認証コード=暗証番号
投稿者 岡野 幹生 日時
大変お恥ずかしい話ですが、私の個人LINEアカウントを乗っ取られてしまいました…。こんな仕事をしているのに本当にお恥ずかしい次第で、怪しいメッセージが送られた知人の皆さんには本当に申し訳ないです。さすがにWebMoney送ってる人はいないと思いますが、くれぐれもご用心ください。
今回の手口は珍しいものではないそうですが、どんなやり取りがあるのかお知らせして、同じ失敗をなされないようにシェアさせて頂きたいと思います。
私の場合は、発端は昔の上司からのFacebookメッセンジャーでした。「LINEのアカウントが凍結されてしまって、解除するのに友達の認証が必要。まず携帯電話番号を教えてほしい」 この方との距離感が微妙で、もう20年以上会ってない方だったんですよね。「奥さんに頼めばいいのに、どうして私に?」とは思ったんですが、奥さんと離婚したのかなとかITに詳しい気安く頼める目下の人間があまりいないのかな、なんて勝手に状況を想像しちゃったんですね。携帯電話番号は私も知らなかったので、あまり疑問に思わずに教えました。次に私の携帯にSMSで認証コードが送られてきます。犯人が認証コードの請求をしたんですね。で、この認証コードを先ほどのメッセンジャーで教えてしまったと。犯人は私の友達リストを入手して、別アカウントに私の本名といつも使っているアイコン画像を登録したんですね。で、「WebMoneyを10万円分コンビニで買ってきて欲しい」と連絡をしまくった。直後に色んな人から電話やLINEで、乗っ取られてるよ、とご連絡を頂きました。大変ご迷惑をお掛けして申し訳ありませんでした。
この流れのポイントは、認証コードを教えてしまったというところです。認証コード=暗証番号、という認識が私になかったんですね。てっきり知人のアカウントの認証に使われるもので、まさか自分自身の認証を取られているなんて思わなかったのです。この流れのポイントは、
・実在のメッセンジャーアカウントを使う事でやり取りを信用させる
・知人の凍結アカウントの解除のための認証であると誤認させる
だと思います。そもそも連絡元の元上司が実在のFacebookアカウントを乗っ取られていたんですね。ホンモノのアカウントからの連絡だったので、そこを疑いませんでした。元々Facebookの更新頻度が低い方だったので、ご本人の対応も遅れちゃったんでしょうね…。そして友達を認証するというステップに対して、まあそんな手順もあるのかな、程度にしか疑わなかったんですね。認証コードに対する取り扱い意識が低かったために起きた失敗で、本当に落ち込みました。
殆ど同じタイミングで別の知人が、「ケータイが水没しちゃって、助けて!」という流れからアカウント乗っ取られたという事例も聞きました。これも助けてあげなければ、という心理を突いた巧妙なアプローチですよね。オレオレ詐欺の手口は沢山公開されていますが、どれもストーリーがよく練られていて、自分の中の文脈でありそうな流れが用意されていると乗っかってしまうということは誰にでも起こり得ます。俺は大丈夫、という方もどこかに必ず弱点があります。それは微妙な人間関係に起因すると思うのです。例えば、両親、特別な関係のある叔父・叔母、昔お世話になった先輩、もしくは後輩。手助けしてやろう、役に立ちたい、という心を利用するのです。引っ掛かってしまった私自身を振り返ってみても、完全に防ぐのは難しいだろうなと感じます。
勿論一番悪いのは、詐欺集団です。でもこれ、LINEやFacebookとISPが捜査協力すれば該当者の特定は簡単にできそうですよね。兵庫県警本部生活安全部サイバー犯罪対策課さんとはリアルに協力関係にあるので、今回の件の報告と相談をしてみようと思います。
くれぐれも皆さま、ご用心を。
今回の手口は珍しいものではないそうですが、どんなやり取りがあるのかお知らせして、同じ失敗をなされないようにシェアさせて頂きたいと思います。
私の場合は、発端は昔の上司からのFacebookメッセンジャーでした。「LINEのアカウントが凍結されてしまって、解除するのに友達の認証が必要。まず携帯電話番号を教えてほしい」 この方との距離感が微妙で、もう20年以上会ってない方だったんですよね。「奥さんに頼めばいいのに、どうして私に?」とは思ったんですが、奥さんと離婚したのかなとかITに詳しい気安く頼める目下の人間があまりいないのかな、なんて勝手に状況を想像しちゃったんですね。携帯電話番号は私も知らなかったので、あまり疑問に思わずに教えました。次に私の携帯にSMSで認証コードが送られてきます。犯人が認証コードの請求をしたんですね。で、この認証コードを先ほどのメッセンジャーで教えてしまったと。犯人は私の友達リストを入手して、別アカウントに私の本名といつも使っているアイコン画像を登録したんですね。で、「WebMoneyを10万円分コンビニで買ってきて欲しい」と連絡をしまくった。直後に色んな人から電話やLINEで、乗っ取られてるよ、とご連絡を頂きました。大変ご迷惑をお掛けして申し訳ありませんでした。
この流れのポイントは、認証コードを教えてしまったというところです。認証コード=暗証番号、という認識が私になかったんですね。てっきり知人のアカウントの認証に使われるもので、まさか自分自身の認証を取られているなんて思わなかったのです。この流れのポイントは、
・実在のメッセンジャーアカウントを使う事でやり取りを信用させる
・知人の凍結アカウントの解除のための認証であると誤認させる
だと思います。そもそも連絡元の元上司が実在のFacebookアカウントを乗っ取られていたんですね。ホンモノのアカウントからの連絡だったので、そこを疑いませんでした。元々Facebookの更新頻度が低い方だったので、ご本人の対応も遅れちゃったんでしょうね…。そして友達を認証するというステップに対して、まあそんな手順もあるのかな、程度にしか疑わなかったんですね。認証コードに対する取り扱い意識が低かったために起きた失敗で、本当に落ち込みました。
殆ど同じタイミングで別の知人が、「ケータイが水没しちゃって、助けて!」という流れからアカウント乗っ取られたという事例も聞きました。これも助けてあげなければ、という心理を突いた巧妙なアプローチですよね。オレオレ詐欺の手口は沢山公開されていますが、どれもストーリーがよく練られていて、自分の中の文脈でありそうな流れが用意されていると乗っかってしまうということは誰にでも起こり得ます。俺は大丈夫、という方もどこかに必ず弱点があります。それは微妙な人間関係に起因すると思うのです。例えば、両親、特別な関係のある叔父・叔母、昔お世話になった先輩、もしくは後輩。手助けしてやろう、役に立ちたい、という心を利用するのです。引っ掛かってしまった私自身を振り返ってみても、完全に防ぐのは難しいだろうなと感じます。
勿論一番悪いのは、詐欺集団です。でもこれ、LINEやFacebookとISPが捜査協力すれば該当者の特定は簡単にできそうですよね。兵庫県警本部生活安全部サイバー犯罪対策課さんとはリアルに協力関係にあるので、今回の件の報告と相談をしてみようと思います。
くれぐれも皆さま、ご用心を。