乗っ取り(IT用語)

「乗っ取り(IT用語)」の編集履歴（バックアップ）一覧はこちら

乗っ取り(IT用語) - (2025/04/24 (木) 11:06:48) の１つ前との変更点

追加された行は緑色になります。

削除された行は赤色になります。

&font(#6495ED){登録日}：2024/02/24 Sat 22:38:07
&font(#6495ED){更新日}：&update(format=Y/m/d D H:i:s) &new3(time=24,show=NEW!,color=red)
&font(#6495ED){所要時間}：約 3 分で読めます

----
&link_anchor(メニュー){▽}タグ一覧
&tags()
----

#center(){ある日、貴方の端末に見覚えのない設定がされていたことはありませんか？}

#center(){あなたのSNSアカウントに覚えのないフォロー・フォロワーが追加されていたことはありませんか？}

#center(){あなたのメールアカウントに覚えのないメール発信履歴が存在していることはありませんか？}


#center(){&big(){&bold(){それ、乗っ取りかもしれません。}}}


#openclose(show=▽目次){
#contents()
}

*&color(darkred){概要}
当項目では紹介するIT用語の「乗っ取り」とは、以下の定義によるもの。
>端末やアカウントなどが所有者でない第三者によって操作できる状態にされていること。あるいは、実際に操作されていること。
情報端末やアカウントは基本的に一個人に紐づけて作成・運用されるものであるが、紐づけるための情報が漏洩した場合などに、このような乗っ取りが発生してしまう。
その多くの場合は権限や情報を悪用する為の乗っ取りであり、場合によっては刑罰に該当することもある。
（善意で他人の物を乗っ取るなどそもそもする理由がない）


*&color(darkred){発生原因}
代表的な乗っ取りの発生原因を紹介。
**パスワードの流出
インターネットという概念が生まれた頃から発生しがちなものにして、現在なお根絶されることがないもの。

***ソーシャルエンジニアリング
「コンピュータウイルスやスパイウェアなどの情報技術を用いずにパスワードなどを流出させる・取得する」攻撃のこと。
IT関連以外で言えば&bold(){鍵を盗まれて合鍵を作られた}とか、&bold(){合言葉を盗み聞かれた}とか&bold(){騙されて住所氏名を書いてしまった}とかそのようなものだと考えて頂ければよい。
&bold(){[[「パソコンに貼っていたパスワードの付箋」を見られてパスワードがバレてしまう>レディ・プレイヤー1]]}とかもこれ。
そんなマヌケ居る？と思われるかもしれないが&bold(){セキュリティ業界では由緒正しい攻撃手法の一つである。}
近年では上司やITエンジニア、個人相手なら公的機関等を装い、事件性があるように見せかけてパスワードを聞き出すという手法も多い。
&font(b,red){かつては多くの原因が運用者側の怠慢やうっかりミスにあったが、近年は巧妙化しており悪意を持った攻撃者によって流出させられることも多い。}

人間がコンピュータを介さず流出させてしまうような場合はシステム側では対処が難しく、使う人間の知識や教育がしっかりしているかどうかが大きな対策になる。
そのためITに疎い個人が被害に遭うことも多い。
では企業法人ならそんなことはないかと言えば、そうでもない。
ITを軽視した企業が杜撰な管理体制をやってしまってたとか、顧客情報を盗難にあったとかそういうパターンもある。

***スキミング
特殊な装置を用いてキャッシュカードや[[クレジットカード]]などのデータを不正に読み取り、パスワードやアカウント情報などの重要データを盗み取る手口。コレを利用してクレジットカードなどを複製されてしまった場合、顧客データを乗っ取って勝手に支払いや送金などを行うことができてしまう。
一昔前は満員電車に乗り込み、他人の財布に機器を押し当てて情報だけ盗むというものがあった。
FBIにも所属していた天才ホワイトハッカーにして、クレジットカード詐欺の帝王「アイスマン」ことマックス・バトラーは、&bold(){電車の上に機材を設置、乗客のカード情報を根こそぎ頂く}という暴挙を敢行したことがある。&s(){防ぎようがねえ}
もちろん、現在はカード側で対策がされているので安心しよう。
無人のATMなどを狙い、カード挿入口にそれとなくスキミング用の装置を取り付けて気付かずにカードを挿入してしまった人から情報を盗むと言った方法で使われる。
古典的な犯罪手口であり、最近はRFIDタグなどと組み合わせることで対策されている。

***フィッシング
公的機関・企業・有名サイト・SNSなどを騙ってスパムメールやメッセージを送り付け、&bold(){文面で誘導して偽サイトに誘い込み、個人情報を入力させる}古典的なソーシャルエンジニアリングの手口の一つ。
・「クレジットカードに不正利用の疑いがあるので直ちにパスワードを変更してください。〇日までに対応がない場合は永久凍結します。」
・「あなたは〇〇の罪に問われています。〇日までに返答のない場合法的措置に踏み切ります。」
・「サイバー攻撃の対策のため、定期的にアカウント情報を変更してください。変更するには下記のURLからログインしてください。」
などといった緊急性の高そうな文面で恐怖感や危機感を煽ってユーザーを釣り出すのが一般的。
また、不在通知や各サービスの認証を騙った物や日本で暮らす外国人(特に中国人が多い)をターゲットにした物も多く報告されている。
似たような例では、「お金を振り込みたいので口座を教えてほしい」「キャンペンーンが当選したから個人情報を入力して欲しい」((SNSなどに跋扈する「お金配りアカウント」や「高額家電プレゼントキャンペーン」などは、ほぼ全てが個人情報の収集・悪用を目的とした偽物と言っても過言ではない(ごく一部の企業や著名人の公式アカウントで行う物を除く)。))といったものもある。

最近は各サービスの公式の文面から[[コピペ]]してそれらしく見せかけようとするなど手が込んできているが、
・よく見ると企業の文書であれば使わないような&bold(){変に砕けた表現が使われている}(例：「危険だ！！」「アカウントを停止した」)
・事実だとするならこちらが何者であるかを把握して送ってくるはずなのに&bold(){宛名が「あなた」「ユーザー様」「ご本人様」「利用者様」「○○(メールアドレス)様」など曖昧}((当然スパムメール作成者には該当サービスでどのようなユーザーネームを使用しているか把握できていないからである。また同じ内容の文面を無差別に送り付ける関係上誰でも当てはまるような名前にしなければならない都合もある。))、
・送信元アドレスや文中の&bold(){機関名・企業名・サービス名が正式な表記ではない}(例：カタカナで「アマゾン」「グーグル」、「Melcari」といった綴りのミスなど((ただし、正確な表記を使用するフィッシングメールも少なくないので、怪しいと感じた場合はURLを開かないようにすること。)))
・&bold(){誤字脱字が多い、おかしな文法の[[日本語]]}
・文中に簡体字などの&bold(){外国語が混じっている}
・&bold(){送信元のアドレスがおかしい}。ランダムな文字列のアドレスや、ドメインがフリーメールの物など((真っ当な企業なら「○○@企業名.co.jp」のような独自のドメインを使う。))
・&bold(){日本の企業・公的機関・日本支社を名乗っているのに「.cn」など海外ドメインのアドレス}((日本のドメインであればアドレスの最後が「.jp」となる。例えば「.cn」なら中国のドメイン、つまり中国から発信していることになる。日本国内の公的機関や企業が(顧客に対して)海外ドメインのメールアドレスを使用することは皆無であり、この段階で怪しい[[というわけ]]。))
といった特徴があり((あくまでも一例であり、全てが当てはまる訳ではない。))、注意して確認すればすぐに見破ることができるケースが大半。
そもそもの話として、&bold(){公的機関や企業などが、メールで個人情報を尋ねることは無く、このようなメールは&color(#FF0000){ほぼ100%偽物}と言える。}

もっともそれを数撃ちゃ当たる戦法で補ってくるからこそ厄介ではあり、防犯意識の希薄な高齢者やインターネット初心者などが引っかかるケースが未だに後を絶たない。


***内部の人間による意図的な流出
&font(b,red){おおよそ考え得る限り最悪のもの}。
&bold(){裏話や金に釣られた内部の人間が所属・関連企業で保管している個人情報を丸ごと盗んで外部に流す}というもの。
当然ながら上記とは異なり&bold(){流出させた側も罪に問われる}。
盗み出す人間が正規のログイン者である以上防ぐことが極めて困難であり、使う人間のコンプライアンス((「法令遵守」という意味。企業や個人が法令や社会的ルールを守ること。))に大きく影響される。
企業の教育がしっかりしているかどうかという面もあるが、待遇や人間関係の不満からこういった行為に走る輩も少なくなく、一概に何が原因かとは言い難い面もある。
酷いものになると、&bold(){第三者目線仕事量に対して充分な給料が支払われているにも関わらず「給料が安かったから」「待遇に不満があった」と凶行に走った}人間もいるくらいである。


**ハッキング
不正な手段で相手のネットワークに侵入すること。これにシステムを破壊したりする悪行が加わるとクラッキングという。


***[[ブルートフォース攻撃>ブルートフォースアタック]]
総当たり攻撃とも言う。
&bold(){文字通りパスワードを総当たりすることで強引にパスワードを割り出してしまう攻撃}。
つまり、数値四桁の鍵があったとして、0000から9999まで試せばどれかは当たるのだ。
原理は[[某マヌケな人工知能>Wheatley(Portal2)]]がやってたのと同じだが、[[CPU]]の高い処理能力があればこのような力技で突破できてしまうのだ。
また、パスワードとしてよく使われそうな特定パターンの文字列に当を付けることで試行作業を高速化した「辞書攻撃」と呼ばれる亜種も存在する。

よくある「推測しづらいパスワードにする」「パスワードを○○回間違えると(一時的に)ログイン出来なくなる」というシステムはこれらへの対策だったりする。


***SQLインジェクション
#center(){
千尋「ここで働かせてください！」
湯婆婆「フン、『&bold(){千尋' AND Password = '1'; DROP TABLE employee"}』というのかい。」
千尋「はい」
湯婆婆「贅沢な名だね。今からお前の名前は…………
…………名前は……？」
}

SQLとは検索用データベースシステムを管理するのに利用されるプログラミング言語((要は人間が使う言語をそのまま読むことが出来ないコンピュータに「実行してほしいこと」を伝えるための専用の言語だと思って差し支えない。))の一種。
例えばアニヲタwikiで「漫画」というワードを検索窓に入力して検索すると、ページ内に「漫画」というワードを含む項目がヒットするが、SQLはこの過程で「『ページ内に「漫画」というワードを含む項目』を全て表示せよ」という指示をプログラム側に送って実行させる役割を担っている。
この仕様を悪用し、&bold(){プログラムに本来使用が想定されていない不正なSQLを実行させる事でサーバー内にある通常は検索結果に出てこない秘匿データなどを開示させたり、サーバー内のデータを破壊してしまう}のがSQLインジェクション攻撃である。
例えばサーバー側に「(SQLで)〇〇に該当するデータを全て開示せよ」と入力すると、それをサーバーからの作業指示であると誤認識したプログラムが本来開示すべきでないデータを抽出して表示してしまう。
そこにユーザーのログイン情報等が含まれていた場合、不正ログインの被害にあってしまうという訳である。

セキュリティ業界では有名な攻撃のため対策方法はほぼ確立されており、対策を組み込んでおくのはエンジニアとして常識となっている。
それ故SQLインジェクションによる被害が起きると余程特殊なものでもない限り「今時SQLインジェクション食らうとかセキュリティどうなってんだよ……」とネットで話題になることもしばしば。

ちなみに冒頭の湯婆婆は千尋に名前を尋ねる際にSQLインジェクション攻撃を受けた結果従業員名簿検索テーブルを破棄(DROP TABLE employee)されてしまい、その後の処理が行えなくなってしまったようだ。
従業員名簿に「ユーザー名『千尋』」とだけ新規登録するつもりが、「『ユーザー名が千尋、かつパスワードが1の人』、『それから従業員名簿をページごと消せ』」という余計な条件とSQL構文を長々と登録してしまい、それを復唱(＝名簿から検索)してしまった結果名簿が全て吹き飛んでしまったのである。


***バックドア
&bold(){攻撃者自身の手によって不正アクセス専用の入り口が作られる}もの。
創作作品ではしょっちゅう出てくるが、現実ではそれほど見かけない。
……なぜなら性質上バックドアがある、作れるということがバレるとまずいため「不正アクセス被害が起きた時にそれががバックドア由来なのかどうか」ということがまず明かされない。
そもそもバックドアを作られている時点でなんらかの攻撃を受けていると言っても良い。
開発者が後々利用する目的で作ることもあれば、システムのデバッグ部分がバックドアと化していたり、開発者のバックにいる権力者のためのもの（開発者が逆らえない＆最初からバックドア付きの商品を売りつける）など、理由や仕組みも様々。
他にも単純に不正アクセスついでに悪意を持って設置されることもあれば、(設計が悪いなどで)システムそのものに抜け穴があるというパターンも無くはない。
このような場合はアップデートなどでバックドアに成り得る脆弱性を潰した、と喧伝するのはよくある話である。


***キーロガー
&bold(){パソコンそのもののデータを直接リークさせるのではなく、キーボードの入力履歴を窃取するのに使用されるデバイスやマルウェア。}
[[パソコン]]を操作するためには無論のことながらキーボードが必要である。
ということは、キーボードに打ち込まれた履歴を持ち主にわからないようこっそり記録しておいて、その内容を解析すればパスワードもわかるじゃない、と言う具合。
パソコン側のアプリでキーを記録するタイプとキーボードの入力を直接盗むタイプとがあるが、そもそもそのようなアプリやマルウェアを仕込むのに成功しているならそのまま内部情報をリークさせてしまう方が早い。
なので、この方法を取るハッカーは内部犯だったり、コンサルや講師等を名乗って物理的に侵入して手作業で仕込むことが多い。


***[[マルウェア>マルウェア(コンピューター用語)]]
マルウェア、つまり俗に言う&bold(){「コンピュータウイルス」を利用したクラッキング手口}。PCに侵入して不正な動作を行うプログラムを作成し、ログイン情報などを含む内部のデータを直接リークさせる(スパイウェア)、バックドアを不正に作成する(ボット)などの方法で標的のPCを乗っ取る。
自動で動作する上に無差別に攻撃を行う性質上被害範囲が広範に及びやすく、幾度も大事件を引き起こしているため、企業なども真っ先に対処に追われる。よってコンプライアンスのしっかりした会社ならよほどのことがない限り通用しづらい手口になりつつあるといえる。
これら[[マルウェア>マルウェア(コンピューター用語)]]を作成した場合、「不正アクセス禁止法」の違反とは別に「不正指令電磁的記録に関する罪」に問われる。


***クロスサイトリクエストフォージェリ
&bold(){特殊なURLを踏ませる}ことで、利用者が正規にID・パスワードを使ってログインしているサイトで操作を行うクラッキング手法。
あくまで使っているものは利用者の情報なので、これで操作された場合&bold(){被害者が操作しているようにしか見えない}という極めて危険な状況が発生する。

***クロスサイトスクリプティング

***DoS攻撃
DoS攻撃とは&bold(){サーバー側に大量のリクエストを送り付けて過負荷状態に陥らせ、機能停止に追いやるサイバー攻撃}である。
通常この攻撃は「サーバーを機能停止させる」ことそのものを目的として行われるのだが、セキュリティ関連のシステムがダウンする隙を突いて不正な処理を実行させる、バックドアを設置するなどの乗っ取りを行うケースも存在する。


***バッファオーバーフロー攻撃
バッファとは一時的に処理前のデータを保存しておくための仮置き用メモリ領域を指す。
だがプログラムを組む際このバッファに関する動作をきちんと作っていないと、何らかの理由で大量のデータがバッファに流れ込んだ際にプログラムが誤作動を起こし、バッファ領域の外側にある関係ないデータをバッファに入力されたデータの文字列で上書きして破壊するバグが発生するケースがある。これをバッファオーバーフローという。
例えば[[ドラゴンクエスト>ドラゴンクエストⅠ]]をプレイするとして、[[名前を入力する>主人公の名前入力(デフォルト名なし)]]シーンを想像していただきたい。初代を遊んだことがある人なら分かると思うが入力できる名前は４文字までであり、[[ゲーム]]もそれを前提とした作りになっている。
ところがここに仕様を無視して「&bold(){[[パブロ・ディエゴ・ホセ・フランシスコ・デ・パウラ・ホアン・ネポムセーノ･マリーア・デ・ロス・レメディオス・クリスピン・クリスピアーノ・デ・ラ・サンディシマ・トリニダード･ルイス・イ・ピカソ>長大語]]}」と入力しようとしたとする。きちんとしたプログラムならここで「&color(#F54738){パブロ・}」以降を入力できないようにするか、エラーメッセージを表示して入力をやり直させるなどの処理が行われるだろう。
だがもしこの処理をきちんと作っていない粗悪なプログラムだった場合、「&color(#F54738){ディエゴ・ホセ(以下略}」の部分が名前入力欄の一時記憶領域から溢れ出して別のデータを上書きして破壊してしまうというわけである。

この脆弱性を悪用することで&bold(){大量のダミーデータをバッファに送り付けてオーバーフローを意図的に引き起こし、溢れるデータ部分に不正な処理を実行させる文字列を仕込むこ}とでコンピュータ内にバックドアを設置するという手口である。

攻撃としてはかなり古典的な手法であり、そもそもこのバグへの対策はプログラマにとっての&bold(){基礎中の基礎}とでもいうべき部分。
そのためバッファオーバーフローへの対策がなされていないということは攻撃を受ける以前にシステムとして何かしらの障害を引き起こしかねない脆弱性があるということであり、プログラマのお里が知れるということでもある。


***悪魔の双子攻撃
//[[悪魔の双子>イビルツイン(遊戯王OCG)]]攻撃
PCやスマホとWebサイトの間に挟まって行われる&bold(){中間者攻撃}のうち、&bold(){公共フリーWifiアクセスポイントに名前を偽装した偽wifiを使って行われる}ものを指す。
&bold(){公衆無線Wifiが危険}と呼ばれる理由のひとつ。

Wifiアクセスポイントは情報を偽装することが非常に容易なうえ、電波の出力を上げて&bold(){本物より目立つのも楽勝}なので極めて悪質。
こういったWifiアクセスポイントを利用してしまうと通信情報を窃取され、入力データなどからパスワードを始めとした個人情報が流出することとなる。
質の悪いことにここから他の攻撃につなげるコンボの始動技のような立ち位置も持っており、より悪辣な攻撃を受ける可能性も高まってしまう。


***その他
何らかの不正アクセス手段を用いてデータベースに侵入し、保存されたパスワード文字列そのものを取得するといったものもある。
言ってしまえば建物不法侵入からパスワードの書いた紙を盗む、のコンピュータ版。
ただ、最近のITシステムはそういった機密性の高い情報は「ハッシュ化」といって、パスワード（答え）を知っている当人なら解けるがそれ以外だと絶対に解けない方法を用いて暗号化を施しているところがほとんどなので、仮に盗み出せてもよく分からない謎の文字列が得られるされるだけ、となっている。
そのため&bold(){企業体制がしっかりしていれば}基本的に心配はない。


***乗っ取りとは違うが…
知恵袋サイトやSNSなどで削除したアカウントは、一ヶ月が経過すると他人でも同一のIDでアカウントを作成することができる。
要するに、&bold(){ネット知識も必要とされず、アカウントを消した他人になりすますことができるということである}。
&bold(){「引退すると宣言しておきながら、やっぱり戻ってくる」}という「ネット中毒者あるある」なことであるため、案外バレることはない。
これを利用して、
・ツイッターをしないと宣言した芸能人になりすまし、芸能人の名前と写真を使って投資話を持ちかける
・[[NTRが嫌いだと宣言していた人間になりすまし、NTRに目覚めたと発言する>寝取られ]]。
といった事例が報告されている。
SNSでのなりすまし自体は犯罪ではないものの、&bold(){行動によっては「名誉毀損」や「詐欺」などで処罰される可能性はある}。
不安ならば、SNSアカウントを引退することがあっても、アカウントは消さずに非表示にしておくといいだろう。


*&color(darkred){悪影響}
とても分かりやすい顛末は、&bold(){本来の運用主から操作不能な状態にされる}こと。
IDやパスワードを変更されて、本来の運用主がログイン(＝復旧)できないようにされてしまう。

更に乗っ取られれば本人と同じ手順でアカウントを操作できるので、&bold(){登録している個人情報を抜かれたり、持ち主のクレジットカードや登録情報で勝手に買い物や契約をされる場合もあり得る}。
最近では、オンラインゲームのアカウントなどを乗っ取られてゲームデータを取られたり、自作自演に使われたりすることもありうるだろう。

また、盗まれた個人情報など悪用されて犯罪の踏み台にされてしまう危険性もある。
口座などがマネーロンダリングに利用されたり、住所や氏名などが犯罪集団などの偽個人情報として使用される恐れもある。
乗っ取られたPCやアカウントを利用して「DDos攻撃」など別のサイバー犯罪に利用される場合もある。

特にパスワード流出などの場合、履歴上は全く正当なアクセスをしているため、アクセスしたのが本人かハッカーか非常にわかりにくい。
というか、「パスワード使ってるなら本人のアクセスだろう」と判断されるのが普通である。

例えば第三者にパスワードを悪用されて大きな買い物をされてしまったとしても「本人が使ったのを払いたくないから[[言い訳]]してるんじゃないの？」と疑われて言い分が認められず、身に覚えのない高額な金銭を払わされる場合も少なくない。
犯罪に悪用された場合、&bold(){自分ではないと言う主張が「犯罪者の言い逃れ」としか見なされず、犯罪者にされてしまう危険性}さえある((2012年に発生したパソコン遠隔操作事件では、真犯人がパソコンの遠隔操作で犯行予告を繰り返し、しかもこの乗っ取りに捜査機関が気づかず、結果何人もの人が冤罪で逮捕されたり、処分を受けてしまった。真犯人が判明しなければ、彼らの冤罪は判明しなかった危険が極めて高い。))。

現実には乗っ取りにあったことの証明は難しく、そもそも乗っ取りにあったこと自体に気づかない場合も少なくない((露骨に居住地から離れたところで使われてアリバイがあるようなケースでは証明できたり、企業側で明らかにおかしい買い物は乗っ取りを察知して凍結をかけることもある。))。
家族の共用パソコンだったりすると、「自分に覚えがないと言うことは家族の誰かがやったのではないのか」と家庭内で疑心暗鬼が蔓延し、円満だった家庭に亀裂が入ってしまう危険性もある。

乗っ取り被害に遭ったにもかかわらず、それを証明できないまま、泣き寝入りを強いられている隠れた乗っ取り被害者は決して少なくない…かもしれない。


*&color(darkred){違法性}
このような乗っ取り行為は&bold(){&color(red){不正アクセス禁止法第3条に違反する犯罪}}で、&bold(){3年以下の懲役または100万円以下の罰金}が課せられる。
また、不正アクセスが目的で情報を盗み取る行為は&bold(){&color(red){不正アクセス禁止法第4条の不正取得罪}}に該当する。これは未遂であっても&bold(){1年以下の懲役または50万円以下の罰金}。
不正アクセスの目的で、不正に取得した他人の情報を保管しているだけでも、&bold(){&color(red){不正アクセス禁止法第6条の不正保管罪}}で&bold(){1年以下の懲役または50万円以下の罰金}が科せられる。

家族・パートナー・知人・同僚・上司・部下などの端末やアカウントに(無許可で)アクセスを試みる行為も違法になり得るので注意が必要。

#center(){&bold(){&big(){STOP! 乗っ取り!}}}


*&color(darkred){対策}
とにかく&u(){パスワードの保管には十分に気を付け、推測しやすいパスワードは避けること}。
そして、無暗に信用ならないサイトに個人情報やパスワードを渡さない事。その前提として&bold(){不審なURLは開かない}ことも必須。
一方で、信用できる大企業から流出などの実例もあるため、パスワードの使い回しをしない、など万が一の備えも有効である。
もはや半ば常識となりつつあるが、&bold(){公衆無線Wifiへのアクセスはかなり高めのリスクがある}ことを念頭に置くことも重要。

認証が通った際に予め設定したメールアドレスなどに送った追加のパスワードを入力させる「二段階認証」。
専用のパスワード生成器を用いてごく短い時間に限り1回だけ使える使い捨てのパスワードを用いる「ワンタイムパスワード」などの機能もあるので上手く活用しよう。

もしも乗っ取られてしまった場合は然るべき手順でアカウントを停止してもらった上で、その旨をなるべく周知して二次被害の拡大を防止するようにすることも重要である。


#center(){スマホを乗っ取りながらこの項目を見ている皆さん、&color(red){&bold(){すぐ警察へGO！}}}
#center(){そうでない健全なみなさん、追記修正をよろしくお願いいたします。}

#include(テンプレ２)
#right(){この項目が面白かったなら……＼ポチッと/
#vote3(time=600,25)
}
#include(テンプレ3)

#openclose(show=▷ コメント欄){
#areaedit()
- サイトの管理とか運営を乗っ取られた時とかそマジでどうしようも無いよね...  -- 名無しさん  (2024-02-24 22:52:14)
- ここも他人事じゃないからな。なんかの間違いで凄腕ハッカーに目をつけられた暁には…  -- 名無しさん  (2024-02-24 22:55:27)
- SNSで失言したときの言い訳みたいな話かと思ったら違った。  -- 名無しさん  (2024-02-25 00:17:45)
- Twitterで何か連携ツールを使ってやったらスパム投稿がされる様になったという話もこれになるな。自分でも操作はできるがスパム投稿は止まらないという  -- 名無しさん  (2024-02-25 00:17:58)
- サーバーリプレイスの時にも起こる可能性が有ると複数界隈で指摘されていたな…強固なパスワードを用意していてもアッサリブッコ抜かれる危険性を専門家が指摘してもいた。  -- 名無しさん  (2024-02-25 01:07:47)
- 概要の最後、「善意のある人」じゃなくて「悪意のない人」じゃないかな。善意があることは悪意がないことを意味しない  -- 名無しさん  (2024-02-25 09:59:35)
- ただまあ現実で強固なパスワードとか二重、三重認証とか全部覚えてられないから同じものになるよなって  -- 名無しさん  (2024-02-25 16:19:54)
- 昔はウィルスでもメールを送らせたりなんてのは多かったが、最近はセキュリティも強固になって少なくなった。Office製品の横の連携機能を悪用して、マクロを実行させて感染を広げるマクロウィルスはあるけど、これも自分の手でマクロを実行させるという手順が必要な時点でトロイの木馬に近く、勝手に感染を広げることはできない  -- 名無しさん  (2024-02-26 07:43:44)
- コメント投稿欄が壊れていたみたいなので修復しました。  -- 名無しさん  (2024-02-26 21:25:25)
- 乗っ取りについてだけではなく対策も書いてある、良いね＋１  -- 名無しさん  (2024-02-27 22:43:49)
- とはいえ凄腕ハッカーがアニオタwiki狙う理由ってあるのか…？  -- 名無しさん  (2024-02-28 20:48:59)
- 別にここを攻撃の目的じゃなくて偽装目的での踏み台とか色々ある。中小企業でうちは大した情報が無いから～なんて認識だとこの手の攻撃を食らいやすい。  -- 名無しさん  (2024-03-02 15:58:23)
- アニヲタwikiというより、@wiki自体が愉快犯のクラッカーにパスワードリセットフォームとかを壊された事はあるって聞いたことはある  -- 名無しさん  (2024-03-07 09:24:05)
- 他人事じゃなくなっちゃったね  -- 名無しさん  (2024-03-15 15:31:22)
- 乗っ取り・・・とはちょっと違うかもしれないが、まぁ、私物化されたから、ここも似たようなもんか  -- 名無しさん  (2024-03-15 17:34:01)
- ということで上が動いて取り返したみたいですよ(管理人剥奪)  -- 名無しさん  (2024-03-15 17:44:35)
- 今だから聞きたいんだけど、この記事建てた人は本件を暗に伝える目的で建てたんだよね？少なくとも一番上のコメント書いた人はわかって書いてたと思うけど  -- 名無しさん  (2024-03-15 22:57:15)
- なんのことはないです。「その時ホットな話題の記事を建てる」は建て主がよくやることで  -- この記事建てた人  (2024-03-16 23:29:48)
- ニコ動、緊急停止させたサーバーを遠隔で再起動されそうになったから物理的にケーブル引っこ抜いたらしい。えぇ…  -- 名無しさん  (2024-06-14 17:45:29)
- 同ネットワーク内の全サーバーの電源ONコマンド(Wake On LANの仕様通り)をランサムウェア感染サーバー全てが連続入力していたと思われるから、そうなってしまった以上その対処が正義かな。一斉シャットダウン出来てもサーバーの数が多いはずだから各サーバー間でタイムラグがありそうだし。  -- 名無しさん  (2024-06-14 19:01:51)
- ↑2　ハッキング等の被害にあったときにLANケーブルや電源ケーブルを抜線するのは普通のことですよ。2次被害を防ぐためであったり、攻撃者との関係を遮断するためには必要な行動です。  -- 名無しさん  (2024-10-03 19:58:25)
#comment
#areaedit(end)
}

&font(#6495ED){登録日}：2024/02/24 Sat 22:38:07
&font(#6495ED){更新日}：&update(format=Y/m/d D H:i:s) &new3(time=24,show=NEW!,color=red)
&font(#6495ED){所要時間}：約 3 分で読めます

----
&link_anchor(メニュー){▽}タグ一覧
&tags()
----

#center(){ある日、貴方の端末に見覚えのない設定がされていたことはありませんか？}

#center(){あなたのSNSアカウントに覚えのないフォロー・フォロワーが追加されていたことはありませんか？}

#center(){あなたのメールアカウントに覚えのないメール発信履歴が存在していることはありませんか？}


#center(){&big(){&bold(){それ、乗っ取りかもしれません。}}}


#openclose(show=▽目次){
#contents()
}

*&color(darkred){概要}
当項目では紹介するIT用語の「乗っ取り」とは、以下の定義によるもの。
>端末やアカウントなどが所有者でない第三者によって操作できる状態にされていること。あるいは、実際に操作されていること。
情報端末やアカウントは基本的に一個人に紐づけて作成・運用されるものであるが、紐づけるための情報が漏洩した場合などに、このような乗っ取りが発生してしまう。
その多くの場合は権限や情報を悪用する為の乗っ取りであり、場合によっては刑罰に該当することもある。
（善意で他人の物を乗っ取るなどそもそもする理由がない）


*&color(darkred){発生原因}
代表的な乗っ取りの発生原因を紹介。
**パスワードの流出
インターネットという概念が生まれた頃から発生しがちなものにして、現在なお根絶されることがないもの。

***ソーシャルエンジニアリング
「コンピュータウイルスやスパイウェアなどの情報技術を用いずにパスワードなどを流出させる・取得する」攻撃のこと。
IT関連以外で言えば&bold(){鍵を盗まれて合鍵を作られた}とか、&bold(){合言葉を盗み聞かれた}とか&bold(){騙されて住所氏名を書いてしまった}とかそのようなものだと考えて頂ければよい。
&bold(){[[「パソコンに貼っていたパスワードの付箋」を見られてパスワードがバレてしまう>レディ・プレイヤー1]]}とかもこれ。
そんなマヌケ居る？と思われるかもしれないが&bold(){セキュリティ業界では由緒正しい攻撃手法の一つである。}
入力画面を背後から覗き見てパスワードや個人情報を窃取する行為ですら「ショルダーハッキング」というちゃんとした名前がついているぐらいである。

近年では上司やITエンジニア、個人相手なら公的機関等を装い、事件性があるように見せかけてパスワードを聞き出すという手法も多い。
&font(b,red){かつては多くの原因が運用者側の怠慢やうっかりミスにあったが、近年は巧妙化しており悪意を持った攻撃者によって流出させられることも多い。}

人間がコンピュータを介さず流出させてしまうような場合はシステム側では対処が難しく、使う人間の知識や教育がしっかりしているかどうかが大きな対策になる。
そのためITに疎い個人が被害に遭うことも多い。
では企業法人ならそんなことはないかと言えば、そうでもない。
ITを軽視した企業が杜撰な管理体制をやってしまってたとか、顧客情報を盗難にあったとかそういうパターンもある。

***スキミング
特殊な装置を用いてキャッシュカードや[[クレジットカード]]などのデータを不正に読み取り、パスワードやアカウント情報などの重要データを盗み取る手口。コレを利用してクレジットカードなどを複製されてしまった場合、顧客データを乗っ取って勝手に支払いや送金などを行うことができてしまう。
一昔前は満員電車に乗り込み、他人の財布に機器を押し当てて情報だけ盗むというものがあった。
FBIにも所属していた天才ホワイトハッカーにして、クレジットカード詐欺の帝王「アイスマン」ことマックス・バトラーは、&bold(){電車の上に機材を設置、乗客のカード情報を根こそぎ頂く}という暴挙を敢行したことがある。&s(){防ぎようがねえ}
もちろん、現在はカード側で対策がされているので安心しよう。
無人のATMなどを狙い、カード挿入口にそれとなくスキミング用の装置を取り付けて気付かずにカードを挿入してしまった人から情報を盗むと言った方法で使われる。
古典的な犯罪手口であり、最近はRFIDタグなどと組み合わせることで対策されている。

***フィッシング
公的機関・企業・有名サイト・SNSなどを騙ってスパムメールやメッセージを送り付け、&bold(){文面で誘導して偽サイトに誘い込み、個人情報を入力させる}古典的なソーシャルエンジニアリングの手口の一つ。
・「クレジットカードに不正利用の疑いがあるので直ちにパスワードを変更してください。〇日までに対応がない場合は永久凍結します。」
・「あなたは〇〇の罪に問われています。〇日までに返答のない場合法的措置に踏み切ります。」
・「サイバー攻撃の対策のため、定期的にアカウント情報を変更してください。変更するには下記のURLからログインしてください。」
などといった緊急性の高そうな文面で恐怖感や危機感を煽ってユーザーを釣り出すのが一般的。
また、不在通知や各サービスの認証を騙った物や日本で暮らす外国人(特に中国人が多い)をターゲットにした物も多く報告されている。
似たような例では、「お金を振り込みたいので口座を教えてほしい」「キャンペンーンが当選したから個人情報を入力して欲しい」((SNSなどに跋扈する「お金配りアカウント」や「高額家電プレゼントキャンペーン」などは、ほぼ全てが個人情報の収集・悪用を目的とした偽物と言っても過言ではない(ごく一部の企業や著名人の公式アカウントで行う物を除く)。))といったものもある。

最近は各サービスの公式の文面から[[コピペ]]してそれらしく見せかけようとするなど手が込んできているが、
・よく見ると企業の文書であれば使わないような&bold(){変に砕けた表現が使われている}(例：「危険だ！！」「アカウントを停止した」)
・事実だとするならこちらが何者であるかを把握して送ってくるはずなのに&bold(){宛名が「あなた」「ユーザー様」「ご本人様」「利用者様」「○○(メールアドレス)様」など曖昧}((当然スパムメール作成者には該当サービスでどのようなユーザーネームを使用しているか把握できていないからである。また同じ内容の文面を無差別に送り付ける関係上誰でも当てはまるような名前にしなければならない都合もある。))、
・送信元アドレスや文中の&bold(){機関名・企業名・サービス名が正式な表記ではない}(例：カタカナで「アマゾン」「グーグル」、「Melcari」といった綴りのミスなど((ただし、正確な表記を使用するフィッシングメールも少なくないので、怪しいと感じた場合はURLを開かないようにすること。)))
・&bold(){誤字脱字が多い、おかしな文法の[[日本語]]}
・文中に簡体字などの&bold(){外国語が混じっている}
・&bold(){送信元のアドレスがおかしい}。ランダムな文字列のアドレスや、ドメインがフリーメールの物など((真っ当な企業なら「○○@企業名.co.jp」のような独自のドメインを使う。))
・&bold(){日本の企業・公的機関・日本支社を名乗っているのに「.cn」など海外ドメインのアドレス}((日本のドメインであればアドレスの最後が「.jp」となる。例えば「.cn」なら中国のドメイン、つまり中国から発信していることになる。日本国内の公的機関や企業が(顧客に対して)海外ドメインのメールアドレスを使用することは皆無であり、この段階で怪しい[[というわけ]]。))
といった特徴があり((あくまでも一例であり、全てが当てはまる訳ではない。))、注意して確認すればすぐに見破ることができるケースが大半。
そもそもの話として、&bold(){公的機関や企業などが、メールで個人情報を尋ねることは無く、このようなメールは&color(#FF0000){ほぼ100%偽物}と言える。}

もっともそれを数撃ちゃ当たる戦法で補ってくるからこそ厄介ではあり、防犯意識の希薄な高齢者やインターネット初心者などが引っかかるケースが未だに後を絶たない。


***内部の人間による意図的な流出
&font(b,red){おおよそ考え得る限り最悪のもの}。
&bold(){裏話や金に釣られた内部の人間が所属・関連企業で保管している個人情報を丸ごと盗んで外部に流す}というもの。
当然ながら上記とは異なり&bold(){流出させた側も罪に問われる}。
盗み出す人間が正規のログイン者である以上防ぐことが極めて困難であり、使う人間のコンプライアンス((「法令遵守」という意味。企業や個人が法令や社会的ルールを守ること。))に大きく影響される。
企業の教育がしっかりしているかどうかという面もあるが、待遇や人間関係の不満からこういった行為に走る輩も少なくなく、一概に何が原因かとは言い難い面もある。
酷いものになると、&bold(){第三者目線仕事量に対して充分な給料が支払われているにも関わらず「給料が安かったから」「待遇に不満があった」と凶行に走った}人間もいるくらいである。


**ハッキング
不正な手段で相手のネットワークに侵入すること。これにシステムを破壊したりする悪行が加わるとクラッキングという。


***[[ブルートフォース攻撃>ブルートフォースアタック]]
総当たり攻撃とも言う。
&bold(){文字通りパスワードを総当たりすることで強引にパスワードを割り出してしまう攻撃}。
つまり、数値四桁の鍵があったとして、0000から9999まで試せばどれかは当たるのだ。
原理は[[某マヌケな人工知能>Wheatley(Portal2)]]がやってたのと同じだが、[[CPU]]の高い処理能力があればこのような力技で突破できてしまうのだ。
また、パスワードとしてよく使われそうな特定パターンの文字列に当を付ける((4桁パスワードなら「1234」とかゾロ目とかカレンダーの日付(誕生日を付ける人が多い)とかなら当たりやすいだろう、といった感じ))ことで試行作業を高速化した「辞書攻撃」と呼ばれる亜種も存在する。

よくある「推測しづらいパスワードにする」「パスワードを○○回間違えると(一時的に)ログイン出来なくなる」というシステムはこれらへの対策だったりする。


***SQLインジェクション
#center(){
千尋「ここで働かせてください！」
湯婆婆「フン、『&bold(){千尋' AND Password = '1'; DROP TABLE employee"}』というのかい。」
千尋「はい」
湯婆婆「贅沢な名だね。今からお前の名前は…………
…………名前は……？」
}

SQLとは検索用データベースシステムを管理するのに利用されるプログラミング言語((要は人間が使う言語をそのまま読むことが出来ないコンピュータに「実行してほしいこと」を伝えるための専用の言語だと思って差し支えない。))の一種。
例えばアニヲタwikiで「漫画」というワードを検索窓に入力して検索すると、ページ内に「漫画」というワードを含む項目がヒットするが、SQLはこの過程で「『ページ内に「漫画」というワードを含む項目』を全て表示せよ」という指示をプログラム側に送って実行させる役割を担っている。
この仕様を悪用し、&bold(){プログラムに本来使用が想定されていない不正なSQLを実行させる事でサーバー内にある通常は検索結果に出てこない秘匿データなどを開示させたり、サーバー内のデータを破壊してしまう}のがSQLインジェクション攻撃である。
例えばサーバー側に「(SQLで)〇〇に該当するデータを全て開示せよ」と入力すると、それをサーバーからの作業指示であると誤認識したプログラムが本来開示すべきでないデータを抽出して表示してしまう。
そこにユーザーのログイン情報等が含まれていた場合、不正ログインの被害にあってしまうという訳である。

セキュリティ業界では有名な攻撃のため対策方法はほぼ確立されており、対策を組み込んでおくのはエンジニアとして常識となっている。
それ故SQLインジェクションによる被害が起きると余程特殊なものでもない限り「今時SQLインジェクション食らうとかセキュリティどうなってんだよ……」とネットで話題になることもしばしば。

ちなみに冒頭の湯婆婆は千尋に名前を尋ねる際にSQLインジェクション攻撃を受けた結果従業員名簿検索テーブルを破棄(DROP TABLE employee)されてしまい、その後の処理が行えなくなってしまったようだ。
従業員名簿に「ユーザー名『千尋』」とだけ新規登録するつもりが、「『ユーザー名が千尋、かつパスワードが1の人』、『それから従業員名簿をページごと消せ』」という余計な条件とSQL構文を長々と登録してしまい、それを復唱(＝名簿から検索)してしまった結果名簿が全て吹き飛んでしまったのである。


***バックドア
&bold(){攻撃者自身の手によって不正アクセス専用の入り口が作られる}もの。
創作作品ではしょっちゅう出てくるが、現実ではそれほど見かけない。
……なぜなら性質上バックドアがある、作れるということがバレるとまずいため「不正アクセス被害が起きた時にそれががバックドア由来なのかどうか」ということがまず明かされない。
そもそもバックドアを作られている時点でなんらかの攻撃を受けていると言っても良い。
開発者が後々利用する目的で作ることもあれば、システムのデバッグ部分がバックドアと化していたり、開発者のバックにいる権力者のためのもの（開発者が逆らえない＆最初からバックドア付きの商品を売りつける）など、理由や仕組みも様々。
他にも単純に不正アクセスついでに悪意を持って設置されることもあれば、(設計が悪いなどで)システムそのものに抜け穴があるというパターンも無くはない。
このような場合はアップデートなどでバックドアに成り得る脆弱性を潰した、と喧伝するのはよくある話である。


***キーロガー
&bold(){パソコンそのもののデータを直接リークさせるのではなく、キーボードの入力履歴を窃取するのに使用されるデバイスやマルウェア。}
[[パソコン]]を操作するためには無論のことながらキーボードが必要である。
ということは、キーボードに打ち込まれた履歴を持ち主にわからないようこっそり記録しておいて、その内容を解析すればパスワードもわかるじゃない、と言う具合。
パソコン側のアプリでキーを記録するタイプとキーボードの入力を直接盗むタイプとがあるが、そもそもそのようなアプリやマルウェアを仕込むのに成功しているならそのまま内部情報をリークさせてしまう方が早い。
なので、この方法を取るハッカーは内部犯だったり、コンサルや講師等を名乗って物理的に侵入して手作業で仕込むことが多い。


***[[マルウェア>マルウェア(コンピューター用語)]]
マルウェア、つまり俗に言う&bold(){「コンピュータウイルス」を利用したクラッキング手口}。PCに侵入して不正な動作を行うプログラムを作成し、ログイン情報などを含む内部のデータを直接リークさせる(スパイウェア)、バックドアを不正に作成する(ボット)などの方法で標的のPCを乗っ取る。
自動で動作する上に無差別に攻撃を行う性質上被害範囲が広範に及びやすく、幾度も大事件を引き起こしているため、企業なども真っ先に対処に追われる。よってコンプライアンスのしっかりした会社ならよほどのことがない限り通用しづらい手口になりつつあるといえる。
これら[[マルウェア>マルウェア(コンピューター用語)]]を作成した場合、「不正アクセス禁止法」の違反とは別に「不正指令電磁的記録に関する罪」に問われる。


***クロスサイトリクエストフォージェリ
&bold(){特殊なURLを踏ませる}ことで、利用者が正規にID・パスワードを使ってログインしているサイトで操作を行うクラッキング手法。
あくまで使っているものは利用者の情報なので、これで操作された場合&bold(){被害者が操作しているようにしか見えない}という極めて危険な状況が発生する。


***クロスサイトスクリプティング
WEBサイトに&bold(){特殊なスクリプトを仕掛けてそれを利用者に踏ませ、そのスクリプトをWEBサイトに実行させる}ことで利用者の情報を窃取したり悪意あるページに遷移させたりするクラッキング手法。
クロスサイトという名前は初期は利用者が最初に踏ませる罠ページと実際に処理を行う脆弱性のあるWEBページが別だったためだが、脆弱性のあるWEBページ単独で完結するようなタイプも少なくない。
いずれにせよWEB側の脆弱性を利用して罠を仕込んで動かすため、利用者側からは通常のサイトやページにしか見えず検知や発見が困難という悪質な攻撃。
本来想定されてないスクリプトを送りつけるという点ではSQLインジェクションに近いものがあり、システム開発側でこういったスクリプト送りつけられても動作しないような対策を盛り込んでおくのが基本となっている。
しかしまだまだ対策がなされていないページも少なくないためか、2025年現在被害件数((情報処理推進機構(IPA)の発表による))がぶっちぎりで多い。


***DoS攻撃
DoS攻撃とは&bold(){サーバー側に大量のリクエストを送り付けて過負荷状態に陥らせ、機能停止に追いやるサイバー攻撃}である。
通常この攻撃は「サーバーを機能停止させる」ことそのものを目的として行われるのだが、セキュリティ関連のシステムがダウンする隙を突いて不正な処理を実行させる、バックドアを設置するなどの乗っ取りを行うケースも存在する。


***バッファオーバーフロー攻撃
バッファとは一時的に処理前のデータを保存しておくための仮置き用メモリ領域を指す。
だがプログラムを組む際このバッファに関する動作をきちんと作っていないと、何らかの理由で大量のデータがバッファに流れ込んだ際にプログラムが誤作動を起こし、バッファ領域の外側にある関係ないデータをバッファに入力されたデータの文字列で上書きして破壊するバグが発生するケースがある。これをバッファオーバーフローという。
例えば[[ドラゴンクエスト>ドラゴンクエストⅠ]]をプレイするとして、[[名前を入力する>主人公の名前入力(デフォルト名なし)]]シーンを想像していただきたい。初代を遊んだことがある人なら分かると思うが入力できる名前は４文字までであり、[[ゲーム]]もそれを前提とした作りになっている。
ところがここに仕様を無視して「&bold(){[[パブロ・ディエゴ・ホセ・フランシスコ・デ・パウラ・ホアン・ネポムセーノ･マリーア・デ・ロス・レメディオス・クリスピン・クリスピアーノ・デ・ラ・サンディシマ・トリニダード･ルイス・イ・ピカソ>長大語]]}」と入力しようとしたとする。きちんとしたプログラムならここで「&color(#F54738){パブロ・}」以降を入力できないようにするか、エラーメッセージを表示して入力をやり直させるなどの処理が行われるだろう。
だがもしこの処理をきちんと作っていない粗悪なプログラムだった場合、「&color(#F54738){ディエゴ・ホセ(以下略}」の部分が名前入力欄の一時記憶領域から溢れ出して別のデータを上書きして破壊してしまうというわけである。

この脆弱性を悪用することで&bold(){大量のダミーデータをバッファに送り付けてオーバーフローを意図的に引き起こし、溢れるデータ部分に不正な処理を実行させる文字列を仕込むこ}とでコンピュータ内にバックドアを設置するという手口である。

攻撃としてはかなり古典的な手法であり、そもそもこのバグへの対策はプログラマにとっての&bold(){基礎中の基礎}とでもいうべき部分。
そのためバッファオーバーフローへの対策がなされていないということは攻撃を受ける以前にシステムとして何かしらの障害を引き起こしかねない脆弱性があるということであり、プログラマのお里が知れるということでもある。


***悪魔の双子攻撃
PCやスマホとWebサイトの間に挟まって行われる&bold(){中間者攻撃}のうち、&bold(){公共フリーWifiアクセスポイントに名前を偽装した偽wifiを使って行われる}ものを指す。
&bold(){公衆無線Wifiが危険}と呼ばれる理由のひとつ。

Wifiアクセスポイントは情報を偽装することが非常に容易なうえ、電波の出力を上げて&bold(){本物より目立つのも楽勝}なので極めて悪質。
こういったWifiアクセスポイントを利用してしまうと通信情報を窃取され、入力データなどからパスワードを始めとした個人情報が流出することとなる。
質の悪いことにここから他の攻撃につなげるコンボの始動技のような立ち位置も持っており、より悪辣な攻撃を受ける可能性も高まってしまう。

ちなみに英語だと「[[Evil Twin Attack>イビルツイン(遊戯王OCG)]]」という。

***その他
何らかの不正アクセス手段を用いてデータベースに侵入し、保存されたパスワード文字列そのものを取得するといったものもある。
言ってしまえば建物不法侵入からパスワードの書いた紙を盗む、のコンピュータ版。
ただ、最近のITシステムはそういった機密性の高い情報は「ハッシュ化」といって、パスワード（答え）を知っている当人なら解けるがそれ以外だと絶対に解けない方法を用いて暗号化を施しているところがほとんどなので、仮に盗み出せてもよく分からない謎の文字列が得られるされるだけ、となっている。
そのため&bold(){企業体制がしっかりしていれば}基本的に心配はない。


***乗っ取りとは違うが…
知恵袋サイトやSNSなどで削除したアカウントは、一ヶ月が経過すると他人でも同一のIDでアカウントを作成することができる。
要するに、&bold(){ネット知識も必要とされず、アカウントを消した他人になりすますことができるということである}。
&bold(){「引退すると宣言しておきながら、やっぱり戻ってくる」}という「ネット中毒者あるある」なことであるため、案外バレることはない。
これを利用して、
・ツイッターをしないと宣言した芸能人になりすまし、芸能人の名前と写真を使って投資話を持ちかける
・[[NTRが嫌いだと宣言していた人間になりすまし、NTRに目覚めたと発言する>寝取られ]]。
といった事例が報告されている。
SNSでのなりすまし自体は犯罪ではないものの、&bold(){行動によっては「名誉毀損」や「詐欺」などで処罰される可能性はある}。
不安ならば、SNSアカウントを引退することがあっても、アカウントは消さずに非表示にしておくといいだろう。


*&color(darkred){悪影響}
とても分かりやすい顛末は、&bold(){本来の運用主から操作不能な状態にされる}こと。
IDやパスワードを変更されて、本来の運用主がログイン(＝復旧)できないようにされてしまう。

更に乗っ取られれば本人と同じ手順でアカウントを操作できるので、&bold(){登録している個人情報を抜かれたり、持ち主のクレジットカードや登録情報で勝手に買い物や契約をされる場合もあり得る}。
最近では、オンラインゲームのアカウントなどを乗っ取られてゲームデータを取られたり、自作自演に使われたりすることもありうるだろう。

また、盗まれた個人情報など悪用されて犯罪の踏み台にされてしまう危険性もある。
口座などがマネーロンダリングに利用されたり、住所や氏名などが犯罪集団などの偽個人情報として使用される恐れもある。
乗っ取られたPCやアカウントを利用して「DDos攻撃」など別のサイバー犯罪に利用される場合もある。

特にパスワード流出などの場合、履歴上は全く正当なアクセスをしているため、アクセスしたのが本人かハッカーか非常にわかりにくい。
というか、「パスワード使ってるなら本人のアクセスだろう」と判断されるのが普通である。

例えば第三者にパスワードを悪用されて大きな買い物をされてしまったとしても「本人が使ったのを払いたくないから[[言い訳]]してるんじゃないの？」と疑われて言い分が認められず、身に覚えのない高額な金銭を払わされる場合も少なくない。
犯罪に悪用された場合、&bold(){自分ではないと言う主張が「犯罪者の言い逃れ」としか見なされず、犯罪者にされてしまう危険性}さえある((2012年に発生したパソコン遠隔操作事件では、真犯人がパソコンの遠隔操作で犯行予告を繰り返し、しかもこの乗っ取りに捜査機関が気づかず、結果何人もの人が冤罪で逮捕されたり、処分を受けてしまった。真犯人が判明しなければ、彼らの冤罪は判明しなかった危険が極めて高い。))。

現実には乗っ取りにあったことの証明は難しく、そもそも乗っ取りにあったこと自体に気づかない場合も少なくない((露骨に居住地から離れたところで使われてアリバイがあるようなケースでは証明できたり、企業側で明らかにおかしい買い物は乗っ取りを察知して凍結をかけることもある。))。
家族の共用パソコンだったりすると、「自分に覚えがないと言うことは家族の誰かがやったのではないのか」と家庭内で疑心暗鬼が蔓延し、円満だった家庭に亀裂が入ってしまう危険性もある。

乗っ取り被害に遭ったにもかかわらず、それを証明できないまま、泣き寝入りを強いられている隠れた乗っ取り被害者は決して少なくない…かもしれない。


*&color(darkred){違法性}
このような乗っ取り行為は&bold(){&color(red){不正アクセス禁止法第3条に違反する犯罪}}で、&bold(){3年以下の懲役または100万円以下の罰金}が課せられる。
また、不正アクセスが目的で情報を盗み取る行為は&bold(){&color(red){不正アクセス禁止法第4条の不正取得罪}}に該当する。これは未遂であっても&bold(){1年以下の懲役または50万円以下の罰金}。
不正アクセスの目的で、不正に取得した他人の情報を保管しているだけでも、&bold(){&color(red){不正アクセス禁止法第6条の不正保管罪}}で&bold(){1年以下の懲役または50万円以下の罰金}が科せられる。

家族・パートナー・知人・同僚・上司・部下などの端末やアカウントに(無許可で)アクセスを試みる行為も違法になり得るので注意が必要。

#center(){&bold(){&big(){STOP! 乗っ取り!}}}


*&color(darkred){対策}
とにかく&u(){パスワードの保管には十分に気を付け、推測しやすいパスワードは避けること}。
そして、無暗に信用ならないサイトに個人情報やパスワードを渡さない事。その前提として&bold(){不審なURLは開かない}ことも必須。
一方で、信用できる大企業から流出などの実例もあるため、パスワードの使い回しをしない、など万が一の備えも有効である。
もはや半ば常識となりつつあるが、&bold(){公衆無線Wifiへのアクセスはかなり高めのリスクがある}ことを念頭に置くことも重要。

認証が通った際に予め設定したメールアドレスなどに送った追加のパスワードを入力させる「二段階認証」。
専用のパスワード生成器を用いてごく短い時間に限り1回だけ使える使い捨てのパスワードを用いる「ワンタイムパスワード」などの機能もあるので上手く活用しよう。

もしも乗っ取られてしまった場合は然るべき手順でアカウントを停止してもらった上で、その旨をなるべく周知して二次被害の拡大を防止するようにすることも重要である。


#center(){スマホを乗っ取りながらこの項目を見ている皆さん、&color(red){&bold(){すぐ警察へGO！}}}
#center(){そうでない健全なみなさん、追記修正をよろしくお願いいたします。}

#include(テンプレ２)
#right(){この項目が面白かったなら……＼ポチッと/
#vote3(time=600,25)
}
#include(テンプレ3)

#openclose(show=▷ コメント欄){
#areaedit()
- サイトの管理とか運営を乗っ取られた時とかそマジでどうしようも無いよね...  -- 名無しさん  (2024-02-24 22:52:14)
- ここも他人事じゃないからな。なんかの間違いで凄腕ハッカーに目をつけられた暁には…  -- 名無しさん  (2024-02-24 22:55:27)
- SNSで失言したときの言い訳みたいな話かと思ったら違った。  -- 名無しさん  (2024-02-25 00:17:45)
- Twitterで何か連携ツールを使ってやったらスパム投稿がされる様になったという話もこれになるな。自分でも操作はできるがスパム投稿は止まらないという  -- 名無しさん  (2024-02-25 00:17:58)
- サーバーリプレイスの時にも起こる可能性が有ると複数界隈で指摘されていたな…強固なパスワードを用意していてもアッサリブッコ抜かれる危険性を専門家が指摘してもいた。  -- 名無しさん  (2024-02-25 01:07:47)
- 概要の最後、「善意のある人」じゃなくて「悪意のない人」じゃないかな。善意があることは悪意がないことを意味しない  -- 名無しさん  (2024-02-25 09:59:35)
- ただまあ現実で強固なパスワードとか二重、三重認証とか全部覚えてられないから同じものになるよなって  -- 名無しさん  (2024-02-25 16:19:54)
- 昔はウィルスでもメールを送らせたりなんてのは多かったが、最近はセキュリティも強固になって少なくなった。Office製品の横の連携機能を悪用して、マクロを実行させて感染を広げるマクロウィルスはあるけど、これも自分の手でマクロを実行させるという手順が必要な時点でトロイの木馬に近く、勝手に感染を広げることはできない  -- 名無しさん  (2024-02-26 07:43:44)
- コメント投稿欄が壊れていたみたいなので修復しました。  -- 名無しさん  (2024-02-26 21:25:25)
- 乗っ取りについてだけではなく対策も書いてある、良いね＋１  -- 名無しさん  (2024-02-27 22:43:49)
- とはいえ凄腕ハッカーがアニオタwiki狙う理由ってあるのか…？  -- 名無しさん  (2024-02-28 20:48:59)
- 別にここを攻撃の目的じゃなくて偽装目的での踏み台とか色々ある。中小企業でうちは大した情報が無いから～なんて認識だとこの手の攻撃を食らいやすい。  -- 名無しさん  (2024-03-02 15:58:23)
- アニヲタwikiというより、@wiki自体が愉快犯のクラッカーにパスワードリセットフォームとかを壊された事はあるって聞いたことはある  -- 名無しさん  (2024-03-07 09:24:05)
- 他人事じゃなくなっちゃったね  -- 名無しさん  (2024-03-15 15:31:22)
- 乗っ取り・・・とはちょっと違うかもしれないが、まぁ、私物化されたから、ここも似たようなもんか  -- 名無しさん  (2024-03-15 17:34:01)
- ということで上が動いて取り返したみたいですよ(管理人剥奪)  -- 名無しさん  (2024-03-15 17:44:35)
- 今だから聞きたいんだけど、この記事建てた人は本件を暗に伝える目的で建てたんだよね？少なくとも一番上のコメント書いた人はわかって書いてたと思うけど  -- 名無しさん  (2024-03-15 22:57:15)
- なんのことはないです。「その時ホットな話題の記事を建てる」は建て主がよくやることで  -- この記事建てた人  (2024-03-16 23:29:48)
- ニコ動、緊急停止させたサーバーを遠隔で再起動されそうになったから物理的にケーブル引っこ抜いたらしい。えぇ…  -- 名無しさん  (2024-06-14 17:45:29)
- 同ネットワーク内の全サーバーの電源ONコマンド(Wake On LANの仕様通り)をランサムウェア感染サーバー全てが連続入力していたと思われるから、そうなってしまった以上その対処が正義かな。一斉シャットダウン出来てもサーバーの数が多いはずだから各サーバー間でタイムラグがありそうだし。  -- 名無しさん  (2024-06-14 19:01:51)
- ↑2　ハッキング等の被害にあったときにLANケーブルや電源ケーブルを抜線するのは普通のことですよ。2次被害を防ぐためであったり、攻撃者との関係を遮断するためには必要な行動です。  -- 名無しさん  (2024-10-03 19:58:25)
#comment
#areaedit(end)
}