「シェアしすぎ」流行がデジタルID盗難を活性化した理由
デジタル時代の到来以来、私たちは徐々に、しかし確実にオンラインサービスの虜になってきました。
SNSでの「いいね!」、ショッピング、Uber Eatsの注文、Netflixの視聴、Tinderでのスワイプ、送金、リモートデスクトップへのアクセスなど、オンラインで何かをせずに1時間も過ぎることはないでしょう。
ショッピングよりもオンライン取引に興味があったり、テレビ番組よりもゲームが好きだったりと、企業名ややっていることはさまざまですが、私たちは皆、実際の自分とは異なることもあるデジタル・アイデンティティを育てていることに変わりはありません。
私たちは、政府や民間企業に情報の一部を預けています。
意図的に、あるいは無意識のうちに自分のデータをテック大手と共有し、テック大手はますます洗練されたツールを使って私たちのデジタル・フットプリントを追跡しています。
その情報はまた、私たちのデジタル・アイデンティティの一部となるのです。
ある人は、「データは新しい石油である」と言い、また別の人は「むしろ新しい原子力である」と主張し、害を及ぼすために兵器化できる範囲においてであると言いました。
あらゆるものが売買できる世界では、個人のデジタル生活、つまりデジタル・アイデンティティは、ホットな商品になっている。
それが盗まれたり、悪用されれば、その元となる人物も崩れる可能性があります。
最近のダークウェブ価格指数のレポートによると、デジタル・アイデンティティ(その人のアカウントに関する完全な情報)は、ダークウェブで1,200ドル以下で買うことができる。
ハッキングされたFacebookのアカウントは45ドル、Netflixの1年契約は25ドル、偽造した米国IDを持った自撮り写真は約120ドルで、クレジットカード(最大5000ドルの口座残高があるカード情報)も120ドル(https://www.privacyaffairs.com/dark-web-price-index-2022/)。
仮想通貨アカウントも盗難から免れることはできません。
1つの仮想通貨アカウントのコストは90ドルから250ドルまで様々です。
そして、犯罪者は大量に購入する傾向があります。
ハッキングされた50個のPayPayアカウント・ログインはわずか150ドルで売られ、1000万個のUSAメールアドレスは120ドルで買うことができます。
販売者は割引やクーポンを提供し、購入者は製品レビューを残すなど、闇市場のルールは次第に合法的なものと似てきています。
しかし、悲しいことに、悪意ある者がデジタル・アイデンティティのために大金を費やす必要はないことが多いのです(利便性のため、ユーザーは個人情報の大部分を自ら無料で提供しているのです)。
自分のアイデンティティは一体誰に必要でどう悪用できるのか?
デジタルIDまたは少なくともその一部が犯罪者の手に渡ると、さまざまな方法で悪用されます。
転売されたり、脅迫に使われたり、「デジタルID」は金融詐欺や医療詐欺、あるいは殺人を企てたりすることに使われたりすることもあるのです。
米国当局は、COVID-19の1億ドルの資金が、盗まれたIDで開設された口座を通じてオンライン投資プラットフォームで洗浄されたと推定しています。
あるケースでは、犯罪者が男性のIDを使って、存在しないビジネスの救済資金として2万8000ドルを請求し、その後、彼名義の投資口座と送金先の銀行口座を開設したという。
医療データの窃盗は、おそらく、デジタルID窃盗を考えるときに最初に思い浮かぶことではないだろう。
しかし、保険番号の市場は急成長している。
メディケア番号(Medicare number)は、社会保障番号(Social Security number)のわずか1ドルに比べ、ダークウェブでは1,000ドルもの高値で取引されることがあるのだ。
このようなケースでは、ある老人が、一連の医療処置と受けたこともない複数の医師の診察に対して、多額の請求書を積み上げた。
SNSにおいて偽の有名人プロフィールを本物と間違えたことが一度でもない人はいないでしょう。
しかし、もし偽者があなたの偽プロフィールを作成し、他の人を騙して本物のあなただと信じ込ませ、騙していたとしたらどうでしょう?
このような行為は、「クローニング」(cloning)として知られています。
詐欺師はアカウントを作成し、被害者がオンラインで惜しげもなく公開した情報を利用して本物と同じように見せかけ、その人の「友達」に連絡を取ります。
「フェイスブックの友達」というのは特殊な存在なので、詐欺師の話を鵜呑みにしても不思議ではありません。あるインド人男性のFacebook知人たちは、1万ルピー(136ドル)を犯人の口座に振り込むように頼まれた。
そして、お金なんてまだマシです。
命が代償になってしまう被害者もいりのですから。
クローンの中でも特に歪んだ形が「キャットフィッシング」(catfishing)で、これは、偽者が他人のオンライン・アイデンティティを仮定して恋愛関係に入ることである。
これは、MTVで独自の番組にもなっているほど広まっています。
男性俳優を装った女性がオンラインで被害者であるオーストラリアの女性と恋愛関係を築き、彼女を騙して親密な写真やビデオを送らせた後、被害者は2018年に、自ら命を絶ちました。
また極端な例ですが、詐欺師は病気の子供の本物の写真を使って、お金を集めることもあります。
パスポートをスキャンするだけで、オンラインカジノ、仮想通貨取引所、マーケットプレイスに登録することができます。
二要素認証のハードルをクリアする必要がある場合は、SIMスワップ詐欺(電話会社を騙して被害者の番号を新しい携帯電話に割り当てる)が登場する。
Twitterのジャック・ドーシー氏は悪名高く2019年にこのスキームの犠牲となった。
ハッキングやソーシャルエンジニアリング攻撃でアカウントへのアクセスを失うと、スパムや広告に再利用されたり、詐欺を行う際に実在の人物を模倣されたりする可能性があります。
あなたの死後も、あなたのデジタル・アイデンティティは安らかに眠れないことがあります。
「ゴースティング」(ghosting)と呼ばれる個人情報窃盗の一種は、犯罪者が最近亡くなった人の代わりに確定申告をするためによく使われます。
米国政府は、毎年250万人の亡くなったアメリカ人のIDが詐欺師によって盗まれていると推定しています。
私たちのデジタル・アイデンティティは、悪用され放題なのです。
もしあなたがまだ詐欺師の餌食になっていないのなら、これはむしろ例外と言えるほどです。
デジタルIDはどうやって詐欺師の手に渡るのか?
デジタルIDが犯罪者の手に渡るには、主に2つの方法があります。
被害者が強制的に開示させる場合と、自発的に開示する場合です。
サイバー犯罪と聞いて、まず思い浮かぶのはフードをかぶった男、つまりハッカーであろう。
確かに、政府機関、医療機関、企業などが保管するデータは、ブルートフォース攻撃やソーシャルエンジニアリング攻撃で侵入されることがあります。
前者はパスワードや暗号鍵のハッキングを試行錯誤する方法で、後者は通常、攻撃者と無防備な被害者の間で何らかの形でコミュニケーションをとることが必要です。
昨年、インドで人気のあるオンライン取引プラットフォームが侵害され、340万人以上の顧客データが売りに出されました。その中には、顧客ID、電子メールID、連絡先番号、取引ログインID、支店ID、所在地が含まれていました。
次に、マルウェア攻撃というものがあります。
例えば、悪意のある者が、被害者のデバイスをデータを盗むマルウェアに感染させると、
被害者がアカウントにログインする際のキーストロークを記録し、クッキーやパスワードなど、ブラウザに保存されている情報を採取することが可能です。
このような攻撃の結果、ユーザーのブラウザーのフィンガープリントが公開されることになります。システムにマルウェアが存在する間は、パスワードをリセットしても無駄です。そして、そのデータは、悪名高い招待制のGenesisマーケットプレイスか、それに類するどこかで販売される可能性があるのです。
また、フィッシングメールやウェブサイトもあります。
詐欺師は、合法的な組織からのメールを偽造し、受信者に返信で個人データを開示するよう促します。
米国内国歳入庁(IRS)は、詐欺師が同庁のロゴや名前を使って、秘密のアクセスデータやクレジットカード、銀行口座の番号を盗んでいることについて絶えず警告している。
本物とそっくりに作られた偽装サイトを通して認証情報などが盗まれる可能性もあります。
2020年11月には、数百のフィッシングページを経由した偽プレゼントにより、PUBG Mobileのゲーマーのアカウントスコアデータが流出しました。
マルウェアを検出し、フィッシングサイトをブロックし、高度なセキュリティプロトコルを採用することができます。
これはある程度、助けになりますが、私たちが悪意ある者からすべてのツールを奪ったとしても、彼らは絶え間なくデータの流れを利用し続けるでしょう。
なぜそうなるのか?
この問題の根本的な原因は、現代人の共有しすぎという傾向にあります。
私たちは、休日のスナップ写真をジオタグを付けて投稿し、どんな高級ホテルにチェックインしたかを皆に見せています。
新しく購入した実家の玄関ポーチからの写真を、ジオタグを付けて、家屋番号も見えるようにして、車道に誇らしげに車を展示して投稿したりします。
私たちは、自分の誕生日、健康問題、興味、バケットリストを明らかにする。
その間、トラッキング・アルゴリズムが静かに耳を傾け、私たちに合わせた広告を表示する。
さらに、私たちの中には、不注意にもSNSに身元確認書類をアップロードしてしまう人がいます。
ある有名なソーシャルネットワークで簡単に検索すると、有効な書類のスキャンコピーが多数ヒットします。
このような過剰な共有は、裏目に出ることもある。
そして、「Hushpuppi」(ハッシュパッピ)という名のインスタで有名な詐欺師の場合もそうだった。
このナイジェリア人は、メール詐欺の首謀者であり、ネット上で豪華なライフスタイルを誇示していました。
FBIは、彼のSNSアカウントを使って証拠を集め、彼を追跡しました。
たまに、瀕死の患者と自撮りしたロシアの救急隊員のように、投稿した内容が原因で一般人が解雇されたという話も聞きます。
親が子供の名前、年齢、住所、出生地、ペットやスポーツチームの名前などの個人情報を明かす「シャレンティング」(sharenting)の影響で、2030年までに若者を狙ったID詐欺事件の3分の2を占め、年間6億7000万ポンドの被害が出ると英国の銀行が試算しています。
デジタル時代の要請は、私たちにデータを共有することを求めています。
私たちは求人サイトに精巧な履歴書を掲載したり、出会い系でプロフィールを作成したり、オンラインアンケートに参加したりします。
その結果
すでに見てきたように、デジタルIDの盗難がもたらす結果は、実に悲惨なものになる可能性があります。知らず知らずのうちにテロ資金を調達したり、誰かを轢き殺したり、政府をだましたり、誰かから何千ドルもだまし取ったりすることになる可能性があるのです。
また、あなたの似顔絵が詐欺に使われたり、誰かを恋愛関係に誘い込んだりすれば、あなたの評判が落ちるかもしれません。
犯罪者は、あなたがオンラインで共有した情報を使ってパスワードを推測し(特に、おばあちゃんの誕生日やペットの名前など)、あなたのアカウントに侵入してお金やサービスを盗む可能性があります。
さらに、あなたの健康や命が危険にさらされることもあります。
例えば、病院で検査を受けようとしたら、医師が「その検査は2週間前にもう受けています」と言ったり、あなたの本当の健康状態が、保険を悪用した詐欺師のものと混同されることもあり得ます。
そして、自分の評判や財政だけでなく、あなたの会社の評判も悪くなる可能性があります。
アリゾナ州に本拠を置く個人情報盗難防止企業、ライフロック社(LifeLock)のトッド・デイビスCEOは、有名な話だが、同社のクレジット・モニタリング・サービスによって「個人情報は犯罪者には役に立たない」と主張し、自分の社会保障番号を看板やテレビコマーシャルに掲載し、笑いものにされた。
おそらくデイヴィス以外、ほとんど誰も驚かなかったが、このCEOのIDは少なくとも13回盗まれた。
社会保障番号を悪用されてローンを組まされたり、複数の口座を開設され、その存在を知ったときにはすべて未払い金になっていたのだ。
ライフロック社は、虚偽の広告を行ったとして1,200万ドルの罰金を支払うよう命じられた。
Verizonによる2022年データ侵害調査報告書によると、企業を標的としたデータ侵害の82%は「人的要素」が関与している。
フィッシング、盗まれた認証情報の使用、従業員を操って機密情報を開示させる(「pretexting」)ことが、犯罪者が使用するソーシャルエンジニアリングの上位3つのテクニックとなっています。
個人情報が盗まれる確率は?
アプリ、電子機器、ソーシャルメディア、オンラインサービスを利用すればするほど、デジタルID窃盗の被害に遭う可能性は高くなります。
私たちは個人情報を少しずつそれぞれのデバイスに残し、使用するアプリとそれを共有しています。
SNSも同様です。
多数の公共団体の活動的なメンバーで、自分の個人情報(経済状況や子供の健康状態など)を誰もが見られるように投稿している場合、危険にさらされる可能性があります。
オンラインアンケート、クイズ、景品、有料調査などに参加することは、火遊びでもあるのです。
これらは、あなたのデータを収集するためのツールであり、そのデータはスパム業者に売られたり、他の方法で危険にさらされたりする可能性があります。
また、履歴書や願書をオンラインで提出し、個人情報を公開することも、あなたを危険にさらすことになります。
結局のところ、公開されている情報の量に違いがあるのです。
ウイルス対策ソフトのインストール、2要素認証の有効化、強力なパスワードの設定など、基本的な保護対策を怠ると、デジタルアイデンティティが侵害される可能性が高くなります。
リスクを減らす方法
しかし、あなたのデジタル・フットプリントを縮小し、少なくとも犯罪者があなたのデジタル・アイデンティティに手を出そうとする場合に、ハードワークさせることは可能です。
- ソーシャルメディア上での共有は控えめに - インターネットは決して忘れません。その後、投稿を削除しても、スクリーンショットやウェブアーカイブから検索される可能性があります。購入品や恋人、住んでいる場所に関する情報を共有したい衝動に駆られないようにしましょう。写真にジオタグを付けたり、他の人をタグ付けするときは、気をつけましょう。
- パスポートや運転免許証などの身分証明書のコピーをソーシャルメディアのアカウントにアップロードしないでください。絶対に必要な場合を除き、あなたの書類、特にIDカードを持ったあなたの自撮り写真を、無作為の第三者サービス「本人確認用」に送らないでください。
- オンライン調査やアンケートに参加する前に、プライバシーポリシーをよく読み、自分の回答が何のために使われるのかを確認しましょう。そのような方針がない場合は、その調査を完全に見送った方がよい。たとえプライバシーポリシーに赤信号がなくても、世論調査会社がデータを漏洩する可能性があります。ですから、アンケートの数を減らせば減らすほど、安全性が高まります。
- 有名企業が提供する「お得すぎる」割引や景品には要注意です。フィッシングサイトでないことを確認し、疑わしい場合はその企業の担当者に連絡してキャンペーンを確認しましょう。
- 広告主がウェブ上であなたを追跡し、広告であなたを砲撃することを望まない場合は、ウェブサイトの機能性に不可欠なこれらのクッキーのみを許可します。
- 信頼性が高く、データ漏えいの現行犯逮捕歴のない広告ブロッカーを使用する。また、プライバシーに特化したブラウザに変更したり、VPNやDNSサーバーを使用することもできます。
- 他のアカウントやデバイスで再利用されない強力なパスワードを設定し、パスワードマネージャを使用します。
- 可能であれば、多要素認証を有効にする - それは素朴なハッカーからあなたを保護するのに役立ちます。
- ウイルス対策ソフトウェアをインストールし、適時に更新して、更新のためにあなたのデバイスで十分なスペースを持っていることを確認してください。
- アプリに最も必要な権限のみを与える
雇用主、教授、保険会社などにオンラインで電子メールを送らなければならない書類については、暗号化された電子メールサービスを介して送信し、メールがパスワードで保護されていることを確認します。
