海外における個人情報流出事件とその対応「PayPalハッキングで金塊を購入」(2)フィッシング詐欺に狙われるPayPal | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.18(水)

海外における個人情報流出事件とその対応「PayPalハッキングで金塊を購入」(2)フィッシング詐欺に狙われるPayPal

国際 海外情報

●フィッシング詐欺に狙われるPayPal
事件の裁判資料については、ノッティンガム刑事法院のWebサイトにも罪状や判決文が発表されていない。そのため、KirkがいかにしてPayPalのアカウントにアクセスしたかは明確ではない。

「This is Nottingham」では、Kirkはパスワードを忘れたとしてPayPalからの再発行を得ていたとある。その際、秘密の質問に答える必要があったが、好きな色や最初に運転した車、誕生年など、見事に回答を割り出していたという。

一方、「net-security.org」ではアクセス方法について、フィッシングの可能性も挙げている。たとえばPayPalからのメッセージと見せかけて、ユーザ宛てにメールを送る。そして、アカウント認証などが必要だとして、メールに用意したリンクで偽サイトへと誘導する。このサイトはロゴをはじめ、ログインページとそっくりにできていて、本物のPayPalのログインページと思い込んでしまったユーザが、ログイン情報であるメールアドレスやパスワードを入力する。犯人側はキーロガーなどを利用して、これらの重要情報を不正に取得してアカウントを乗っ取ってしまうというものだ。

PayPalがフィッシング詐欺で最もターゲットにされるということは、セキュリティ企業各社が警告してきている。1月24日付けで、DNSベースのセキュリティサービスを提供しているOpenDNSが発表した「Web Content Filtering and Phishing」レポートでも、2010年度のフィッシング詐欺で全体の45.9%を占めているトップターゲットとしてPayPalの名前が挙がっている。2位のFacebookが5.3%だったというから、“ダントツ”で1位だ。

数が多いだけではない。「spamlaws.com」では「PayPalフィッシング詐欺は(インターネット詐欺の中で)、最も高度なものだ」と評している。多数あるために常に警告されていて、ユーザ側も警戒しているのに被害に遭うのはそのためだろう。

●半年の間に2度の被害
当然、PayPalに関した不正被害についての、インターネットのフォーラムでの書き込みをはじめ、被害報告は多数ある。PayPalを使用すると、登録したアカウントに自動的に送付されるPayPalからのメールで不正使用に気付き、PayPalに連絡したというケースも少なくない。興味深いのは、不正を止めてパスワードを変更したユーザが、その後も繰り返し被害に遭っていることだ。

その中の一人、Robert_in_OZさん(フォーラムでのユーザ名)は、複数のメールアドレス宛てに合計で860ドル分の支払いが行われたという。PayPalからの確認メールが届いたことで不正に気付き、Robert_in_OZさんは直ちにPayPalに連絡。資金を取り戻すことができた。

Robert_in_OZさんは事件後、パスワードと、セキュリティのための質問を変更。さらにPayPalにログインするためのセキュリティカードキーを手配して、PayPalに入るために6桁のコードを用いるように、追加セキュリティ対策を行った。それだけでなく、コンピュータ環境をウィルス対策ソフトでフルスキャンを行って整えた。Robert_in_OZさんは常にセキュリティには注意を払ってきたようだが、PayPalアカウントが不正使用されたのは、なんらかの方法でキーロガーが仕掛けられたと考えたためだ。

しかし約6カ月後、前回と同様に一括支払いサービスを用いて、100ドルが不正に送金された。今回も迅速に連絡することはできたものの、半年の間に2度も不正使用の被害に遭ったことで、Robert_in_OZさんは大きなショックを受けた。

1998年に生まれた決済サービスPayPalは、2002年のeBayによる買収もあり、着実に利用者を増やしてきた。同社のWebサイトによると、現在では世界190の国と地域において2億2,000万を超える登録アカウントを持つとある。

これだけの利用者がいれば、フィッシング詐欺に悪用されることが多いのも当然の結果だろう。フィッシングに限らなくともサイバー犯罪の舞台になりやすい。PayPal側もセキュリティに力を入れていて、2008年には不正検出システムを持つFraud Sciencesを買収した。Robert_in_OZさんが使用していたセキュリティカードキーも、PayPalのセキュリティ対策のひとつだ。

今年になってすぐに、米国の国土安全保障省がPayPalなどを用いたサイバー犯罪で、ミネソタ州の大学へのベトナム人留学生二人を逮捕したと発表があった。この事件では、ベトナムの大きな犯罪組織の関与が調べられている。一方、Kirkの場合は単独犯のようだ。PayPalは人気がある分、セキュリティ強化努力を続けているものの、常にサイバー犯罪者のターゲットとなっている。

(バンクーバー新報 西川桂子)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×