ソーシャルメディアプラットフォームのXは、月間アクティブユーザーが約6億人で、フェイスブックの約30億人と比べれば少ない。だが、それはサイバー犯罪者の「標的対象」から外れていることを意味しない。最新のアカウント乗っ取り攻撃は、おなじみの手口──プラットフォーム自身からの「警告」を装う形をとっている。
今回の攻撃は、コミュニティガイドライン違反があったとうたい、当該アカウントに制限が課される恐れがあるとして、ユーザーに対応を促すものだ。この種のコンテンツ警告攻撃は新しいものではなく、Xに限った話でも決してない。しかし、Xユーザーは深刻に受け止めるべきだ。万が一対応してしまうと、アカウントをハッキングされ、投稿内容などが攻撃者の手に渡るおそれがある。幸い、私が見てきた中でも最も高度なキャンペーンというわけではなく、見た目どおりではないことを示す危険信号は数多い。知っておくべきことを整理しよう。
「コミュニティガイドライン違反」をうたう偽の警告メール
ソーシャルメディアプラットフォームがハッカー予備軍にとって魅力的な標的であることは疑いようがない。数十億のアクティブユーザーを抱えるフェイスブックのような存在は、狙われる優先順位の最上位にある。今月に入って私は、ユーザーを狙った「無料のMeta認証バッジ」攻撃について警告を投稿した。だがXの場合、フェイスブックのアクティブユーザーの20%しかいないにもかかわらず、著名なセレブリティ、政治家、メディア関連のアカウントという「魅力」が加わる。そして今回、こうしたアカウント乗っ取り攻撃の標的となった、(相対的に見れば)著名なユーザーの1人が、最新の警告を発している。
Tax Policy Associates創業者で、金融不正の調査で知られるダン・ニードルは、Xで18万2000人という相当数のフォロワーを抱えている。このアカウントは、攻撃者にとって多方面で価値を持ちうる──詐欺を拡散するためのリーチ手段としても、同様に著名なフォロワーへの攻撃の足がかりとしても、活用が見込めるからだ。
気が散っていたり不意を突かれたりすることは、誰にでもありうる
米国時間5月1日、ニードルは「Xアカウントを盗むために使われている、かなり巧妙なフィッシング攻撃についての簡単な注意喚起」をXで投稿した。私は「巧妙」という評価には異論があり、その点は後述する。だが、このフィッシングキャンペーンをできるだけ多くのXユーザーに知らせる必要があるという点で、ニードルの投稿はまったく正しい。時間や仕事のプレッシャーで気が散っていたり、ストレス下で不意を突かれたりすれば、1〜2回クリックするだけでソーシャルメディアアカウントへのアクセスを失いかねない。
