息つく間もないスーパーボウル・サンデーが終わったばかりですが、今週の「Weirdo Wednesday」をお届けするのはあまり気が進みません。目に留まったのは2つの話で、どちらも一線を越え、オンラインで女性のプライバシーを侵害した男性が関わっています。
先週、イリノイ州オズウィーゴ在住の27歳、カイル・スヴァラは、米国各地の女性のSnapchatアカウントをハッキングしたことを認めました。2020年5月から2021年2月にかけて、スヴァラは571人の被害者からアカウントのセキュリティコードを入手し、少なくとも59件のアカウントで不正アクセスが確認されました。
Snapchatの強固な暗号化プロトコルを破ろうとするのではなく、スヴァラはソーシャルエンジニアリングでアカウント所有者本人を狙いました。
電話番号とメールアドレスを集めた後、彼はSnapchatの正規のログイン手続きを作動させ、6桁のセキュリティコードが被害者の端末に直接送られるようにしました。Snapchatサポートを装い、その後VoIPのテキスト送信サービスを使って4,500通以上の匿名メッセージを送り、コードはアカウントを「確認」または「保護」するために必要だと主張しました。
スヴァラが特に関心を示したのは、Snapchatの「My Eyes Only」機能でした。これは、ユーザーの最も機微なコンテンツを守るための、二次的な4桁のPINです。被害者に両方のコードを共有させることで、彼はコードを1行も触ることなく2層のセキュリティを回避しました。彼はヌード画像を含むプライベートな素材を持ち去りました。
スヴァラがこれをやったのは、自分の楽しみのためだけではありません。彼は雇われハッカーとして自らを売り込み、Redditのようなプラットフォームで宣伝し、金銭や物々交換と引き換えに特定のアカウントへのアクセスを提供していました。
他人にサービスを売ったことが、発覚のきっかけになりました。スヴァラは2021年初頭にハッキングをやめていましたが、法的な清算の日は、彼の顧客の一人が2024年に量刑を受けた後に訪れました。その顧客とは、ノースイースタン大学を含む複数の著名大学で働いていた元陸上競技コーチのスティーブ・ウェイセです。ウェイセは、指導する立場にあった学生アスリートを標的にするため、スヴァラに金を払っていました。
スヴァラはまた、地元のイリノイ州プレインフィールドの女性や、遠くはメイン州のコルビー大学の女性も狙いました。
彼はいま、身元盗用、通信詐欺、コンピュータ詐欺、そして児童性的虐待資料に関して法執行機関に虚偽の供述をしたことなどの罪に問われています。量刑は5月18日に予定されています。
Snapchatアカウントを守る方法
たとえ相手を知っていると思っていても、ログイン情報や秘密のコードを誰かに送ってはいけません。
これはパスキーについて話すのにも良いタイミングです。
パスキーを使えばパスワードなしでサインインできますが、多要素認証とは異なり、パスキーは暗号学的にあなたの端末に結び付けられており、ワンタイムコードのようにフィッシングされたり転送されたりすることはありません。Snapchatはこれをサポートしており、従来の多要素認証よりも強力な保護を提供します。従来の多要素認証は、巧妙なフィッシング攻撃に対してますます脆弱になっています。
スマートグラスを使う悪党
残念ながら、女性のSNSアカウントをハッキングしてプライベートなコンテンツを盗むことは新しい話ではありません。しかし捕食者は、スマート技術を悪用する方法を常に見つけます。AIで動く新世代の「スマートグラス」も、その例です。
今週、CNNは掲載しました。そこでは、見知らぬ相手と私的で、いちゃつくようなやり取りをしていると思っていた女性たちが、後になって男性がカメラ搭載のスマートグラスで自分たちを録画し、その映像をオンラインに投稿していたことに気づいた、という話が紹介されています。
こうしたクリップはしばしば「rizz」動画としてパッケージ化されます。「rizz」は「charisma(カリスマ)」の略で、いわゆる「manfluencer(男性インフルエンサー)」が、同意なしに公共の場で女性に声をかける様子を自撮りで撮影し、フォロワーを増やしたり「コーチング」サービスを売ったりするものです。
Metaのような企業が販売するこれらのメガネは、本来は同意を得たうえで録画に使うべきもので、録画中であることを示すライトが表示されることも多いです。しかし実際には、その表示は簡単に隠せます。
さらに、研究者が2024年に行ったように、人を特定するAIサービスと組み合わされると、その可能性はさらに背筋が寒くなるものになります。関連する事件が法廷に持ち込まれた例は把握していませんが、時間の問題だろうと考えています。
