詐欺師がハッキングされたTwitterアカウントとMacBookの「お買い得品」で友人を騙した後、私は仲間の脅威研究者の協力を得て、犯罪者のオフラインの身元を追跡しました。
写真:シマリク/ゲッティイメージズ
恥ずかしい、怒り、被害者意識。これは、私の友人が最近遭遇したサイバー犯罪者との出来事を言い表す言葉のほんの一部です。ハッキングされたTwitterアカウントを使って、何百ドルもの金を詐取しようとしたのです。一方、Twitterは彼の助けを求める声を無視しました。そこで私が介入することになったのです。
ティム・ウツィグ氏がハッキングされたTwitterアカウントを使って1,000ドルの詐欺被害に遭った後、私はソーシャルエンジニアリングと詐欺師追跡の専門家に協力を依頼しました。最終的に、容疑者を追跡し、巧妙に人々の貯蓄を騙し取っている詐欺師とマネーミュール(資金運び屋)のネットワークを特定しました。この一連の詐欺事件は、詐欺師がソーシャルメディアをどのように利用し、様々な決済口座を運営する人脈を構築し、効果的な手口で被害者を騙し取っているかを示しています。
また、ウツィグさんのような視覚障碍者がインターネット上で直面するさらなる課題や、無差別なオンライン犯罪者による搾取の危険性がいかに高いかも示しています。
アクセスできず、受け入れられない
5月23日、アツィグ氏は詐欺に遭ったことに気づいた。ロンドン市立大学でジャーナリズムの修士課程への進学を控えており、たまたま新しいノートパソコンを探していたところだった。偶然にも、ボルチモアのベテランスポーツ記者、ロッチ・クバトコ氏のTwitterアカウントを使っている人物が、新しいAppleのノートパソコンを売りに出しているとツイートしたのだ。アツィグ氏は以前から面識のあるクバトコ氏を信頼していたため、そのツイートは無害に思えた。そして、まさに絶好のタイミングで届いた。そこでアツィグ氏はダイレクトメッセージ(DM)で返信した。
ウツィグ氏は、Twitterを含むインターネットやソーシャルメディアアプリを操作するためにスクリーンリーダーを使用しています。目が見える人なら、最初のツイートとプロフィールに不自然な点に気付いたかもしれませんが、スクリーンリーダーはウツィグ氏に重要な事実を知らせることができませんでした。クバトコ氏のTwitterアカウントはハッキングされており、ウツィグ氏が話しかけていた相手はクバトコ氏ではありませんでした。
「障がいのある人は全体的にオンライン詐欺の被害に遭いやすいと感じています。スクリーンリーダーは、視覚障がい者や全盲の人がテクノロジーの利用を支援するために使う手段の一つに過ぎません」とウツィグ氏は言います。「プロフィール写真が何か違うものに変更されているなど、詐欺の兆候となる可能性のある視覚的な手がかりを見逃してしまうでしょうし、スクリーンリーダーもそれを認識できないのです。」
スクリーンリーダーは、スペルミス、聞き取れない文法エラー、あるいは視覚障害者が疑わしいと感じる可能性のある大文字で始まる単語などのタイポグラフィを音声で読み上げないことがよくあります。また、画像の説明にコンテンツを共有するユーザーが手動で適用する代替テキストは、スクリーンリーダーが画像を説明できる唯一の方法です。
それからTwitter自体の問題もあります。チェックマークは事実上役に立たなくなり、特に視覚障碍者にとってはなおさらです。イーロン・マスク氏の経営下でTwitterが認証システムを変更したため、かつては信頼できる身元確認の印だった青いチェックマークが、今ではほぼ誰でも取得できるようになりました。スクリーンリーダーはTwitterの青いチェックマークを以前と同じように「認証済み」と表示しますが、視覚障碍者にとっては以前ほど頼りにできなくなっています。
Twitterの最近の動きは、アクセシビリティ推進派を懸念させています。昨年、Twitterはプラットフォームが障がい者にとって使いやすいことを保証する役割を担っていたアクセシビリティチームを解雇しました。また、Twitter APIの制限により、視覚障がい者が使用する一部のツールやリソースが機能しなくなりました。これらの変更を受け、全米盲人連盟(NFB)はTwitterから脱退し、Mastodonサーバーを構築しました。同団体によると、Mastodonサーバーは視覚障がい者にとってより使いやすく、アクセスしやすいとのことです。
「障がいのある人たちが詐欺に遭っているにもかかわらず、アクセシビリティチームを丸ごと解雇したのです」とウツィグ氏は言う。「障がいのある人たちが安全に利用できるプラットフォームを維持するには、チームが必要です。」
そして、さらに悪いことに、Twitterは現在Xとしてブランドを再構築し、「あらゆるものを扱うアプリ」を開発しようとしている。このアプリは、決済処理や「銀行」機能も備えているようだ。Xブランド再構築のわずか2ヶ月前、まさにこのプラットフォームが人々から苦労して稼いだお金を騙し取るために利用されていたにもかかわらず、このような事態になっている。
1,000ドルの損失
クバトコ氏ではない人物と短い会話をした後、アカウント管理者はApple Payで支払いリクエストを送信するために電話番号を尋ねました。ウツィグ氏が支払い後に確認したところ、その電話番号がブロックされていることに気付きました。
ウツィグ氏はすぐに、犯罪者に1,000ドルを支払ってしまったことに気づき、Twitterにアカウントを報告しました。しかし、Twitterは彼の助けを求める要請に応じず、アカウントはハッキングされたと報告されてから数日間もアクティブなままでした。
ウツィグ氏はメディアに助けを求め、地元記者に連絡を取った。メリーランド州の地元ニュース局がTwitterにコメントを求めたところ、同社はうんち絵文字で返答した。これは2023年3月以来、報道機関からの問い合わせに対して送られてきた返答だ。ウツィグ氏は、この返答によって状況がさらに悪化したと語る。多額の金銭を失っただけでなく、自分が愛用していたプラットフォームは、犯罪被害者となったユーザーに深刻な個人的・経済的影響を与えることを全く気にかけていなかったのだ。
マスク氏が2022年10月にTwitterを買収してから8ヶ月が経ち、Twitterは不正アカウントの温床となっている。サイトユーザーからは、スパムや詐欺師によるツイート、返信、直接メッセージの送信が急増しているとの報告が相次いでいる。また、ハッキングされた著名アカウントが不正コンテンツを拡散した事例も複数報告されている。
ウツィグ氏によると、彼のDMには、直接スパムを送信したり、会話に参加しようとしたりする怪しいアカウントが溢れているという。私が連絡を取ったソーシャルエンジニアリングの専門家は、この調査を通常の業務外で実施したため仮名の使用を希望しており、研究用と個人用の両方で複数のTwitterアカウントを運用している。彼(ここではスティーブと呼ぶことにする)によると、過去数か月でプラットフォーム上で確認される悪質アカウントの数が急増しており、特に豚の屠殺に関連していると思われるアカウントが多いという。偽の投資アドバイスを通じて人々の銀行口座を空にするために使用されるこのソーシャルエンジニアリングの脅威は、通常、ソーシャルネットワークやメッセージングアプリで発生し、最近、米国連邦捜査局によって最も被害額の大きいオンライン脅威として特定され、2022年にはユーザーが数十億ドルの損失を報告している。
ソーシャルメディア詐欺は、ソーシャルエンジニアリングとユーザー間の信頼関係を基盤とするオンライン犯罪のエコシステムの一部です。ソーシャルメディアを起点とする詐欺には、豚の屠殺などの金融詐欺や暗号通貨詐欺、恋愛詐欺、そしてウツィグ氏が経験したような消費者詐欺など、多種多様なものがあります。
詐欺の種類によって必要な高度さのレベルは異なります。例えば、著名人のTwitterアカウント(多くは多要素認証を使用している可能性があります)をハッキングすることは、そのアカウントを使ってユーザーを騙すよりも一般的に困難です。ウツィグ氏を騙した人物は、クバトコ氏のアカウントを最初にハッキングした人物ではなく、詐欺のプラットフォームとして利用するために元のハッカーからアクセス権を購入していた可能性があります。
クバトコ氏を襲った攻撃は、少なくとも今年1月から続いている、著名なTwitterユーザーのアカウントを乗っ取った一連のハッキング事件と類似しているようです。詐欺師たちは皆、ノートパソコンを販売するという内容の類似した言葉遣いと写真を使用していました。ハッキングされたアカウントと関連する詐欺がすべて同一人物によって運営されているかどうかは不明です。ツイートで使用されている言葉遣いを調べたところ、詐欺師たちは依然としてTwitter上で活動していることが示唆されました。WIREDのコメント要請に応じなかったクバトコ氏は、最終的にTwitterアカウントを取り戻し、金銭的損失を知った後、ウツィグ氏に謝罪しました。
トラップ・アンド・トレース
スティーブはウツィグが騙されたことに激怒し、助けを申し出ました。しかし、私たちが知っていたのは電話番号だけでした。そこで彼はその番号に連絡し、ノートパソコンの購入に興味があると伝えました。するとすぐに、別の番号から「ノートパソコンをお探しですか?」というメッセージが届きました。
会話の中で、スティーブはビットコイン、Cash App、Zelleのいずれかで支払いたいと言っていました。ビットコインのウォレット情報は、すべての取引がブロックチェーン上に保存されるため有用であり、「資金の流れを追跡」してアカウントの収益額を特定することができます。また、ブロックチェーンアカウントをオープンソースレポートや非公開の脅威データなどの他のデータセットと相互参照することで、関連する不正行為を特定することも可能です。Cash AppとPayPalも、ユーザーが電話番号、メールアドレス、ユーザー名、場合によっては銀行口座など、多くの個人情報を提供する必要があるため、有用なデータポイントとなります。また、Zelleは銀行口座に紐付けられているため、不正調査担当者にとって非常に有用な情報となります。
通常、スティーブはやり取りする脅威アクターからこれらのアカウントを少なくとも 1 つ取得できますが、この場合は 3 つ取得しました。
スティーブは、口座の1つに残高が不足しており、もう1つは機能していないと主張し、詐欺師たちに複数の決済口座へのリンクを送信させました。これらの口座はすべて異なるユーザー名を使用しており、それぞれ異なる人物のものであると示唆していました。実際、スティーブは決済アプリのユーザー名と電話番号から3人の人物と、彼らの実名と思われる人物を紐付けることができました。彼はLinkedInのプロフィール、Twitter、Facebook、TikTok、Snapchat、Instagramのアカウント、Poshmarkのアカウント、出会い系プロフィール、SoundCloud、そして個人のウェブサイトを発見しました。これらのデータと、それぞれのソーシャルメディアや公開プロフィールで提供された情報を基に、スティーブはこれらの人物と米国東部の住所を結び付けることができました。
スティーブは詐欺師たちにGrabifyのリンクも送信し、ユーザーに関するより多くのデータを収集できるかどうかを確認しました。Grabifyは、IPアドレス、位置情報、クリック元のデバイスの種類を示す「ユーザーエージェント」など、ユーザーの技術的特性を特定するために使用されます。今回のケースでは、受信者の1人がリンクをクリックしたところ、AT&TネットワークでiPhoneを使用しており、オハイオ州に居住していることが判明しました。これにより、リンクをクリックしたユーザーの所在地を推定することが可能になります。
さまざまな電話番号や支払い口座に関連する人々との会話に基づいて、スティーブはこの詐欺団に関与している少なくとも 4 人の人物を特定しました。
スティーブの調査によると、少なくとも一人の人物、つまりウツィグ氏を騙した最初の詐欺師が、この詐欺の首謀者と疑われており、少なくとも一人は彼と直接協力していると思われる人物がいる。スティーブは、この新しい知らない番号からメッセージを受け取った後、最初の詐欺師にその人物が誰なのか尋ねた。その電話番号は「ビジネスパートナー」を名乗っていた。当初、この詐欺には一人の人物が二つの異なる電話番号を使用している可能性もあった。しかし、その後の調査と両者との会話に基づき、スティーブはこれらの番号にそれぞれ異なる人物が関与している可能性が高いことを突き止めた。
「ビジネスパートナー」はスティーブに、支払いを求めるCash Appのスクリーンショットを送りました。そこにはユーザー名が記されており、スティーブはそれが写真付きの複数のソーシャルメディアアカウントに関連付けられていることを発見しました。そのうちの1つは実名が付けられているようでした。
スティーブがCashアカウントの残高が不足していると言ったところ、ビジネスパートナーは別の実在人物の名と姓を装ったPayPalアカウントへのリンクを送信してきました。その実名とユーザー名は複数のソーシャルメディアアカウントにリンクされており、いずれも同一人物と思われる写真が使用されていました。最終的にスティーブはビジネスパートナーにPayPalが機能していないことを伝え、誰かのZelleアカウントのものとされる名前と電話番号を受け取りました。ビジネスパートナーは、この人物は「アシスタント」だと主張しました。提供された情報から、スティーブはさらに別の人物と、その実名を特定しました。この人物は、詐欺師と同じ地域に住んでいるとみられます。
ZelleとPayPalのアカウントの所有者が、このノートパソコン詐欺について知っていたのか、それとも単なる「マネーミュール」だったのかは不明です。マネーミュールとは、被害者から金銭を受け取り、それを元の詐欺師の別のアカウントに送金するアカウントです。マネーミュールは盗んだ金銭を移動させていることに気づいていない場合があり、知らず知らずのうちに詐欺に加担している可能性があります。実際、マネーミュールは正規の雇用を装って詐欺師に雇われることもあります。
調査の結果、少なくともノートパソコン詐欺に関連する3つの決済口座、関係者のものである可能性のある数十のソーシャルメディアアカウント、そして同じ州に属する2つの異なる市外局番を持つ3つの電話番号が特定されました。これらのデータは法執行機関による詐欺捜査に役立つ可能性がありますが、スティーブのオープンソース情報収集は、私たちのデジタルフットプリントがいかに容易に現実世界の存在にまで遡ることができるかを改めて認識させるものです。
大釜の中の一滴
地元警察とFBIは、オンライン詐欺の被害に遭った場合、ユーザーへの報告を推奨していますが、被害者が必要なサポートを受けられることは稀です。ウツィグ氏はワシントンD.C.首都圏警察に被害届を提出し、私たちもFBIのインターネット犯罪苦情センターを通じてFBIに報告しました。彼は銀行とAppleにも連絡しました。残念ながら、決済アプリを使うことは現金を送るのと同じことです。現時点では、ウツィグ氏にできることは他にありません。彼の被害届は、毎年報告される数十万件ものインターネット犯罪のほんの一滴に過ぎず、その多くはその後の対応も見られないまま終わる可能性が高いでしょう。
私たちは警察に独自の捜査の詳細を提供し、悪質な決済アカウントの疑いが高いと判断されたものについては、決済プラットフォームに報告して詐欺行為の疑いで削除を求めました。私たちは民間人としてできる限りのことをしてきましたが、今回の捜査が、これらの脅威アクターによるさらなる悪用を防ぐ一助となることを願っています。
ほぼすべてのソーシャルメディアプラットフォームで詐欺が発生していますが、Twitterは昨年の売却前よりも多くの敵対的なアカウントを抱えているようです。しかも、詐欺師だけではありません。同社は2022年12月に信頼と安全担当スタッフの多くを解雇し、6月には最近任命された信頼と安全担当責任者が退社しました。広範囲にわたる嫌がらせ、搾取、サイバー犯罪を防ぐための技術的ガードレールを運用する人員がいなければ、このような戦術が蔓延し、プラットフォームの安全性が低下する可能性があります。マスク氏は、Twitter(申し訳ありませんが、Xとは呼びません)を事実上金融機関にしたいと考えているため、こうした動きが起こっています。そのためには、これまで以上にユーザーの信頼が必要です。
ユーザーは、ソーシャルメディアにおける詐欺行為の特徴、例えば見知らぬ人からのメッセージの受信、商品やサービスの購入のオファーの受信、会話の途中でプラットフォームの変更を求められることなどに注意すべきです。しかし、Utzig氏のケースでは、ソーシャルプラットフォーム自体が学ぶべき点がいくつかあります。スクリーンリーダー技術やアクセシビリティ全般の改善がなければ、プラットフォームはより脆弱なユーザーを搾取する行為を助長することになります。
友人と協力してこの犯罪を報告する中で、セキュリティ専門家はサイバー犯罪の被害者が生身の人間であることを忘れがちであり、被害者になることによる感情的、精神的負担は甚大なものになり得るということも思い知らされました。
「数十億ドルの損失」というのはひどい話ですね。友人が多額の貯金を失い、信頼していたプラットフォームや人々に裏切られ、侵害されたと感じるのは、もっと辛いことです。
受信箱に届く:ウィル・ナイトのAIラボがAIの進歩を探る
セレナはサイバーセキュリティの脅威研究者であり、世界をより安全で安心なものにしたいと願う熱心なランナーです。Mastodonで@[email protected]をフォローしてください。続きを読む
