サイバー犯罪におけるLinkedInデータの悪用
トレンドマイクロは、職業およびビジネス向けのネットワーキングプラットフォームであるLinkedInを調査し、サイバー犯罪者がユーザや企業をだます手口、及び、彼らの収益化のしくみを明らかにしました。
サイバー犯罪者にも魅力的に映るプラットフォーム
LinkedInは2022年11月時点で約8億7,500万人のユーザを持ち、職業関連の情報に特化した世界最大のプラットフォームです。この特性がサイバー犯罪者を引き付け、彼らは大量のデータを悪用して高度な攻撃を行います。AI生成の顔写真を使った偽プロフィールで信頼性を装い、ユーザや企業を標的にしています。
具体的な例として、Lazarusは2022年9月にLinkedInを使って暗号通貨業界のmacOSユーザを標的にし、Nobeliumは2021年にSafariのゼロデイ脆弱性を利用してLinkedInユーザにスピアフィッシング攻撃を行いました。これらの攻撃に成功すると、盗まれた認証情報はサイバー犯罪市場で売買されます。
LinkedInは2021年後半から偽アカウント対策を強化し、1,190万件の偽アカウントを削除、さらに440万件をユーザからの報告前に削除しました。2022年10月には新たなセキュリティ機能として、仕事用メールアドレスや電話番号の検証機能を追加しました。しかし、LinkedInの巨大な規模と特性から、完全に脅威を排除するのは困難であり、攻撃の被害は個人や企業の様々な側面に及びます。LinkedInのセキュリティチームは努力を続けていますが、ユーザ自身もセキュリティ意識を高める必要があります。
データが盗まれ悪用される仕組み
犯罪者は、ウェブ上でアクセス可能な情報をスクレイピングして悪意ある目的に利用します。これにより、高度な攻撃を構築するための大量の情報を手に入れます。ユーザがスクレイピングを防ぐのは難しいですが、公開内容を注意することで個人情報の悪用リスクを減らせます。機密データの窃取を目的とした攻撃によりプラットフォームが侵害されると、データが販売されたり、重要なアカウントへの攻撃に使用されたりします。最も一般的な方法はフィッシングで、被害者を偽のログインページに誘導し、正規の認証情報を取得します。LinkedInも他のソーシャルネットワーク同様、これらの攻撃の対象となり得ます。
犯罪者がデータを収益化するしくみ
LinkedIn を悪用する市場にはいくつかの種類があり、それぞれサイバー犯罪者の異なるニーズを対象としています。これらの市場では、データベース、新規または既存のアカウント、 そして LinkedIn Premium の機能さえも購入でき、また LinkedIn マーケティングスペシャリストなど、サイバー犯罪者の日々のニーズをサポートする役割に対する人材を見つけることもできます。さらに、つながりをすばやく増やす、つながりを購入する、またはプロフィールを強化する方法についての市場もアンダーグラウンドに存在しています。
被害に巻き込まれないためには
LinkedInは企業とユーザ双方にとって、職業認識を高め、ブランド力を維持するための優れたプラットフォームで、仕事や成果を共有しネットワークを構築する場を提供します。キャリアの可能性を探る人々にも新たな機会を提供しますが、他のソーシャルネットワーキングプラットフォーム同様、セキュリティ脅威から免れることはできません。膨大なデータと情報が価値を持ち、個人とビジネスの両方を対象とするLinkedInはセキュリティ面での過信を生み、攻撃者が標的を絞りやすい環境となっています。
LinkedInはセキュリティ対策としてブログで最新情報を提供し、一般的な攻撃について説明しています。偽プロフィールの利用停止率も向上しており、他のソーシャルネットワークサイトより信頼されています。LinkedInでのセキュリティ対策やベストプラクティスの多くは他のプラットフォームと共通しており、ユーザは自身のセキュリティ意識を高め、適切な対策を講じることが重要です。
ユーザが自分自身を守るために行えること
- ユーザプロフィールのサマリーセクションに、機密データや、メールアドレス、電話番号、住所などの PII を投稿しないようにする。
- 共有する前に、投稿の公開設定をカスタマイズする。フォロワー、つながり、およびつながり以外の人に表示される特定の投稿を選択して指定する。
- ユーザは会社のソーシャルメディアに関する方針および違反した場合に付随する結果について認識すること。たとえば法令遵守に関するガイドラインや制約事項に含まれるセキュリティに関する指示、および実施されているプライバシーとインシデント管理に関する計画など。
- インターネットで公開されても問題のない情報のみを共有する。
- 一般に公開される情報の量を制限するために、ユーザプロフィールやプライバシー設定をカスタマイズする。
組織およびユーザがリスクを軽減するために行えること
- ソーシャルメディアに関する明確な方針を確立・実施し、公開できる企業情報やデータを指定する。
- 役職によって異なる機密度の情報に対応したガイドラインを設定し、役職が高いほど厳しいガイドラインを適用。
- 方針は従業員、制限、データの分類、対象となる法的要件を明確に特定。
- 従業員にアカウント、プロフィール、コンプライアンス、検証、およびインシデント管理シナリオの実施を促す。
- 偽アカウントを発見した際の連絡先担当者を指定。
- 業務時間内や会社配布のノートPC・モバイルデバイス使用時のソーシャルメディア利用規約を作成。
- すべてのビジネスおよび個人アカウントに多要素認証(MFA)を適用。
- パスワード管理ソフトウェアを使用し、アカウントパスワードを保存。
- 同じパスワードを複数のWebサイトやアカウントで使用しないようにし、パスワード管理のベストプラクティスを実施。
詳細はレポート「成長し続ける宝の山:サイバー犯罪におけるLinkedIn データの悪用」を参照ください。
