海外における個人情報流出事件とその対応「PayPalハッキングで金塊を購入」(2)フィッシング詐欺に狙われるPayPal | ScanNetSecurity
2024.05.02(木)

海外における個人情報流出事件とその対応「PayPalハッキングで金塊を購入」(2)フィッシング詐欺に狙われるPayPal

●フィッシング詐欺に狙われるPayPal
事件の裁判資料については、ノッティンガム刑事法院のWebサイトにも罪状や判決文が発表されていない。そのため、KirkがいかにしてPayPalのアカウントにアクセスしたかは明確ではない。

国際 海外情報
facebookLINE
●フィッシング詐欺に狙われるPayPal
事件の裁判資料については、ノッティンガム刑事法院のWebサイトにも罪状や判決文が発表されていない。そのため、KirkがいかにしてPayPalのアカウントにアクセスしたかは明確ではない。

「This is Nottingham」では、Kirkはパスワードを忘れたとしてPayPalからの再発行を得ていたとある。その際、秘密の質問に答える必要があったが、好きな色や最初に運転した車、誕生年など、見事に回答を割り出していたという。

一方、「net-security.org」ではアクセス方法について、フィッシングの可能性も挙げている。たとえばPayPalからのメッセージと見せかけて、ユーザ宛てにメールを送る。そして、アカウント認証などが必要だとして、メールに用意したリンクで偽サイトへと誘導する。このサイトはロゴをはじめ、ログインページとそっくりにできていて、本物のPayPalのログインページと思い込んでしまったユーザが、ログイン情報であるメールアドレスやパスワードを入力する。犯人側はキーロガーなどを利用して、これらの重要情報を不正に取得してアカウントを乗っ取ってしまうというものだ。

PayPalがフィッシング詐欺で最もターゲットにされるということは、セキュリティ企業各社が警告してきている。1月24日付けで、DNSベースのセキュリティサービスを提供しているOpenDNSが発表した「Web Content Filtering and Phishing」レポートでも、2010年度のフィッシング詐欺で全体の45.9%を占めているトップターゲットとしてPayPalの名前が挙がっている。2位のFacebookが5.3%だったというから、“ダントツ”で1位だ。

数が多いだけではない。「spamlaws.com」では「PayPalフィッシング詐欺は(インターネット詐欺の中で)、最も高度なものだ」と評している。多数あるために常に警告されていて、ユーザ側も警戒しているのに被害に遭うのはそのためだろう。

●半年の間に2度の被害
当然、PayPalに関した不正被害についての、インターネットのフォーラムでの書き込みをはじめ、被害報告は多数ある。PayPalを使用すると、登録したアカウントに自動的に送付されるPayPalからのメールで不正使用に気付き、PayPalに連絡したというケースも少なくない。興味深いのは、不正を止めてパスワードを変更したユーザが、その後も繰り返し被害に遭っていることだ。

その中の一人、Robert_in_OZさん(フォーラムでのユーザ名)は、複数のメールアドレス宛てに合計で860ドル分の支払いが行われたという。PayPalからの確認メールが届いたことで不正に気付き、Robert_in_OZさんは直ちにPayPalに連絡。資金を取り戻すことができた。

Robert_in_OZさんは事件後、パスワードと、セキュリティのための質問を変更。さらにPayPalにログインするためのセキュリティカードキーを手配して、PayPalに入るために6桁のコードを用いるように、追加セキュリティ対策を行った。それだけでなく、コンピュータ環境をウィルス対策ソフトでフルスキャンを行って整えた。Robert_in_OZさんは常にセキュリティには注意を払ってきたようだが、PayPalアカウントが不正使用されたのは、なんらかの方法でキーロガーが仕掛けられたと考えたためだ。

しかし約6カ月後、前回と同様に一括支払いサービスを用いて、100ドルが不正に送金された。今回も迅速に連絡することはできたものの、半年の間に2度も不正使用の被害に遭ったことで、Robert_in_OZさんは大きなショックを受けた。

1998年に生まれた決済サービスPayPalは、2002年のeBayによる買収もあり、着実に利用者を増やしてきた。同社のWebサイトによると、現在では世界190の国と地域において2億2,000万を超える登録アカウントを持つとある。

これだけの利用者がいれば、フィッシング詐欺に悪用されることが多いのも当然の結果だろう。フィッシングに限らなくともサイバー犯罪の舞台になりやすい。PayPal側もセキュリティに力を入れていて、2008年には不正検出システムを持つFraud Sciencesを買収した。Robert_in_OZさんが使用していたセキュリティカードキーも、PayPalのセキュリティ対策のひとつだ。

今年になってすぐに、米国の国土安全保障省がPayPalなどを用いたサイバー犯罪で、ミネソタ州の大学へのベトナム人留学生二人を逮捕したと発表があった。この事件では、ベトナムの大きな犯罪組織の関与が調べられている。一方、Kirkの場合は単独犯のようだ。PayPalは人気がある分、セキュリティ強化努力を続けているものの、常にサイバー犯罪者のターゲットとなっている。

(バンクーバー新報 西川桂子)

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  2. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  3. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  4. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  5. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  6. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  7. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  8. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. KELA、生成 AI セキュリティソリューション「AiFort」提供開始

    KELA、生成 AI セキュリティソリューション「AiFort」提供開始

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP