企業アカウント乗っ取りで暗躍する「DaaS」の脅威
セキュリティを高めたい
先生、「ダース」って、映画だけじゃなくて、情報セキュリティの分野でも使われているって聞いたんですけど、どういう意味ですか?
情報セキュリティ専門家
よく知ってるね!情報セキュリティで「ダース」っていう場合は、「DaaS」のことで、人のものを盗む悪いサービスのことだよ。特に、仮想通貨を狙ったものが多くて、「詐欺サービス」なんて呼ばれ方もするんだ。
セキュリティを高めたい
仮想通貨を盗むって、どういう風にですか?
情報セキュリティ専門家
例えば、無料で仮想通貨がもらえるって宣伝して、偽のサイトに誘導するんだ。そこで、こっそり悪いプログラムを仕込んでおいて、お財布代わりになっているウォレットから仮想通貨を盗み出すんだよ。最近だと、有名な会社のアカウントが乗っ取られて、偽の宣伝に利用されたケースもあったんだよ。
DaaSとは。
仮想通貨を狙った新たな手口
近年、投資対象として注目を集める仮想通貨ですが、その人気に乗じて、仮想通貨を標的としたサイバー犯罪も増加の一途を辿っています。中でも、DaaS(サービスとしての不正送金ツール)と呼ばれる新たな手口が、大きな脅威として深刻化しています。
DaaSは、まるで商品やサービスのように、犯罪者集団が、フィッシングサイトの構築と悪質なプログラムをセットにして販売しているという特徴があります。
具体的には、まず、DaaSを利用する攻撃者は、本物そっくりの偽の仮想通貨取引所のウェブサイトや、電子メールを作成します。そして、利用者をだまして偽サイトにアクセスさせたり、偽メールに記載されたURLをクリックさせたりします。
利用者が偽サイトでIDやパスワードを入力したり、偽メールのURLをクリックしてしまうと、悪質なプログラムが密かに端末にインストールされてしまいます。このプログラムは、利用者の情報を盗み取ったり、仮想通貨ウォレットに不正にアクセスしたりする機能を持っています。
DaaSは、専門的な知識や技術を持たない犯罪者でも簡単に利用できるため、仮想通貨を狙った犯罪の増加に拍車をかけています。
仮想通貨の利用者は、このような手口に騙されないように、常に警戒を怠らず、セキュリティ対策を徹底することが重要です。
脅威 | 概要 | 手口 | 対策 |
---|---|---|---|
DaaS(サービスとしての不正送金ツール) | 犯罪者集団がフィッシングサイトの構築と悪質なプログラムをセットにして販売するサービス | – 偽の仮想通貨取引所のウェブサイトや電子メールを作成 – 利用者をだまして偽サイトにアクセスさせたり、偽メールのURLをクリックさせたりする – 偽サイトでIDやパスワードを入力させたり、偽メールのURLをクリックさせると、悪質なプログラムを端末にインストールする |
– 不審なウェブサイトへのアクセスや、身に覚えのないメールのURLをクリックしない – セキュリティソフトを導入し、常に最新の状態に保つ – 仮想通貨取引所の二段階認証を設定する |
巧妙な罠「エアドロップ詐欺」
– 巧妙な罠「エアドロップ詐欺」近頃、「エアドロップ」という言葉を利用した詐欺が増加しており、注意が必要です。エアドロップとは、新しい仮想通貨を世に広めるため、条件を満たした利用者に無料で配布するイベントのことです。この無料配布という点に目を付けたのが、エアドロップ詐欺を仕掛ける犯罪者たちです。彼らはまず、実在する企業やプロジェクトを装い、あたかも大規模なエアドロップキャンペーンが行われているかのように偽の情報を流します。そして、偽のウェブサイトやSNSアカウントを作成し、本物と見分けがつかないように仕立て上げます。利用者がその偽の情報に騙され、偽のウェブサイトにアクセスしてしまうと、そこには魅力的なエアドロップの応募条件が記載されています。例えば、「今すぐウォレットを接続すれば、高額な仮想通貨をプレゼント」といった内容です。しかし、これは罠です。表示されているウェブサイトは偽物であり、ウォレットを接続した途端、接続に必要な情報が犯罪者に盗み取られてしまうのです。また、偽サイト上で秘密鍵の入力を求められる場合もありますが、絶対に入力してはいけません。秘密鍵は、あなたの資産を管理する上で最も重要な情報であり、誰にも教えてはいけないものだからです。エアドロップ詐欺は、巧妙に仕組まれているため、見破るのが難しい場合があります。しかし、安易に情報を入力したり、接続したりする前に、一度立ち止まって情報源を確認することが重要です。少しでも不審な点があれば、アクセスを控え、公式な情報源を確認するようにしましょう。
エアドロップ詐欺の手口 | 注意点 |
---|---|
実在する企業やプロジェクトを装い、大規模なエアドロップキャンペーンが行われているかのような偽の情報を流す。 | 情報源を確認する。公式な情報源かどうかを確認する。 |
偽のウェブサイトやSNSアカウントを作成し、本物と見分けがつかないように仕立て上げる。 | アクセスする前に、URLやアカウント名が正しいことを確認する。 |
偽のウェブサイトにアクセスすると、魅力的なエアドロップの応募条件が記載されている。 | 安易に情報を入力したり、接続したりしない。 |
ウォレットを接続すると、接続に必要な情報が犯罪者に盗み取られてしまう。 | 不審な点があれば、アクセスを控え、公式な情報源を確認する。 |
偽サイト上で秘密鍵の入力を求められる場合がある。 | 秘密鍵は、誰にも教えてはいけない。 |
影の主役「ドレイナー」
近年、サービスとしてのデスクトップ、いわゆるDaaSが注目を集めていますが、その裏側では巧妙な仮想通貨の盗難事件も発生しています。こうした事件において、ユーザーの仮想通貨を実際に盗み出す役割を担うのが「ドレイナー」と呼ばれる悪意のあるプログラムです。
ドレイナーは、まるで舞台裏の黒子のように、表舞台に立つフィッシングサイトなどと連携して暗躍します。攻撃者はまず、本物そっくりの偽のウェブサイトやログイン画面を作成し、ユーザーを巧みに誘導します。そして、ユーザーがその偽のサイトでうっかり仮想通貨の保管庫であるウォレットを接続したり、秘密鍵とよばれる重要な情報を入力してしまうと、ドレイナーの出番です。
ドレイナーは、入力された情報を利用してユーザーのウォレットに侵入し、内部の仮想通貨を不正に送金してしまいます。この一連の動作は、ユーザーが異変に気付く間もなく、瞬時に行われてしまうため、被害に遭ったことに気付いた時にはすでに手遅れというケースも少なくありません。まるで、忍び寄る影のように、ドレイナーは人々の大切な財産を奪い去っていくのです。
役割 | 動作 |
---|---|
フィッシングサイト | – 本物そっくりの偽サイトでユーザーを騙す – ユーザーにウォレット接続や秘密鍵入力をさせる |
ドレイナー | – 入力された情報を利用してユーザーのウォレットに侵入 – ウォレット内の仮想通貨を不正に送金 |
犯罪の組織化
近年、犯罪の手口が巧妙化し、組織化していることが指摘されています。従来の犯罪では、専門的な知識や技術を持つ者が単独、あるいは少人数で犯行に及ぶケースが多く見られました。しかし、インターネットやデジタル技術の進歩に伴い、犯罪のハードルは下がり、専門知識が乏しい者でも容易に犯罪に加担することが可能となりました。
特に、仮想通貨を狙った犯罪において、その傾向は顕著です。仮想通貨の盗難を請け負う「サービスとしての犯罪」、いわゆる「DaaS(サービスとしてのデジタルアクセスブローカー)」が台頭し、深刻な問題となっています。DaaSは、高度なハッキング技術を持たない犯罪者でも、手軽に仮想通貨を盗み出すツールを提供しています。
DaaSは、大きく分けて開発者と運用メンバー(アフィリエイト)の2つのグループで構成されています。開発者は、仮想通貨を盗み出すためのプログラムやツールの開発を行い、運用メンバーは、実際にそのツールを使って仮想通貨を盗み出します。そして、盗み出した仮想通貨は、開発者と運用メンバーの間で分配されます。
このように、DaaSは、従来の犯罪組織とは異なり、インターネットを通じて繋がった、緩やかなネットワーク型の組織と言えます。このような組織的な犯罪構造が、DaaSの蔓延に拍車をかけている大きな要因の一つとなっています。
項目 | 内容 |
---|---|
近年の犯罪傾向 | – 手口の巧妙化、組織化 – インターネット・デジタル技術の進歩による犯罪の容易化 |
仮想通貨犯罪における問題 | – DaaS(サービスとしてのデジタルアクセスブローカー)の台頭 |
DaaSの特徴 | – 専門知識が乏しくても仮想通貨の盗難が可能 – 開発者と運用メンバー(アフィリエイト)の2つのグループで構成 – インターネットを通じて繋がった緩やかなネットワーク型の組織 |
DaaSの構成員 | – **開発者:** 仮想通貨盗難用プログラムやツールの開発 – **運用メンバー(アフィリエイト):** 開発されたツールを用いた仮想通貨の盗難 |
DaaSによる影響 | – 組織的な犯罪構造がDaaSの蔓延を助長 |
企業アカウントも標的に
近年、インターネットを介したサービスの利用が進むとともに、アカウントの不正利用が大きな社会問題となっています。なかでも、「サービスとしてのデバイス(DaaS)」を悪用した被害は深刻化しており、個人だけでなく企業もその標的となっています。
DaaSとは、スマートフォンやパソコンなどの端末をインターネット経由で貸し出すサービスです。利便性の高さから利用者が増加する一方で、不正に入手したIDやパスワードを用いてアカウントを乗っ取る「アカウント乗っ取り」の温床となるケースも少なくありません。
2024年1月には、大手SNSであるX(旧Twitter)において、複数の企業アカウントがDaaSによって乗っ取られるという事件が発生しました。これらのアカウントは、多くの利用者から信頼を得ており、企業の公式な情報発信源として認識されています。そのため、アカウントを乗っ取られた企業は、信頼を失墜するだけでなく、経済的な損失を被る可能性も孕んでいます。
今回の事件は、DaaSの脅威が個人レベルを超えて、企業活動や社会全体に影響を及ぼしうることを如実に示しています。インターネット利用の安全性を確保するためには、利用者一人ひとりがセキュリティ意識を高めるとともに、企業は自社のアカウント管理を徹底するなど、早急な対策が求められます。
項目 | 内容 |
---|---|
問題 | インターネットサービスのアカウント不正利用の増加、特にDaaS悪用による被害の深刻化 |
DaaSとは | スマートフォンやパソコンなどの端末をインターネット経由で貸し出すサービス |
DaaSの危険性 | 不正に入手したID・パスワードを用いたアカウント乗っ取りの温床となる |
事例 | 2024年1月、大手SNS X(旧Twitter)で複数企業のアカウントがDaaSで乗っ取られる |
影響 |
|
対策 |
|
具体的なDaaSの種類
– 具体的なDaaSの種類DaaS(デバイス・アズ・ア・サービス)は、パソコンやスマートフォンなどの端末を、必要な期間だけ利用できるサービスです。従来の購入やリースとは異なり、利用状況に合わせて柔軟に端末の台数を増減できるため、近年多くの企業で導入が進んでいます。
DaaSと一口に言っても、その提供形態は多岐に渡ります。例えば、仮想デスクトップ環境を提供するVDI型DaaSや、端末の管理やセキュリティ対策に特化したMDM型DaaSなどが挙げられます。
VDI型DaaSは、データセンター上の仮想デスクトップ環境にアクセスすることで端末を利用する形態です。端末にはデータが保存されないため、セキュリティリスクを低減できるというメリットがあります。一方、MDM型DaaSは、企業が所有する端末に対して、一元的な管理やセキュリティ対策を提供する形態です。端末の紛失や盗難が発生した場合でも、遠隔操作でデータの消去やロックを行うことができるため、情報漏えいのリスクを抑えることができます。
このように、DaaSには様々な種類が存在し、それぞれ異なる特徴や機能を備えています。そのため、自社のニーズに最適なDaaSを選択することが重要です。DaaS導入を検討する際には、複数のベンダーから提案を受け、比較検討することをお勧めします。
DaaSの種類 | 説明 | メリット | デメリット |
---|---|---|---|
VDI型DaaS | データセンター上の仮想デスクトップ環境にアクセスする形態 | 端末にデータが保存されないため、セキュリティリスクを低減できる | インターネット接続が必須であり、オフライン環境では利用できない場合がある |
MDM型DaaS | 企業が所有する端末に対して、一元的な管理やセキュリティ対策を提供する形態 | 端末の紛失や盗難が発生した場合でも、遠隔操作でデータの消去やロックが可能 | 端末の管理に専用ツールが必要となる場合があり、導入コストがかかる場合がある |