ソーシャルメディアプラットフォームXは、初めて暗号資産に言及したアカウントを自動的にロックする新たな詐欺防止機能を導入する。この措置は、偽の著作権メールを利用したフィッシング攻撃の急増を受け、プラットフォーム上での暗号資産関連詐欺を封じ込めるための最新の取り組みである。
同社のプロダクト責任者ニキータ・ビアー氏によれば、ユーザーが初めて暗号資産について投稿した際、そのアカウントが自動ロックされる仕組みをまもなく実装する予定だ。再度投稿できるようになるためには、ユーザーは追加の認証手続きを完了する必要があるという。
ビアー氏は、この機能はフィッシング攻撃の根幹であるインセンティブを狙った対策であると説明した。現在拡大しているフィッシングの背後にあるのは、ユーザーを騙して認証情報を奪取し、その乗っ取ったアカウントを使って暗号資産詐欺を広める手口だとし、「これによりインセンティブの99%は抑えられる」と述べている。
この変更は、著作権侵害通知を装ったフィッシングメールによりアカウント権限を失ったXユーザーの一次体験談を受けて明らかになった。そのユーザーによると、攻撃者は本物と見間違うほど精巧に作られた偽ログインページで二要素認証コードを獲得し、ユーザーを締め出した後、アカウントを使って詐欺的な暗号資産プロジェクトを宣伝したという。
こうした攻撃はX上で非常に多く見られ、同サービスがイーロン・マスク氏に買収される以前のTwitter時代から続く問題である。典型的な詐欺の一例は「送金した資金を倍に返す」と謳い、より多くの暗号資産を受け取れる約束で金銭を送らせる手口だ。さらに、偽のミームコインや不正なエアドロップを宣伝するケースもあり、乗っ取られたアカウントを使って信頼性を持たせることが多い。
最も効果的な詐欺手法の一つがなりすましだ。著名人に成りすました偽アカウントが、正規の暗号資産プラットフォームを装った悪意あるリンクをフォロワーにクリックさせる事例が頻発している。暗号資産取引は取消しができないため、一度こうした詐欺にかかると資金は戻ってこない。
最大の事件は2020年に発生し、ハッカーがTwitterの内部システムに侵入してApple、バラク・オバマ、イーロン・マスクなど著名アカウントを乗っ取った。この際、偽のビットコイン配布を宣伝し、投稿の削除前に10万ドル以上の資金を詐取した。犯人の手口は社員へのソーシャルエンジニアリングで、犯人は懲役5年の判決を受けている。
Xはこれまでセキュリティ強化のためにボット排除、API制限、行動検知など複数の施策を講じてきた。今回導入される、初めて暗号資産を投稿したアカウントを自動ロックする新機能はこれらの取り組みを一段と推し進め、乗っ取られたアカウントによる詐欺利用を根本的に防止することを目指している。
さらにビアー氏は、フィッシングメールをメール段階で防げていないことを問題視し、Googleを批判。フィッシング攻撃からユーザーを守りきれなかった責任の一部が同テック大手にもあると指摘した。