先月、Appleがハッカーに個人情報を開示させられたことが明らかになりました。ハッカーは法執行官を装い、緊急のデータ提供を要求しました。その後の報道で、このデータの一部が未成年者への性的脅迫に利用されていたことが明らかになりました。
最新の報告書では、ハッカーたちがどのようにしてAppleやFacebook、Google、Snap、Twitter、Discordなどの他のテクノロジー大手を騙すことができたかについても明らかにしている。
背景
通常、企業は裁判所命令を受け取った場合にのみ法執行機関に顧客データを公開し、その場合でも要求を慎重に精査し、要求されたデータの一部のみを提供することもあります。
このプロセスには時間がかかるため、個人または複数の個人に危害が及ぶ差し迫ったリスクがある場合に利用できる緊急データ要求手続きがあります。このような場合、企業は要求が正当な法執行機関からのものであることを確認しますが、まず情報を提供し、その後で質問を行います。
ハッカーは偽の緊急データ要求を利用し、Appleなどの企業にユーザーデータの開示を促しました。新たな報告書では、データがどのように悪用されたか、そして企業がどのようにして騙されたかについていくつかの情報を提供しています。
Appleはいかにして騙されたのか
ブルームバーグは、攻撃は一般的にハッキングやフィッシングを利用して法執行機関の電子メールシステムにアクセスし、リクエストの送信元が本物であるように見せかけることに依存していると報じている。
法執行官によると、攻撃の具体的な方法は様々だが、共通のパターンを辿る傾向があるという。まず、犯人が外国の法執行機関の電子メールシステムに侵入するところから始まる。
その後、攻撃者はテクノロジー企業に「緊急データリクエスト」を偽造し、ユーザーのアカウントに関する情報を要求します。警察によると、このようなリクエストは、自殺、殺人、誘拐など差し迫った危険を伴う事件において、法執行機関がオンラインアカウントの情報を入手するために利用されています。[…]
提供されるデータは企業によって異なりますが、一般的には氏名、IPアドレス、メールアドレス、住所などが含まれます。企業によっては、さらに多くのデータを提供する場合もあります。
被害者を脅迫するために使われるカスケード攻撃
データはそれほど多くないように思えますが、個々の被害者に対してさらなるハッキングやフィッシング攻撃を実行するのに十分な情報を提供しています。加害者と被害者の両方に子供が含まれていると報告されています。
関係者によると、攻撃者はこれらの情報を利用して被害者のオンラインアカウントに侵入したり、女性や未成年者と親しくなって性的に露骨な写真の提供を促したりしていたという。関係者4人によると、犯人の多くは米国や海外に拠点を置く10代の若者であると考えられている。
ブルームバーグは、いくつかのケースは恐ろしく極端なものだったと報じている。
関係者によると、加害者は、被害者が要求に応じない場合、被害者が提供した性的に露骨な資料を友人、家族、学校の管理者に送付すると脅迫している。被害者は、加害者の名前を皮膚に刻み、その写真を共有するよう圧力をかけられたケースもあった。
9to5Macの見解
法執行機関の正規のメールアドレスから偽の緊急データ要求を送信することは、企業がどのような対応をしても損害を与えるリスクがあるため、大きな問題となります。最低限のチェックのみでデータを公開すると、個人情報がハッカーに渡ってしまうリスクがあります。より綿密なチェックを行うまで時間を要した場合、真の被害者を支援するには手遅れになる可能性があります。
明らかなリスクは、これがますます一般的な戦術となることです。この犯罪の防止と摘発には多大な資源を投入する必要があり、また、刑罰は潜在的な結果の重大さを反映したものにする必要があります。
写真: Alexander Krivitskiy/Unsplash
ymnue.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
