ベライゾン、偽の「捜索令状」にだまされストーカーに被害者の携帯電話データを提供

 (arstechnica.com)
1 ポイント 投稿者 GN⁺ 2023-12-10 | 1件のコメント | WhatsAppで共有
  • ベライゾンが偽の警察官と捜索令状にだまされ、被害者の住所と通話記録をストーカーに提供
  • ストーカーのロバート・マイケル・グラウナーは被害者の家の近くで逮捕され、その際にナイフを所持していた
  • グラウナーは被害者とオンラインで恋愛関係にあったが、関係終了後も連絡を試みていた

偽の警察官、偽造された裁判官の署名

  • グラウナーは偽のメールと捜索令状をベライゾン・セキュリティ支援チーム(VSAT)に送り、ベライゾンをだました。
  • ベライゾンは、そのメールがProton Mailのアドレスから送信されていたにもかかわらず、要請が詐欺であることを認識できなかった
  • 捜索令状には、実在しない警察官の名前と偽造された裁判官の署名が含まれていた

ベライゾン、住所と通話記録を提供

  • ベライゾンは偽の文書を確認した後、被害者の住所と通話記録をグラウナーに提供した。
  • ベライゾンのウェブサイトによると、VSATは法的要請を秘密裏に処理し、適用されるすべての法律を遵守している
  • ベライゾンは、この事件について法執行機関と協力していると明らかにした

GN⁺の意見

この記事で最も重要な点は、ベライゾンが偽の警察官と捜索令状にだまされ、被害者の個人情報を提供してしまった事件である。このような事件は、個人情報保護と企業の法的要請処理システムの脆弱性を浮き彫りにしており、多くの人にとって関心を引くテーマになりうる。特に、サイバーセキュリティやプライバシー保護に関心のある人々にとって、この事件は重要な学習事例となりうる。

関連記事

1件のコメント

 
GN⁺ 2023-12-10
Hacker Newsの意見

  • 裁判所命令の偽造は非常に簡単

    • 米国内の1,700以上の郡で使われている特定の書式を、Verizonや他の企業が把握する術はない
    • 連邦召喚状は統一されており、非公開で提出されるため、さらに簡単
    • Verizonは書記官室に電話して召喚状が発行されたかどうかを確認できない
    • 文書は単なるコピー用紙に印刷されており、セキュリティ機能がない
    • 少額訴訟を起こして召喚状を発行してもらうのも簡単
    • 民事召喚状は刑事召喚状より少し時間がかかり、送達費用も払う必要があるが、大した問題ではない

  • Verizonの広報担当者は、この件について法執行機関と協力していると述べた

  • 小規模コミュニティISPでアルバイトしているある人物は、法的制度と2回接点を持ったことがある

    • 初めて要請を受けたとき、真偽をどう確認すべきか悩んだ
    • 手順として、令状に記載された連絡先情報はすべて捨て、信頼できる情報源(州の公式Webページ)から新しい連絡先を探して確認することにした
    • Verizonもこの手順を採用していれば、今回の件を見抜けたはず

  • TV番組『Mr. Robot』で似たような事例が描かれている

    • 主人公が携帯電話番号から特定人物を突き止めるため、NYPDのFAX回線を装うか乗っ取り、通信事業者からデータを得るためにNYPDが使う文書を偽造する
    • 偽造したFAXを送り、返答を待つ
    • 公共Wi‑Fiを使って匿名性を保ち、NYPDのFAX番号を偽装してより本物らしく見せる

  • 裁判官が署名した命令の有効性を確認する主な方法が、簡単に偽造できる署名を見ることになっている

  • メールには「Proton Mail secure emailから送信」というProton Mailのデフォルト署名が含まれている

    • 「差出人」欄では気づかないかもしれないが、これで警告サインにならないのはなぜなのか疑問
    • 警察がこうした処理を個人アカウントで行うのが日常的なのかもしれない

  • この種の文書が偽造されるのは非常によくある

    • 緊急性(生死に関わる問題)、未対応時の法的責任や、公開した場合の罰金への言及と組み合わされる
    • 弁護士は今やどう対処すべきか判断しなければならない
    • このような事件は氷山の一角にすぎない
    • 文書を偽造して送るコストはほぼゼロなので、インターネット時代にこの種の令状をこうした方法で処理するのはまったく不適切
    • 十分な数の警察署がハッキングされ、現実的なテンプレートが入手され、ときにはメールへの直接アクセスまで可能になっている
    • コスト/利益/リスクの関係が攻撃者に有利な方向へ変化している

  • 元の話の異常さはさておき、hamster.comというポルノWebサイトのデーティング機能を通じて出会ったという件に驚いた

    • ポルノサイトのデーティング機能が詐欺やフィッシング目的ではない場合もあるとは知らなかった

  • Verizonのような大企業には、法執行機関からの要請に対応するための明確な手順があるべき

  • メールはPGPで署名されるべきだと思う

  • 母親の遺産整理をしていたとき、署名の検証ができない簡単な2枚の書類(死亡証明書と相続証明書)を偽造することで、どれほど大きな被害を与えられるかを思うと恐ろしくなった

    • スキャンや写真をメールで送ったり、電話で丁寧に話したりするだけで、ほとんどのことが処理できてしまう
    • 銀行口座の解約のように、本人の出頭と身分証明書による確認が必要な手続きもいくつかある
    • どんな文書がどう見えるかさえ分かっていれば、世界を手中に収めたも同然