com/news/articles/2022-04-26/tech-giants-duped-by-forged-requests-in-sexual-extortion-scheme
Apple tricked into releasing data used to sexually extort minors – 9to5Mac
https://9to5mac.com/2022/04/27/apple-tricked-personal-data-minors/
2022年3月、海外メディアのBloombergが「法執行機関になりすましたハッカーがAppleとMetaにユーザーデータの提供を求め、両社がそれに応じてデータを共有していた」と報じました。アメリカではユーザーデータの提供を求める際に裁判所の令状・召喚状が必要となりますが、自殺・殺人・誘拐といった差し迫った危険がある場合、令状や召喚状なしでデータ提供を求める「緊急データ要求(Emergency Data Requests:EDR)」を行うことができます。企業は善意に基づいてEDRに従うことが一般的な慣行となっていますが、ハッカーはこれを悪用し、法執行機関になりすましてEDRを通じてユーザーデータを入手していたとのこと。
AppleとMetaが法執行機関になりすましたハッカーにユーザーデータを共有していたことが明らかに – GIGAZINE
さらにBloombergは、4人の法執行官や2人の業界調査員からも、ハッカーの不正な要求や大手テクノロジー企業の情報提供について話を聞き取りました。このうち3人は、ハッカーの偽の要求に応じた企業にはMeta・Apple・Google・Snapchat・Twitter・Discordなどが含まれると証言しています。Bloombergに匿名で証言したこの6人全員が、ハッカーは不正に入手した個人情報を金銭的利益のために使うだけでなく、女性や未成年をターゲットにして性的画像の送信を要求するために悪用したり、拒否した場合の報復に使用したりしていたと述べています。
ハッカーが用いる手口はさまざまですが、一般的には外国の法執行機関の電子メールアドレスを侵害し、このメールアドレスを使ってテクノロジー企業に対しEDRを送信することが多いとのこと。要求は合法的な法執行機関から送信されたものと同様に見えるため、テクノロジー企業がこれを見抜くことは困難であり、だまされた企業はユーザーの氏名・IPアドレス・電子メールアドレス・住所などの情報を送信してしまいます。
これらのデータを入手したハッカーは被害者のオンラインアカウントをハッキングしたり、女性や未成年者と親しくなって性的な画像を送信するように要求したりします。もし被害者が要求に応じない場合、ハッカーは偽の通報を行って武装警察官を急行させる「スワッティング」や、個人情報をネットでさらすと脅迫するそうです。Bloombergに証言した法執行機関の人物によると、犯人の多くはアメリカなどに住む10代の若者だそうで、中には「俺の名前を肌に刻んで写真を撮影しろ」と脅すケースもあったとのこと。
不正なEDR送信がどれほどの頻度で利用されているかは不明ですが、ここ数カ月で同様の手口が増加しているとのこと。Bloombergの問い合わせに応じたGoogleやFacebook、Discordなどは、法執行機関からの問い合わせを検証したり、不正を検出したりするよう努めていると回答しましたが、企業の善意を悪用するこの手法に対しては新たな対策が求められています。
民主党上院議員のロン・ワイデン氏は、「偽造されたEDRが侵害された外国の法執行機関から送信され、脆弱な個人を標的にするために使われるかもしれないという見通しには頭を悩ませています。誰かの安全が脅かされている時に、ハイテク企業が正当な緊急要請を拒否することは誰も望んでいません。しかし、現在のシステムには明らかに弱点があり、これに対処する必要があります」とコメント。また、サイバーセキュリティ企業・Unit 221bの最高研究責任者であるアリソン・ニクソン氏は、少年ハッカーたちが組織犯罪に移行して現実世界の暴力や性的虐待に従事しているとして、「私たちは少年ハッカーたちを大人と同様に扱い始める必要があります」と述べました。
法執行機関になりすましたハッカーによる要求に対処するツールとしては、連邦捜査局(FBI)の元職員であるマット・ドナヒュー氏が設立したKodexというプラットフォームが存在します。Kodexは法執行機関からの情報提供要求をデジタル管理するプラットフォームであり、要求を送信した法執行機関の電子メールアドレスをスコアリングし、不正なEDRを見つけやすくする機能も提供しているとのこと。ドナヒュー氏はセキュリティ関連ブログのKrebs on Securityに対し、偽のEDRでは同じ電子メールアドレスを使って多くの企業にメールを送信するケースが多いため、企業間で情報共有を行うことで、詐欺師によるEDRの悪用が検出しやすくなると主張しています。
Fighting Fake EDRs With ‘Credit Ratings’ for Police – Krebs on Security
https://krebsonsecurity.com/2022/04/fighting-fake-edrs-with-credit-ratings-for-police/
この記事のタイトルとURLをコピーする
