プロ格闘ゲーマーの立川さんが、SNSアカウントの乗っ取り被害にあった件について、その経緯や乗っ取りの手口を明らかにしました。
個人スポンサーの依頼
立川さんは韓国の家電メーカー・Samsungの従業員を騙るアカウントから個人スポンサーの依頼を受けました。
当初依頼に関して不信感を抱いており、「なぜ自分に依頼するのか?や意図はなにか?」と質問すると「PR戦略を変更するから」と回答し報酬に関する相場も適切なものでした。
また立川さんは、念のため連絡してきた人物を画像検索をしその人物のSNSのフォロワーの調査を実施。
当該人物がSNSに投稿している写真を他のSamsungの社員も投稿しており、フォロワーもSamsung社員が多く、当該人物を信じと具体的なミーティング日程を調整を行いました。
なお実際は連絡してきたアカウントも乗っ取られており、相手を騙すために周到な手口となっています。
インフォスティーラー(Infostealer)をダウンロードさせる
ミーティング日程が確定すると、相手から「資料を送付する」とURLが送付されリンクをクリックすると、PDFではなく「ファイルのインストール」が発生しました。
ファイルのインストールが発生した後、立川さんのスマートフォンへGoogleアカウントへのサインインに関する連絡や
GoogleアカウントやSNSアカウントで登録している電話番号やメールアドレスの変更通知などが大量に発生していました。しかしこの時はアカウントの乗っ取りには気づきませんでした。
インストールされたマルウェアは恐らく情報窃取型マルウェアのインフォスティーラー(Infostealer)であるため、GoogleアカウントやSNSアカウント以外にも
ファイルをインストールした端末に保存されているパスワードやクレジットカード情報、インターネットバンキングの情報なども窃取される可能性があります。
またパスワードとIDを使いまわしている場合は、各種登録しているサービスへもログインできてしまいます。
さらに、Googleアカウントを乗っ取られるとGoogle認証を利用しているサービスにもログインできてしまうため非常に危険です。
多要素認証を回避される
立川さんは、多要素認証を設定済みでしたがセッションハイジャックなどで、多要素認証を回避されアカウントを乗っ取られています。
多要素認証はセキュリティ侵害リスクを大きく下げますが、メールやSMSなどのワンタイムパスワード認証の場合アカウントを窃取されると意味を成しません。
乗っ取られたアカウントでロケットカウントダウンが開始
その後、乗っ取られた自身のYouTubeチャンネルでスペースXのロケット発射のカウントダウン動画が開始されました。
一般的に乗っ取られたYouTubeチャンネルは仮想通貨の放映や偽のゲーム実況が開始されますがロケットのカウントダウンがされた理由は不明です。
関連記事
Metaの偽広告がFacebookアカウントをハイジャックしインフォスティーラーを拡散
Steamのゲーム「PirateFi」にマルウェアが仕込まれていた
Aliexpress(アリエクスプレス)の危険性
株式会社レジステイのAirBNBへ不正アクセス、一部予約者へフィッシングメッセージを送付
ハッカーがサウジアラビアのXアカウントを乗っ取り、偽のミームコインを宣伝
東方Projectの原作者ZUN氏のSNS アカウントが乗っ取られる
ユヴェントスのSNSアカウントがハッキングされ偽ツイートが投稿
東京都保健医療情報センター、メールサーバへ不正アクセスされ約47万件の迷惑メールの配信に悪用
なか卯、公式SNSアカウントが不正アクセスにより乗っ取られる