個人情報とオンラインの詐欺ビジネス

サイバー犯罪者は、一般的なビジネスマンと同様、特定のビジネスモデルを利用して活動を行います。2013年3月14日に公開した記事では、典型的なサイバー犯罪者の行動、彼らが信頼するビジネスモデル、および顧客を得た上でどのように保持していくかの戦略等についても述べました。本ブログでは、サイバー犯罪者が利用するビジネスモデルや、ユーザはどのようにしてそうした策略から身を守ることができるかについて説明します。

■サイバー犯罪者のビジネスモデル
これは、サイバー犯罪者が何らかのビジネスモデルを正式に使用しているということではありませんが、サイバー犯罪者たちがどのように活動を行うかという点から一定のモデルを容易に確認することができます。このモデルは、まずは顧客の獲得と維持に専念し、その上で紹介を介してさらなる顧客獲得に向かうという意味では、典型的なビジネスモデルと類似しています。むろん、このモデルは、サイバー犯罪に関わるすべての実行犯や詐欺活動に当てはまるわけではありませんが、実行犯たちの活動に共通する傾向として定型化されたものと見ることはできます。

このビジネスモデルの例では、サイバー犯罪者は、まず顧客獲得に専念します。顧客獲得が確実になると、顧客を保持し続けるため、大量の商品販売などを含むポイントサービスを実施します。さらには、(見返りを求める)犯罪者仲間との確認作業や、紹介業務を介して、顧客数の拡大を試みます。

図1:サイバー犯罪者のビジネスモデル例
図1:サイバー犯罪者のビジネスモデル例

トレンドマイクロは、サイバー犯罪の事例においてこの種のビジネスモデルが何度も利用され、2013年も普及し続けているのを確認しています。トレンドマイクロは、「2013年におけるセキュリティ予測」のなかでも、こういった活動は、2013年以降、より積極的になるだろうと予測していますが、現在の状況からも、今後も数年に渡りこの種の「ビジネス活動」が展開され続けていくと考えられます。

■情報はどこから収集されますか
個人情報の多くは、複数の情報元から収集されます。1つは、不正プログラムに感染したコンピュータからです。情報収集型の不正プログラムが個人情報を窃取し、さらにサイバー犯罪者たちに送信され、不正活動に悪用されることになります。

2つ目は、サイバー犯罪者が狙いを定めた企業からの収集です。この場合の攻撃者やサイバー犯罪者は、「効果的な標的」となる企業に狙いを定めます。つまり、膨大な顧客情報を有した企業を狙うのです。2011年に発生した Sony への攻撃では、1億人分のユーザに関するアドレスや、生年月日、さらにはSony の「オプトイン情報(ユーザ側の広告メール送信許可に関する情報)」のすべてが流出したと報じられました。流出した情報には、クレジットカード情報をはじめとする様々な重要な情報が含まれていたとされています。

このような被害に遭わないためにも、ユーザは自身の個人情報の公開範囲について注意を払うべきでしょう。Senior Threat Researcher の Loucif Kharouni は、不注意なユーザが自身のクレジットカードや、デビットカード、運転免許証の写真などを、写真共有サイト「Instagram」やマイクロブログサイト「Twitter」上に投稿していた事例を報告しています。インターネット上でこういった情報や写真を簡単に閲覧できるため、サイバー犯罪者たちの情報収集活動は、ますます容易になります。

サイバー犯罪者は、これらの情報を収集し、販売することで利益を得ることができます。収集された情報が、どのように悪用されるかについては、2013年3月13日公開のブログ記事をご参照ください。

■どのような対策が可能か
すでに攻撃にさらされた個人情報をユーザ自身だけで守ることは困難ですが、以下のような基本的な注意事項に従うことで、ユーザ自身の個人情報を安全に保つことができます。

  • 信頼できるショッピングサイトを利用する。信頼でき、評判のいいオンラインショップでのみで買い物をすることです。セキュリティが不完全なオンラインショップで買い物をすると、ユーザは、不正プログラムの感染や情報漏えいのリスクにさらされます。

  • SSL / TLS接続を使用しているサイトで買い物をする。これらのセキュリティプロトコルは、サイバー犯罪者が Webトラフィックの通信を傍受している場合、その被害を抑制するのに役立ちます。SSL/TLS(例:「HTTP://」ではなく「HTTPS://」の Webサイト)に対応している企業のみを活用することです。

  • 「一時的」なクレジットカード番号を使用する。多くの銀行やクレジットカード番号では、オンライン取引に際して一時的に利用できるクレジットカード番号を作成できます。顧客は、このサービスにより、限定された範囲で使用できる16桁のランダムなデジタルクレジットカード番号を生成させることができます。限定範囲は、時間(例:1時間だけクレジットカード番号が使用可能)に基づく場合や、使用回数(例:3回だけ使用可能)に基づく場合などがあります。このサービスにより、有効なクレジットカードが不審な Webサイトで使用され続けるのを阻止することができます。

  • ホストベースのセキュリティソフトをインストールする。新たな脅威から身を守るためには、セキュリティソフトをインストールし、常に更新することが有効です。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」を搭載した製品は、ユーザの個人情報を収集する情報収集型の不正プログラムによる感染を防ぎます。また、SPN の「Webレピュテーション」技術は、不正な Webサイトへのアクセスを防ぎます。

  • サービスの提供者側に問い合わせる。ユーザは、自分の個人情報等がサービス提供側の企業のサーバに保管さているのかを知りたい場合、遠慮なく問い合わせることです。こうした情報は、ユーザのものであり、ユーザにはどのように情報が保存・使用されるのかを知る権利があります。

  • 個人情報を投稿しない。ユーザは、オンライン上にどのような情報を投稿するかについては十分な注意を払う必要があります。特に Facebook や Twitter、Instagram、その他の同様の Webサイトなどのソーシャルメディアのアカウントによる投稿に細心の注意が必要です。不注意なユーザの投稿により、これらの Webサイトは、個人情報の収集や売買を企むサイバー犯罪者にとっての「宝の山」となる可能性があります。

  • 直感を信じる。閲覧したサイトで「あまりにも出来すぎた話」が提案され、怪しいと感じた場合、恐らくその直感は正しいでしょう。ユーザが任意の Webサイトで買い物をする際に、そうした「出来すぎた信じれない取引」に遭遇した場合、「ありえない話」だと見なすことです。

  • 認証情報を確認する。オンラインショッピングで買い物をする際は、そのサイトの認証名や情報が、ユーザが買い物しようとしている正規小売業者のものと一致しているか確認することも有効です。このサイトやこのサイトなどで確認作業を行うことができます。

    • 参考記事:

  • Your Data and the Business of Online Scams
     by Kyle Wilhoit (Threat Researcher)

    •  翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)

    Related posts:

    1. <TrendLabs Report>「Pushdo」の脅威に関する主要なファクターとその防衛手段
    2. トレンドマイクロを装うスパムメール登場 フィッシングサイトへ誘導する
    3. Googleおよび米国企業を狙ったサイバー攻撃 - どんなリスクが待ち受ける?
    4. 2010年を振り返る - 1)注目すべき不正プログラム「Top10」