- サイバー犯罪者が法執行機関になりすまし、テック企業をだましてユーザーデータを引き出している
- 手口には、タイプミスを悪用した警察メールアドレスや、BECで侵害された公式メールボックスの利用などが含まれる
- テック企業は現在、審査済みのデータ請求ポータルに依存し、不正な情報開示を減らそうとしている
ほとんどのデータ窃取はソフトウェアの脆弱性やフィッシングされたログイン認証情報を通じて発生しますが、ときには大手テクノロジー企業が、自社顧客の個人識別情報(PII)を法執行機関に自発的に提供することもあります。
もちろん彼らは、自分たちがデータを共有している「法執行機関」が、実際には個人情報窃取や詐欺スキームの材料を探しているサイバー犯罪者であることに気づいていません。
Wiredは、一部のサイバー犯罪者が、Appleのような大手テック企業が、特定の条件と特定のチャネルのもとで、法的に法執行機関へ一部データを提供する義務があるという事実を悪用していると報じています。
戦争に反対するGoogle従業員
警察が犯罪や国家安全保障に関わる事案を捜査する際、Apple、Google、Facebook、その他の企業に対し、特定の個人に関する保有情報の提供を求めることがあります。これらの企業は膨大なユーザーデータを保有し、しばしば完全な顧客プロフィールを持っているため、この種の情報は捜査において非常に貴重になり得ます。
別のケースでは、警察が差し迫った危害につながりかねない危機に対応する際、緊急データ開示要請を行うこともあります。
サイバー犯罪者はこのことを理解しており、データセットを入手しようと、さまざまな手段でこれらの企業を常に標的にしています。その一つがタイプスクワッティングです。公式の警察アドレスとほとんど同一に見えるウェブサイトやメールアドレスを作成し、1文字または1つの記号だけを変えるのです。
そして、正規の警察からの連絡とほとんど見分けがつかないよう綿密に作り込まれたメールを送り、受信者が違いに気づかず、情報を共有してしまうことを狙います。
彼らが用いるもう一つの手口がビジネスメール詐欺(BEC)です。まず関係する担当者や職員のメールボックスに侵入し、その正規メールアドレスを使って要請を送るのです。
この手法は実行のハードルこそ高いものの、要請の正当性が格段に高く見えるため、より効果的に機能します。
朗報としては、ほとんどの大手テック企業がデータ請求フォームを設けており、そこに寄せられる要請は慎重に審査・精査されているという点が挙げられます。
