絵師による絵師のための無料写真素材サイト『Blank Phostock』公開!

イラストレーター必見! 仕事依頼の添付データを開いただけでアカウント乗っ取られる『標的型攻撃』から身を守る方法とは!?

12 min

こんにちは出雲寺ぜんすけ(‎@blankcoin)です。

仕事依頼かのような連絡がきて、やり取りをしているとサイバー攻撃をされてSNSのアカウントなどを乗っ取られるという手口をご存知でしょうか?

SNSでも、イラストの依頼を装ってハッキングされアカウントを乗っ取られたという話を目にすることが増えました。

昨今そうした仕事のメールをよそおったフィッシング詐欺があるということで、イラストレーターなどフリーランスで仕事をしている人は要注意です!

ぜんすけ

ぜんすけ

『仕事依頼とみせかけてというのが恐ろしいところ

ふつうのフィッシング詐欺なら知らない人からの連絡はカンタンに無視できるのですが、仕事の依頼とみせかけることでスルーされにくくなっているわけです。

このブログでは、これからイラストレーターなど絵の仕事をプロとしてやっていくための情報発信をしています。

ついにイラスト仕事の依頼が来るようになってきたぞ!
という状況になってきたときに、このような新手のフィッシング詐欺被害にあわないためにも、どんなことに注意するべきなのか見ていきましょう!

この記事は現役で絵の仕事をしている背景絵描きの出雲寺ぜんすけが執筆しています。
最近の仕事ではKeyの新作『終のステラ』に背景イラストで参加しています。
終のステラ』の発売は2022年9月30日ですので何卒よろしくお願い致します!

【標的型攻撃】イラスト仕事依頼偽装型フィッシング詐欺とは!?

  1. イラストの仕事依頼をよそおったメールやDMなどで連絡がくる。
  2. イラストの依頼の資料と称してダウンロードさせた圧縮ファイルにウィルスがしかけられている
  3. 感染してSNSアカウントの情報などをハッキングされて乗っ取られる

といったのがイラスト依頼偽装型フィッシング詐欺の基本的な流れです。

これは一般的には『標的型攻撃』と呼ばれるサイバー攻撃になります。

フィッシング詐欺といえば『Amaz0nアカウントが停止する』だの『SAIZ0Nカードのお客様情報の定期確認』といった、あやしげな迷惑メールは送られている人も多いんではないでしょうか。

そういったスパムメールというやつは『無差別型攻撃

『無差別型攻撃』の迷惑メールより騙されやすいのが『標的型攻撃』。

イラスト仕事依頼フィッシング詐欺も特定のイラストレーターを標的にしているので『標的型攻撃』といってもいいんではないかと思います。

  • 標的型攻撃
    ターゲット(標的)を狙い撃ちで攻撃してくる。
  • 無差別型攻撃
    不特定多数に向けてスパムメールなどで攻撃してくる。

≫総務省 標的型攻撃への対策

通販サイトやカードのアヤシイメールはそもそもスルーしますし、もし気になったとしてもメールのリンクを踏むことはなくブックマークや検索から公式サイトを見にいって確認すれば回避できます。

しかし、仕事の依頼だとどうでしょう。

確認が容易ではなく、まして海外からの仕事だとより確認の難易度があがります。

そんなわけでフリーランスとして仕事を受注することを日常としていると、回避が困難な油断できないフィッシング詐欺というわけです。

NFTをやっているイラストレーターのアカウントは標的型攻撃に狙われやすい!?

NFTというのはデジタル資産の所有者がわかるようにする仕組みのことで、それにより近年デジタルアートの取引がされるようになり、デジタルアート取引に参入するするイラストレーターが増えてきました。

僕自身はNFTをやっていないのですが、SNSなどを見ているとNFTをやっているイラストレーターのアカウントがどうみてもターゲットにされているので、NFTを始める時点で100%狙われることを意識するぐらいでちょうど良さそうです。

日本の感覚で持ち物を置いて席を離れたら、海外ではあっという間になくなるといいますよね。

NFTをやるなら自分はいま国にいると認識し、国内で活動する以上のセキュリティ意識が必要というわけです。

NFTってもの自体はどうなの?

NFTはデジタル作品でも個人の作品に価値が生まれます。

すなわち企業からの依頼といった請負仕事に依存せずに収入を得ることができ、しかも自分の作品づくりができるというクリエイターにとっては願ってもない期待したい仕組みではないかと思います。

ただ、メタバースがより身近で日常に入ってこないかぎりはNFTは本質的な価値を持たず、どうしても投機的な価値感になってしまうかと思っています。

当ブログはこれからプロを目指すイラスト初心者も見ていただいているメディアだと思いますので、安易にNFTを薦めるという立場を取らずにあせらなくても大丈夫というメッセージを伝えたいと思います。

基本的に多くの発信者やメディアは新しいサービスの類は先に始めたほうが有利として煽りがちですが、普通に観察していれば後発が成功している例はいくらでもあるのはわかります。

なので、あわてて踊らされずに慎重に調べてほしいのと、NFTを始めるのであれば今回紹介している対策をするなどして被害にあわないようにしていただければと思います。

というわけで、NFTの是非は人によっていろいろとあるかと思いますが、この『アカウント乗っ取りの件』については、観光地でスリ被害にあったとしても観光地自体が悪いものでなくスリをする人が悪いという関係と同じなのではないかと思います。

なぜNFTをやっていると狙われるのか?

  • 暗号資産を持っている確率が高いのでハッカーが資産を奪いやすい
  • その暗号資産の額や規模感もNFTの動向で確認できる
  • NFTは海外向けにも発信し、クリエイターも英語でツイートしている

ハッカー側もなんでもないアカウントにすべて攻撃するよりも確実性が高いということなのでしょう。

これは必ずしもNFTをやってなくてもそのアカウントを乗っ取ることで、なにがしか利益を奪いとることができると思われたらターゲットになりうるということ。

NFTをやってないから安心と考えるのではなく、基本的な防御思考を取り入れておく必要がありそうです。

アカウントを乗っ取り被害にあうとどんなことが起きる?

仕事依頼偽装メールでアカウントを乗っ取られる流れ

  1. 仕事の依頼、プロジェクトの説明
  2. 資料など受け取り
  3. 資料のデータ確認時もしくは受け取り時にウィルスなどによる攻撃
  4. 暗号資産など奪われる
  5. SNSアカウントの乗っ取り

というながれです。

ようするに、仕事の依頼という形で手が込んでいるのが特徴です。

無差別型のフィッシング詐欺であれば自動的に迷惑メール送りにしてくれたり対象も多数に向けて送っているものだから自分に関係ない内容だとすぐに詐欺だと気がつきます。

しかしこの仕事依頼のハッキングは対象をイラストレーターにしぼって仕掛けてきているので巧妙です。

ハッキングされやすいファイルは「.exe」だけじゃなく「.scr」もヤバい!?

すでに被害を報告してくれたツイートがTwitterから削除されてしまっていて、僕の記憶している内容なのですが、

  • 海外からDMで仕事依頼がくる
  • 暗号化ZIPを解凍したフォルダの中にあった「.scr」ファイルを開く。
  • Twitterを乗っ取られる

といった流れのケースがありました。

拡張子が「.scr」のファイルはスクリーンセーバーのファイルなのですが、「.exe」と同じように実行ファイルということです。

「.exe」はプログラムの実行ファイルだから知らん人から送られてきたら、さすがに「こいつはやべぇヤツだ」と警戒する人も多いでしょう。

そのため、「.exe」よりも知られていない「.scr」が使われたのではないでしょうか。

もちろん「.exe」ファイルなど自体はすべてがウィルスではなく、ちゃんとしたところなど企業が公式で公開しているものなど問題ないものです。

相手の身元が不明な場合には特に気をつける必要があるファイルということですね。

画像ファイルでも安心できない。

こういった被害の話を見るとjpgなど画像でも偽装されるケースがあるらしいので他の拡張子だから安心だとはいえません。

画像に仕込むウィルスがあり、画像を開いただけでスクリプトを実行できるというのがあったとのツイート。

『Skype経由での海外からの仕事依頼の中身が画像の圧縮ファイルを開いた』ことが原因で乗っ取られるのであればかなりやっかいです。

仕事の依頼だとjpgとかですら確認できないんじゃ、かなりお手上げなところありますね。

それでも、危険度ぐらいは把握しておくとよさそうですね。

「.exe」や「.scr」は実行ファイルだから怪しいプログラムの危険大。
画像ファイルでも油断するべからず

「.scr」ファイルを開かなくても安心できない

また別のかたの被害報告ツイートの話で、今はアカウント削除されてしまって引用できないのツイートなのですが、その報告ツイートでは、しっかり用心されていて「.scr」ファイルが入っていたが念のため開かなかったと書かれていたものもありました。

それでも乗っ取りの被害にあっています。

「.scr」開かずとも乗っ取り成功しているのに「.scr」ファイルがそれでも入っていた理由を考えるなら、「.scr」を開くともっと乗っ取られ具合が拡大したということかもしれないですね。

データ転送サービスでデータをダウンロード時にパスワードを入力したということも書かれていました。

そのツイートに対して、データ転送サービスのサイトが偽サイトだった可能性に対する指摘のリプライがありました。

圧縮ファイルを開く前のすでにダウンロード時のパスワード入力の時点でアウトだとしたら怖い話です。

仕事のデータのやり取りでデータ転送サービスは普通に使うこともありますし、パスワード保護も普通なのでこれはかなり防ぐのがむずかしいですね。

データを受け取る流れになった時点で回避がむずかしい

このように「.exe」など、いかにもというファイルを開かなくても被害にあってしまうので、実質的に仕事のデータや資料を受け取る流れになった時点で乗っ取りを回避するのがかなり難しいということがわかります。

▼それではどんな方法でアカウント乗っ取りから身を守っていけばいいか考えていきましょう!

アカウント乗っ取りの対策方法。どうやって攻撃から身を守るか?

まずデータを受け取る流れになった時点で回避が困難ということで、根本的なところでアヤシイ仕事を門前払いにするのがシンプルかつ重要。

なのでそれを最初の対策として紹介します。

知らない海外からの仕事は完全にブロックする

被害報告をみていると海外からの攻撃が多いように思います。

NFTなどで海外の人にも見てもらう機会ができたから海外からの仕事が来たと思ってしまうと、攻撃だったパターンが多数あるようです。

さいとうなおきさんのツイートのように知り合いなどの紹介以外のDMやメールを無視するというのがかなり効果的。

さいとうなおきさんはイラストのNFTが高額になったことも話題になり、多くの人に知られているのでそれだけ狙われやすいと思いますが、この『知り合いか、知り合いの紹介がない人からのDMやメールは全部無視』という対策で被害を回避できているというのは参考になるんではないでしょうか。

このように基本的に日本人相手に日本語でない時点で絶対に受けたほうがいい良案件の会社ではないはず、とわりきってスルーしてしまうのが安全ということですね。

もちろん機会損失もあるでしょうし、言語によるフィルタリングを乗り越えてくるハッカーもいるでしょう。

それでも安全のための方法論として参考になるのではないでしょうか。

ぜんすけ

ぜんすけ

NFT始めてすぐに来た海外からの仕事はまず挨拶代わりのハッキングウィルスぐらいの心構えでちょうどよさそうです

ちなみにブログのメールフォームなんかだと、日本語使っていない人からそもそメール受け取らない方法もあるので、そういった対策をあらかじめしておいてもいいかもです。

DiscordのDMは受け取らない設定にする

DiscordのDMで送られてきた添付画像をクリックして開くとハッキングされるという手口もあるということです。

もはやどの連絡方法であっても狙われる可能性はあるものと考えておく必要がありそうです。

ここまではそもそも知らない海外からの仕事の連絡をシャットアウトするという対策。

ハッカーの手口は巧妙なので最初の段階の対策が最重要ですね。

とはいえ、それが徹底できれば世話はないというケースもあると思うので、他の防御策についても解説していきます。

パスワード管理ツールを使ってパスワードをサイトごとにすべて別のものにする

昨今はTwitterやGoogleアカウントに連携することでログインできるサービスが増えましたよね。

この連携のおかげで細々としたサービス用にパスワードを記憶しておく必要がなくなって便利ですよね。

でも、SNSアカウントを乗っ取られた場合に連携していたサービスもログインできなくなるリスクがあるということに気がついて少し怖くなりました。

もともと僕はパスワード管理ツールを使っていたのでアカウント連携はそれほど多く利用していませんでした。

とはいえ、さすがに連携0ではなかったんですよね。今後もアカウント連携はあまり積極的には使わずにいきたいなと思いました。

とはいえすべてのパスワードを頭で記憶するのはムリゲーなので、パスワード管理ツールを使うのが現実的な対策でしょう。

パスワード管理アプリ

1Passwordなどはよく名前を目にするので一度くらいは聞いたことあったりするんではないでしょうか。

PCだけとかスマホだけと、パスワード管理アプリを使うデバイスが限定されているならロボフォームLastPassでコストかからずに導入できます。

もっともハッカーが仕込んでくるウィルスの内容やによってはパスワード管理ソフトがやられる可能性だって考えられるわけで、結局は最初の入り口の水際対策が必須なのは確実。

そのうえで、パスワード管理ソフトによっては指定の国(日本)からしかログインを許可しない設定で海外からの攻撃を防ぐ機能があるものもあったりしますし、パスワード管理ソフトの開発者もセキュリティには力を入れているんではないかと思いますので、すべてアカウント連携やブラウザに記憶させるよりは防御が固くなるんではないでしょうか。

乗っ取られたと思ったら『オフライン』にする

乗っ取りにあったりPCが感染した、と気がついた時点ですぐにオフラインにするという対策です。

ウィルスをくらったからといってすべてを一瞬で乗っ取られたりするわけでないようで、監視されて、感染後にパスワードを入力したときにその情報が送信されている可能性があるようです。

ネットを切ることは被害を拡大させないために手軽にできる対策ではないでしょうか。

あわてて再起動するのは要注意

ちなみに再起動すると動き出すタイプのウィルスプログラムもあるようで、乗っ取られたと気がついたときに慌てて再起動しないようにと注意喚起されているツイートもみかけました。

不具合があるとつい再起動したくなりますが、このようなこともあるので乗っ取りにあった場合はスマホなど別端末で様子を見るなど状況の把握をしてからにしたほうがよさそうですね。

2段階認証をする

2段階認証っていうのはパソコンのパスワードとユーザー名の認証だけでなくスマホを使って認証を行う方法ですね。

基本的に本人のスマホを持っていなければ認証を突破できないのでセキュリティが強固になります。

……なんですが、今回の標的型攻撃でのSNS乗っ取りの件を見ていると
「2段階認証していても乗っ取られてますやん……」
という悲しい現実が見て取れます。

もちろん、2段階認証やっていないよりも確実に安全性が高くなるのは間違いないので、この記事を読んでいるのに2段階認証をしていないのであればすぐにやったほうがいいです。

もっとみるを選択
Twitter2段階認証設定とプライバシー
Twitter2段階認証設定とプライバシー
セキュリティとアカウントアクセス > セキュリティ
2要素認証
2要素認証

なぜ2段階認証が突破されているかというと
『普段使っているPCなどが自動でログインできる状態だから』
その状態でハッキングされると弱いということですね。

すなわち毎回ログアウトしていれば2段階認証の効果は発揮されたはずということですよね。

でも、毎回SNS開くたびに2段階認証してログインするのって非現実的では!?

ログアウトしておけば2段階認証が守ってくれるとはいえですよ、毎回SNSにログイン時にパスワード入力してられる人間がどれだけ存在するのって話ですよ。

だから、毎回ログアウトが正解とはいえその解決策を提示するだけでは本当にこの記事を読んでくれた人に役には立たないのではないかと思いました。

というわけで、この2段階認証をも突破される可能性あるぞという認識のもと、どう対策するかが重要。

現実的な対応方法
初見の仕事依頼でファイル転送サービスの利用などがある場合はいろいろとログアウトしておく。

常にはムリでも危険性が高い状況だけは防御態勢を整えて行動するというわけですね。

これによりcookieによる2段階認証突破で乗っ取られからは身を守りやすくなるかと思います。

なんとなく感覚としては自分がログインしている状態のほうが他人にログインされにくそうな印象を持つ人も多いんではないでしょうか。

しかし、PCがハッキングされた場合は自分がログイン済みの状態に侵入されてしまうわけで、ハッカーもログイン状態で操作可能になり2段階認証がされない状態ってわけなんですね。

cookieや履歴の削除

2段階認証あるのになんで突破されているんだよって前項での問題の回答
それはどうやらcookieにあるんではって話ですね。

Twitterなどにログインするのに毎回入力していたら面倒ですからログイン状態が記憶されるようにしいていますよね。

だからログアウトしなければまたブラウザからカンタンにTwitterを表示できます。

これがcookieが保存されているからということです。

TwitterなどSNSにかぎらず他のWebサービスも色々とcookieが保存しているので、これらも不要なものは削除しておくといいようです。

利便性との兼ね合いになるのでムズカシイですが、とりあえず新規のとこからの仕事依頼のデータ受け渡しが来たときだけでも意識しておきたいところですね。

cookie削除方法(Google Chrome)

右上の設定メニューから『設定』
プライバシーとセキュリティ→閲覧履歴データの削除

こんな感じでcookie削除できるので必要に応じて対応しておきましょう!

ウィルス対策ソフトの『ふるまい検知』で標的型攻撃をブロックする

正直なところ僕はウィルス対策ソフトは標準搭載で無料のWindows Defenderでいいのではって感じですごしてきました。

代表的な有料のウィルス対策ソフトとしては

といったところがあるでしょう。

基本的にウィルス対策ソフトは1年間とか3年間とか期限つきのものがほとんどですがZERO スーパーセキュリティは3900円の買い切り(PCを買い替えない限り更新料がかからない)です。

個人的には継続課金は好きではないのでこの点はポイント高いですね。

ウィルス対策に加えてパスワード管理ツール、ファイル金庫(暗号化フォルダ)、Webカメラ保護など総合的にセキュリティ対策ができるソフトになってます。

ちなみにZERO ウイルスセキュリティという1980円のもあるんですが、ウィルス対策の性能もZERO スーパーセキュリティのほうが上なので、価格が許せるならZERO スーパーセキュリティを選んだほうがいいみたいですね。

標的型攻撃を『ふるまい検知』でブロックするとも説明に書かれているので、説明のとおりであれば今回のようなケースでも効果を発揮するはずです。

とはいえ『DMで来た画像を開いたらアウト』みたいな攻撃まで防げるのかなどわからないところもあるので、とりあえずウィルス対策ソフト入れておけば警戒しないで大丈夫ってことはないと思うので、用心するに越したことはないですね。

Windows Defenderだと『ふるまい検知』など未知のものに対応が弱いようで、昨今のウィルス対策ソフトはそのあたりをウリにしているっぽいですね。

NFTとか標的にされることがわかっている行動をしないのであれば、正直今でもWindows Defenderでやはり充分ではって個人的には思っています。

そして、NFTをやったとしても前述のように知り合い以外のコンタクトのシャットアウトを実行できるのであれば問題はないでしょう。

しかし、新たな手口やうっかり画像を開いてしまったときのお守りとしては『ふるまい検知』のあるソフトの導入も悪くないかもしれません。

個人的にはウィルス対策にずっとお金を払い続けるのはどうなんだろうと思いますが、海外旅行保険的にその期間だけ使うのはありなのかもですね。

PCを2台使い分ける。仕事の依頼など連絡専門の端末を用意する。

もう一台PCを持つことで乗っ取られてもダメージを最小限にとどめることができるという方法ですね。

被害にあわれたかたのツイートに対するアドバイスなどでもよくみられたのがこの方法ですね。

仕事のやり取りやメッセージをその端末でワンクッションおくことで物理的に安全性を高めることができるというわけです。

ぜんすけ

ぜんすけ

物理的に使い分けてしまうので究極的な対策ともいえますね

使い分けるPCはスペックは低くていいのでAmazonでもノートPCが2~3万で売ってるのでそういったので、最初から奪われても大丈夫な環境を用意しておくのも良さそうです。。

新しいPC新調したときに旧PCを捨てないで、新規仕事受注用PCにするというのもいいかもしれませんね。

created by Rinker
§G∞GMJ
¥14,800 (2022/06/28 12:53:39時点 Amazon調べ-詳細)

その他のアカウント乗っ取り

仕事依頼の乗っ取りに比べたら回避しやすいように思いますが、他にも診断系のサービスなどによる乗っ取りもあるようなので合わせて注意したいところですね。

診断系のサイトによる乗っ取り

ゲーム配信者を狙った乗っ取り

おわりに

Twitterを見ていると大変ありがたいことに注意喚起で今回のような標的型攻撃によるアカウント乗っ取り被害報告のツイートをしてくださるかたがいます。

しかし、SNSを日ごろ見ていないとそういった注意喚起は見落としてしまいます。

さらにそういった注意喚起のアカウントなどは無事に乗っ取られていた元アカウントが復帰後はその役割を終えてしまい、削除されてしまうことも多いようです。

そのため、そのときその瞬間にSNSにいなかった場合にはそのありがたい情報共有が届かずに新たな被害者を生んでしまうのではないかと危惧しました。

というわけで、こうしてブログ記事という形であとから見た人も知ることができるようにすることで『これからイラストで仕事をしていくぞ』という人の目に触れる機会を増やし、被害をおさえることができたら幸いです。

僕自身もフリーランスとして仕事をしているので、まったく他人事ではないです。

こうして記事に書いたのにもかかわらず僕自身が被害にあう可能性だってあります。

英語での お仕事のはなし それは詐欺!

年配の人はオレオレ詐欺とか電話での詐欺に引っかかるかもしれないけど、自分は大丈夫などと油断していられません。

僕らもイラスト仕事依頼フィッシング詐欺(標的型攻撃)にやられないように、気をつけていきましょう!

アカウント乗っ取り対策まとめ
  • 「.exe」や「.scr」は実行ファイルだから怪しいプログラムの危険大。
  • 「.jpg」など画像ファイルでも油断するべからず
  • パスワードを使いまわさずサイトごとに別のパスワードにする
  • 乗っ取りかもと思ったらいったんオフラインにする。あわてて再起動しない。
  • 2段階認証をやったほうがいい
  • 初見の仕事相手とのやりとり前にはSNSなどのログアウト、cookie削除しておく。
  • DiscordのDMは受け取らない設定にする
  • 知らない海外からの仕事は完全にブロックする
  • 可能ならPCを2台使い分ける

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA