GoogleのG-SuiteやMatalanを含む認証済みTwitterアカウントがハッキングされ、イーロン・マスクになりすましている。ビットコイン詐欺で数千ドルが稼がれているのに、なぜTwitterは何も対策を講じられないのだろうか?
パスカル・ル・セグレタン/ゲッティイメージズ/WIRED
イーロン・マスクになるのは簡単だ。「コミュニティ全員に5,000ビットコイン(BTC)をプレゼントします」というプロモーションツイートは、多くの場合ハッキングされた認証済みアカウントから送信され、マスク本人の発信であるかのように編集されている。ほんの少しのビットコインを送るだけで、億万長者が大金を返してくれると約束している。
この詐欺は数週間前から続いていますが、そのバリエーションは数ヶ月前から存在し、多くの疑問を提起しています。誰がこんな詐欺に騙されるのか?なぜイーロン・マスクなのか?なぜTwitterはこれを阻止できないのか?そして、盗まれたお金はどうなるのか?
答えは単純でありながら複雑でもある。前払い金詐欺に引っかかるのはよほど愚かな人間でなければ不可能だが、多くの被害者が依然として罠にかけられている。Twitterは一見全く同じ詐欺メッセージであればほとんど手間をかけずに阻止できるはずだが、この一見単純な手口は実は非常に巧妙だと、Duo Securityの主任研究開発エンジニア、ジョーダン・ライト氏は語る。ライト氏はデータサイエンティストのオラボデ・アニス氏と共に、この夏Twitterのビットコインボットに関する詳細な調査を発表した。
最近のパターンも似ています。認証済みアカウントを乗っ取り、表示名をイーロン・マスクに変更し、アバターを彼の写真に変更し、メッセージを投稿して、できるだけ多くのタイムラインで宣伝するためにお金を払います。より多くの注目を集めれば、人々が寄付してくれる可能性が高まります。
このテーマのバリエーションは3月から展開されているが、プロモーションツイートや認証済みアカウントへの攻撃は10月に始まったようだ。
最初のメッセージの一つは、フードネットワークの司会者タイラー・フローレンスのハッキングされたアカウントから送信されたもので、ビットコインを約束する内容は、彼の普段の料理関連投稿とはかけ離れたものでした。数週間後、マタラン、パンテオン・ブックスなどのハッキングされたアカウントからも同様のツイートが送信され、宣伝されました。1週間後、今度はフランスのコンサルティング会社キャップジェミニのアカウントから、全く同じ内容の一連のツイートが送信されました。数日後には、米国の百貨店ターゲットとGoogleのG-Suiteのアカウントからも同様のメッセージが送信されました。
文言はほぼ全て同じですが、約束されたビットコインの数は異なり、一部の投稿には誤字脱字(「bitcoin」のスペルミスなど)が見られます。フローレンスのアカウントから宣伝されたツイートには、「コミュニティ全員に5000ビットコイン(BTC)をプレゼント!」と書かれています。「ビットコインを使っている読者の皆様のために、世界最大の暗号通貨プレゼント企画を行うことにしました。テスラの取締役を退任しました。皆様のご支援、ありがとうございました!」メッセージには、「住所確認」のために少額の支払いを送るためのビットコインアドレスが記載されています。
詐欺の性質は変わっていないのに、なぜTwitterはそれを阻止できなかったのでしょうか?Twitterの広報担当者は詐欺防止の取り組みについて詳細を明らかにしませんでしたが、仮想通貨詐欺に対する最近の取り組みにより「インプレッション数が10分の1に減少」したと述べ、「以前の取り組みと比べて大幅に改善された」と指摘しました。また、詐欺師は頻繁に手口を変えるため、常に先手を打つよう努めていると述べました。
Twitterは、イーロン・マスク氏の偽アカウントを通じたビットコイン詐欺の取り締まりに取り組んでおり、マスク氏自身も摘発に成功しました。マスク氏がビットコインを売るというジョークを飛ばしたため、Twitterはマスク氏のアカウントを一時的に凍結しました。かつては、名前を「イーロン・マスク」に変更したアカウントをブロックしていましたが、現在はブロックしていません。詐欺師たちは、マスク氏のアバターを奇妙な方法で変更することで、Twitterのアルゴリズムを回避しようとさえしていました。
「ちょっとした追いかけっこみたいなものです」とDuoのアニス氏は言う。「最初はスパムツイートを投稿していました」とライト氏は説明する。「それでほぼ終わりでした。しかし、時が経つにつれて、彼らはより巧妙になり、そのツイートに「いいね!」するための専用アカウントを作り、そのツイートに信憑性を与えようとしていました…そして今、それはさらに一歩進んで、乗っ取ったアカウントがそのツイートに返信して、それが自分にとって効果的だったと伝え、正当性を与えようとしているのが分かります」。これは、詐欺師の戦術が徐々に進化してきたことを浮き彫りにしている。Duoが今夏に報告して以来、彼らはTwitterの有料マーケティングツールであるプロモツイートの利用など、新たな手法を編み出している。「これは、この活動が時間とともに進化していることを示す、ほんの一例に過ぎません」とライト氏は言う。
こうした絶え間ない変更は、Twitterを常に警戒させている。テキストへの目立たない編集も同様だ。詐欺のプロモーションメッセージは見た目がほぼ同じで、Twitterが簡単にブロックできそうに見えるかもしれないが、必ずしも同じではない。「私たちが長年見てきた中で気づいたことの一つは、アカウントによって空白の使い方が異なっていたり、通常のASCII文字ではなくUnicode文字が使われている可能性もあるということです」とアニス氏は言う。「そのため、ツイートのテキストのパターンマッチングは難しい場合があります。人間の目には非常に単純に見えるかもしれませんが、プログラムで実装しようとすると、異なる結果になることがあります。」そして、これを間違えると、本物のマスク氏を誤ってBANしてしまうといった誤検知につながる可能性がある。
さらに、こうした詐欺によって数百人が被害者になったことは特筆に値します。ただし、被害者の中には、当局、セキュリティ研究者、この行為を調査している好奇心旺盛なジャーナリスト、そして詐欺師自身も含まれている可能性も十分にあります(これについては後述します)。最近の米国中間選挙や民主主義に対するその他のデジタル脅威を受けて、Twitterはより大きな懸念を抱いていたのかもしれません。
続きを読む: イーロン・マスクを動かすものは何ですか?
被害者数は比較的少ないとはいえ、これほど稚拙で明らかに怪しいメッセージに騙される人がいるとは驚きだ。マスク氏は金銭を渡すつもりもないし、「ビットコイン」の綴りも知っている。セントラル・ランカシャー大学で社会・法医学心理学の上級講師を務めるポール・シーガー氏は、こうした詐欺が依然として成功している理由は複数あると指摘し、乱暴な言い回しやスペルミスはむしろ効果的だと指摘する。「巧妙な言い回しやスペルミスは、巧妙な人を遠ざける」と彼は言う。「彼らはメッセージを見て詐欺だと分かる。そして、巧妙さに欠ける人が、実際に手を出すのだ」
つまり、もしそのメッセージがあまりにも馬鹿げていて使えないと思ったら、それはあなたのために書かれたものではないということです。「そんなメッセージに騙される人なんていないと思うでしょうし、実際ほとんどの人は騙されません。なぜなら、スペルミスや文法の間違いを見ても、決して騙されないからです」と彼は言います。「言葉遣いが、疑念を抱く人を排除するのです。」
この詐欺が成功するもう一つの理由は、イーロン・マスクの名前を使っていることだ。この名前は多くのテックウォッチャーがメディアで目にするほどの注目を集める一方で、一部の人にとってはある程度の確実性と信頼性を与えるとシーガー氏は言う。マスク氏はTwitterで2300万人以上のフォロワーを抱えている。
一方、マスク氏の行動をめぐる最近の論争――カメラの前でマリファナを吸ったり、SEC(証券取引委員会)に問題を起こしたり――は、別の理由から彼を理想的な候補者にしている。「一部の人々が彼を利用しようとしていた可能性は十分にあります」とシーガー氏は言う。「もしかしたら、彼はただパニックに陥っているだけで、これが彼を利用するチャンスだと人々は考えたのかもしれません」
これは被害者自身に多少の罪悪感を抱かせることになるが、シーガー氏は、ビットコインを謎の口座に自ら送金する人は、生活に困っている人ではないだろうと指摘する。「ビットコインを持っているのはただの人ではなく、裕福な人が投資する傾向にあります…そして、もし彼らがビットコインを失ってしまえば、何の意味もありません」。そもそもお金が現実味を帯びていないからこそ、こうした詐欺に引っかかってしまうのかもしれない。
では、それらのビットコインはどこへ向かっているのだろうか?デジタル通貨の魅力の一つは、その追跡可能性の高さにある。匿名決済とは程遠い。詐欺師が公開したビットコインアドレスをBlockchain.infoなどの追跡ウェブサイトに入力すれば、どのアカウントに送金されたかだけでなく、資金がどこに移動されたかまで誰でも確認できる。マタランのメッセージに使用されたアドレスは、今月初めの数日間で401件の取引が記録され、合計28ビットコイン(現在の価値で約12万ポンド相当)が送金された。そのうち約21ビットコインは11月7日に別のアカウントに移された。その後8回以上の取引で少しずつ資金が削減され、このアドレスには16ビットコインが残っている。当局は、このアドレスの今後の動向を注視していると思われる。
タンブラーやミキサー(支払いを隠蔽するために使われる口座)を介してビットコインをロンダリングすることは可能であり、被害者と思われる人々の中には、不可解にもそのような手法を使って詐欺に資金を投入している者もいる。そうなると、マスク氏がアドレスを検証し、ビットコインで支払いに応じることは困難になるだろう。もっとも、マスク氏がそうするつもりはなかったのだが。
これは、これらの口座への送金がすべて被害者ではなく、詐欺師自身、あるいは不正に得た利益をロンダリングする他の怪しい人物によるものである可能性を示唆しています。詐欺師のアドレスに送金している注目すべき口座の一つは、悪名高い「5oC」口座です。アナリストのベンジャミン・ストリック氏によると、この口座はWannaCryからジハード組織、さらには身代金の支払いまで、あらゆる詐欺に利用されています。ストリック氏によると、この口座は過去のビットコイン詐欺にも利用されており、今年4月にビットコインを2倍にすると約束した詐欺も含まれていました。
「5oC」アドレスを使って支払いを行うのは「極めて」高度な保護だと彼は指摘する。「例えばタンブラーを探すには、Tor経由でOnionサイトにアクセスして入金することになる」と彼は言う。「このサービスはダークウェブと同義であり、ダークウェブでの取引に関する『ベンダー/バイヤーガイド』はどれもミキシングサービスの利用を推奨している」
詐欺は一見するとあまりにも単純で、誰も騙されてしまうなんて信じられないし、Twitterもそれを阻止できないと思われがちですが、実際にはTwitterの罠を回避し、ダークウェブに関連する追跡回避技術を巧みに利用する、洗練された心理学と策略が巧妙に利用されています。とはいえ、詐欺がどれほど複雑であっても、騙されないのは簡単です。認証済みアカウントを運用し、二段階認証を有効にし、ビットコインを持っているなら、安心してください。誰も無料でそれ以上のものをくれることはありません。
この記事はWIRED UKで最初に公開されました。
