クレカを止めても被害は止まらない……アカウント侵害の“第二幕”から得た教訓：半径300メートルのIT

　ということで家族用アカウントを見直して1日が過ぎたころ、再びおかしな電子メールが届きました。カードは停止しているので、筆者のスマホには通知が来ていません。となると、まさかアカウントにひも付いていた別のカード？！

　しかし所有しているカードの使用履歴を見ても、不正利用は見当たりません。アカウントに登録されたカードが幾つかあったので、使っていないものを削除しようとしたとき、不思議なことが分かりました。そこにはなんと見知らぬカードが追加されていたのです。

　加えて、不正な購入があった注文履歴をチェックします。やはりデジタル資産で何らかのポイントが購入されていました。「クレジットカードには不正利用通知がないのになぜ？」と思ったら、なんと攻撃者が「新たなクレジットカード」を追加し、購入していたのです。

新たな不正利用は攻撃者が持ち込んだ別のカードによるものだった（恐らくデビットカードと予想される）（出典：筆者のAmazonアカウント）

　ここから2つのことが分かります。

　1つ目はパスワードを変えただけでは足りないということ。パスワードを変更してもログイン済みのセッションがあれば、そのセッションは残り続け、アカウント操作が可能です。不正利用の形跡があったら、真っ先に「全てのアカウントからログアウトする」操作をすべきでした。気が動転していたため、作業からすっぽり抜け落ちてしまいました。これは筆者の落ち度であり、Amazonのサポートもその作業をすべきだと思いますが……。

　Amazonアカウントでいえば、アカウントサービスの「ログインとセキュリティ」から、一番下の「アカウントが不正にアクセスされましたか？」を開始。その後指示に従い、ステップ3として表示されている「全てをサインアウトする」という流れで、自分のアカウントを利用している全てのセッションからサインアウトします。パスワードを変えたら、ここまで必ず実行することを推奨します。Amazon以外のサービスでも同様の処理ができるはずです。使っているサービスでお金に関係するものは、その方法を事前にチェックしておくと良いでしょう。

Amazonにおける「全てをサインアウトする」処理（出典：筆者のAmazonアカウント）

　2つ目は攻撃者の狙いです。攻撃者は足のつきやすい「モノ」の不正購入を避け、足のつきにくいデジタル資産を購入することで、（おそらく）マネーロンダリングします。不正ログインに成功したら、まずは被害者のクレジットカードを使ってデジタル資産を購入。そこまでは想定していましたが、もしクレジットカードが止められたとしても、手元にある「不正にチャージされた」デビットカードを登録し、そのチャージ額をロンダリングするため、アカウントを悪用するという攻撃に切り替えたことが分かります。一度攻撃に成功したアカウントには、まだまだ役割があったということです。

　上記の「全てをサインアウトする」作業をした結果、今度こそ不正利用は止まりました。非常に示唆に富む攻撃を受けてしまったという印象です。まさか、マネーロンダリングの片棒を担がされることになるとは……。一家で大反省します。

サイバー犯罪は手を変え品を変える　侵害の兆候を見直そう

　攻撃者は手を替え品を替え、「ゴール」も変えてくることが分かります。クレジットカードが止まれば、アカウントを最大限に悪用する。攻撃者のずる賢さを身をもって体験しました。本稿執筆時点でも不正利用の補償に関しては連絡がなく、上記のようにデジタル資産が間に入り、悪用されたことを考えると、最悪の事態も想定しなければなりません。なぜなら、そもそもは二要素認証を設定していなかった私たちの方が悪いのですから。これをお読みの方は、私たちみたいなことにならないよう、必ず今すぐ二要素認証を設定してください。

　今回の攻撃手法からも分かるように、もはやこれは「オペレーション」です。ソフトウェアによって自動で攻撃するのではなく、恐らくは人の手と目があり、臨機応変にシナリオを変えるということが実感できました。マルウェアではなく「人」が個人だけでなく組織を攻撃しているのです。

　実は侵害の兆候がありました。数カ月前、Amazonアカウントとして利用しているメールアドレスの不正利用が発覚し、一時的にトラブルになっていました。これが今回のオペレーションにつながるものだったとしたら、運営チームも気が付かない何かが実行されていたのかもしれません。

　このとき家族には、該当のメールアドレスを使っているサービスは全て変更するよう指示していましたが、変更前に今回の事件が発生してしまいました。兆候をうまく生かせませんでしたが、こういうことの積み重ねが、昨今の大きなインシデントにつながり、ビジネスそのものが止まることになったのかもしれません。

　ランサムウェア事案が広がっています。しかし、今回筆者が体験したものと同様、その裏には攻撃を実行するプログラムではなく「人」がいます。ウイルスの延長線上にランサムウェアがあるという考え方ではなく、その場その場で最高のパフォーマンスを得られるよう、「人」がソフトウェアを使って攻撃をするという考え方が重要だと思いました。そうであるとすると、ソリューションを入れただけでは足りず、こちらも検知や対処で「人」が活躍する必要があるわけです。

　我が家で発生したインシデントが、皆さまのセキュリティ意識を変えるきっかけになればありがたいです。本年もどうぞよろしくお願いします。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。