携帯電話　パソコン　ハッキング

流れとしては、一般のお客さんから依頼を受けた探偵社が情報屋に調査を依頼し、情報屋が携帯番号から判明した氏名と住所の情報を探偵社に伝えます。


探偵社は情報屋に報酬を支払いますが、その報酬額に自分達の利益を上乗せした料金を依頼者から受け取るのです。

探偵社は情報屋から調べてもらうだけでビジネスをしているとこが多いです。
1件問い合わせて3.000円程度です。

ひっかける手口

情報屋に払う原価すらケチって自分達の利益にしようという探偵社が使う手法です。

「（携帯会社名）のご利用料金管理センターのものですが、先月分のご利用料金をこちらのミスで余計にいただいてしまっておりました。大変ご迷惑おかけして申し訳ございません。つきましては、ご返金させていただきたいのですが、ご本人確認のために氏名・住所・生年月日を西暦でお答えいただけますでしょうか（相手の様子を伺って銀行口座情報を聞き出すことも）」

こんな稚拙な質問で本当に回答する人がいるのか？
と思われるかもしれませんが、実際に少なからずいます。


情報屋が携帯番号から個人情報


各携帯会社の社員と結託して情報を入手しているだけです。

個人情報保護がこれだけ叫ばれている時代にそんなことが有り得るのか？
今までの個人流失したと思われる方がいるかもしれませんが


探偵が今現在も携帯番号から個人を特定する依頼を受けている実態を見れば否定はできないでしょう。


いつの時代にも小遣い欲しさに社内から情報流出させる社員がいるものです。

なお、情報屋の中には、こういったスパイ社員から情報を得る方法ではなく、先述した電調の方法を用いたり、大手企業などから流出した顧客情報リストと照合して情報を卸すようなところもあります。


2014年に最大2070万件の個人情報が流出した、ベネッセ顧客情報流出事件。



それ以外でも

日本年金機構個人情報流出
外部の不正アクセスによって、日本年金機構の年金情報管理システムサーバから個人情報が流出した問題。日本年金機構の職員が偽装されたメールにあった外部リンクのアドレスをクリックして、ファイルをダウンロードしてしまい、そこで、ウイルスに感染した可能性が高いことが関係者の話で明らかになった。

パスワードの設定を職員任せにして、チェックが行き届かない運用であったことと、インターネットに接続出来るパーソナルコンピュータで、個人情報のサーバにもアクセスできるコンピュータネットワーク設計だったことが重なり、今回の流出を招いた。

東商企業・会員情報流出
東京商工会議所の会員企業の情報が事務局職員のパソコンから流出した問題。
流出した情報は、主に東京商工会議所の国際部という部署にて管理を行っていた、会員企業の社員の名刺に基づく情報、およそ3年分で、流出した個人情報は、1万2139人分にも及ぶ。

日本航空個人情報流出
2014年9月24日に発覚した、日本航空の保管する個人情報が流出したという事件。


毎年1000万件は流失していると言われます。
それがリストがソフトとして販売されています。
その数は日本だけで1億～1億2千万件はあります。



そこまでしなくても個人で調査する方法はあります。


氏名と住所から生年月日調査

氏名 住所 生年月日 銀行口座 調査

氏名 住所 生年月日 勤務先 調査

氏名 住所 生年月日 実家住所 調査

氏名 住所 生年月日 サラ金 調査

氏名と住所と生年月日がわかると、どこの銀行のどの支店に口座を所有していて残高が幾らあるのか、勤務先や実家の住所はどこなのか、サラ金からの借り入れはあるのか（過去にあったのか・金融ブラックでないか）などが簡単に判明してしまいます。

その他、所有車両(ナンバーもわかります）、所有不動産や証券、学歴や職歴、婚姻歴、離婚歴、家族構成、通院病院名（現在及び過去）、郵便物の転送先住所、公共料金の未納履歴等々も判明可能です。

もちろん調査するには費用がかかりますが、少なくとも、携帯電話番号から氏名と住所を調べるのは25000円～と比較的安価に調べることができますので、このデータ調査を利用する人は少なくはありません。

ハッキングには「鍵を破って侵入する」という意味合いが強いといえます。
そのため、ハッキングされたというときには、内部に何らかの被害が発生させます。

最も分かりやすいのは「Webサイトの改ざん」です。これは、Webサイトのトップページを書き換えてしまうというもので、まったく関係ない画像を貼り付けられてしまうこともあれば、見た目は全然変わらず、スクリプトだけを追加されてしまうこともあります。

　

前者の場合は企業などのイメージを大きく損ねてしまいますし、後者の場合はマルウェア感染サイトに飛ばされるなどの危険性があります。

　

Webサイト改ざんの手口は、Webサイトを表示するためのファイルにアクセスして書き換えます。
そのために、管理用のアカウントのパスワードを辞書攻撃により破ったり、ショルダーハッキングなどによって盗み出したり、あるいはWebサイトの脆弱性にアクセスします。


ハッキングによって、サーバを停止されてしまうこともあります。業務用のサーバが停止してしまうと業務が止まってしまいますし、Webサーバが停止してしまうと、ショッピングサイトなどの場合は機会損失となり、大きな被害を受けることになります。

　

サーバを停止される場合は、内部に侵入する方法と外部から攻撃を行う方法があります。
内部に侵入する方法はWebサイトの改ざんと同様で、サーバの設定を変更することなどにより停止させます。

　

外部からの攻撃では、Webサーバに大量のリクエストを送りつけて処理能力の限界を超えさせて、停止させます。これはDoS攻撃（サービス拒否攻撃 ）と呼ばれます。最近では、リクエストの種類を工夫してパケットを増幅させたり、大量のIoT機器をボットに感染させてリクエストを送らせるDDoS攻撃（分散型DoS攻撃）などが使われます。


Webサイトの改ざんでスクリプトを埋め込まれてしまった場合には、サイトにアクセスしてきた訪問者をマルウェア感染サイトに強制的に飛ばしてしまいます。


この場合、Webサイトを改ざんされた企業などはハッキングの被害者ですが、同時に訪問者をマルウェアに感染させる加害者にもなってしまいます。

　

また、内部に侵入して従業員用のPCにボットを仕掛けられた場合も同様で、ハッカーはボットに指令を送ることで感染PCを自由に遠隔操作できます。例えばこの遠隔操作されたPCから別のWebサイトにDoS攻撃が行われた場合も、ボットに感染させられた企業などは被害者であると同時に加害者にもなってしまうわけです。

最近は、中国から一斉にサイバー攻撃が行われていました。
そのほとんどがWebサイトの改ざんでした。


サイトの改ざんは、主にWebアプリケーションの脆弱性を悪用してハッキングし、Webサイトを表示するためのファイルを改ざんします。

　

最近のWebサイト改ざんは、見た目は全く変えずに、悪意あるスクリプト（命令文）を埋め込むケースがほとんどです。改ざんされたWebサイトに、脆弱性のあるシステムでアクセスしてしまうと、別のサイトに飛ばされてしまったり、マルウェアに感染させます。


サーバの停止

2015年12月には、まるで映画のようなハッキングがウクライナで発生しました。ハッカーは、ウクライナ議会の議員になりすましたウイルスメールを電力会社数社に送り、マルウェアを介して各電力会社のシステムをハッキングしサーバを停止させ、最長6時間にわかりウクライナ西部を停電させました。

　

ハッカーはハッキングにより停電させると同時に、各電力会社にDoS攻撃を行い、コールセンターを応答不能にさせました。一般市民は問い合わせができない状態が数時間続き、事態を把握できない状況が続きました。このハッキングには、背後にロシアが絡んでいるとみられています。

　
攻撃の踏み台

2016年に、毎秒1テラビットを超える過去最大規模のDDoS攻撃が発生しました。DDoS攻撃とは、大量のデバイスをハッキングして、特定のWebサイトに対してリクエストを送信し、サーバを応答不能な状態（DoS状態）にさせる攻撃です。


Webサイトにアクセスできない状態になるため、ショッピングサイトなどは大きな機会損失となります。また、DDoS攻撃を止めるために金銭を要求するケースもあります。

　

このDDoS攻撃では、リクエストの発信元のほとんどが家庭用のIoT機器でした。例えば、インターネット接続機能のあるブルーレイレコーダなどです。これには、外出先からアクセスして番組を予約したり、録画した映像を再生する機能が搭載されています。

　

こうした機器をインターネット経由でハッキングし、ボットに感染させることで遠隔操作を行い、リクエストを送信させていたのです。2018年には、PCの「memcached」の脆弱性を悪用し、さらに規模の大きい毎秒1.35テラビットのDDoS攻撃が発生しています。


情報漏えい

2017年に明らかになった情報漏えい事件に、教職員や生徒などの個人情報を盗み出したケースがありました。この事件では、ハッカーは教師のひとりに対してフィッシングメールを送信し、教師がフィッシングサイトに入力した学校内無線LANに侵入、学習用サーバにアクセスして生徒の氏名やID、成績、進路指導内容などの個人情報を盗み出しました。

　

ハッカーはさらに、校務用サーバへハッキングを行い、教職員などの氏名やID、住所、電話番号、メールアドレスなどの情報を盗み出しました。このケースでは、ほぼすべてのハッキングを無線LAN経由で行っています。

また、インターネット側からアクセス可能なハードディスクドライブやNASなども、ハッカーの侵入経路になり得ます。


ルータや無線LANアクセスポイントなどにインターネット経由でアクセスすることもあります。
こうしたネットワーク機器は、初期設定のパスワードのまま運用されていることが多く、ハッキングの標的になりやすいといえます。　


パスワードによる認証を突破することを「パスワードクラック」と呼びますが、ハッカーはそのために様々なツールを活用します。たとえば、よく使用されるパスワードを集めて辞書を作成し、その辞書を使ってログイン試行をくり返す「辞書ツール」があります。

　

企業などのシステム管理者は多くのシステムを扱うため、パスワードの管理が煩雑になります。特に検証用のサービスなどでは、安易な文字列にしてしまいがちです。具体的には「admin」「pass」「123456」などで、こうした情報はレポートなどで公開されています。

見破り方は、基本的にターゲットの携帯電話を操作します。 ターゲットの携帯電話に、操作したという証拠が残らないよう、きっちりと後始末をしなくてはなりません。

また、操作した携帯電話は元に位置に、元の方向で置くのも忘れてはいけません。 また、どれだけ気をつけてもターゲットが携帯を操作したことに気づく可能性がありますので、その場合の言いわけを考えておいたほうが良いでしょう。









「夫がお風呂に入っているスキを狙ったら、思ったより入浴が早く終わってあせりました」 など、ヒヤヒヤものの体験談を、実行した人から聞くことが少なからずあります。


できるだけ長い時間、ターゲットが携帯電話に注意を向けないような状況で行なった方が、あせらなくてすみます。

携帯電話に、浮気相手の電話番号が登録されている場合なのですが、そのままの名前で登録されているとは限りません。 別の名前や会社名、ニックネームなどで登録されていることもありますので、発着信履歴などを総合的にチェックしてみて、 怪しい登録番号を調べた方が良いでしょう。


特に、別の名前の場合は、 ターゲットと同性の名称にして怪しまれにくくしていることがありますので、ターゲットが男性の場合は男性名、 女性の場合は女性名もチェックしておいて下さい。


携帯電話のパスワードロックを外すためには、その暗証番号の解析が必要となります。パスワード解析を行なえるのは、パスワードロックの暗証番号が４桁の場合のみとなります。それ以外の場合は、ロック解除が難しくなるでしょう。


パスワードロックの暗証番号の解析方法としては、基本的に４桁の暗証番号の場合は「００００」～「９９９９」までを試していけば、いつかは暗証番号にたどり着きます。ですが、それを人の手で行なうにもかなりの時間がかかってしまいますので、自動的に解析が可能になる方法を紹介します。

まずは、揃えるものを説明します。


１　パソコン
皆さんのお宅にあるもので十分です。パソコンのＯＳは「Ｗｉｎｄｏｗｓ」「MacOS」どちらでも構いません。特殊な知識もあまり必要なく、購入してきたソフトをインストールできる程度の基本的な操作が分かれば、おそらく使うことができるかと思います。

２　携帯電話用ソフト
携帯電話用ソフトというのは、主に携帯電話のデータをパソコンに移すためのソフトを指しています。今回必要となる、パスワード解析機能がついている代表的な携帯電話用ソフトを紹介します。

• ソースネクスト　「携快電話」シリーズ
• https://www.sourcenext.com/product/pc/kkd/pc_kkd_000854/
  
• ビレッジセンター・アーカスコンピュータ　「ケータイ・リンク」シリーズ
  http://www.ktlink.jp/pc/news_old.html（ケータイ・リンク11以降、アーカスコンピュータ）
• ジャングル　「携帯マスター」シリーズ 
• https://www.junglejapan.com/products/mobi/km/nx7/iphone/
   

（その他、他にもソフトがあります）

３　携帯電話とパソコンを繋ぐＵＳＢケーブル
たいていは、携帯電話用ソフトに同梱されています。ケーブル単体でも販売されていますが、ソフト付属のものを使うほうがいいでしょう。


番外　シェアウェアのパスワード解析ソフト
携帯電話用ソフト以外にも、シェアウェアで携帯電話のパスワード解析ソフトが販売されています。こちらは過去に発売された物で対応機種が古い物となり、また、ケーブルもシリアルポート接続となるため、携帯電話用ソフトのように手軽に……というわけにはいかないかもしれません。

後は、それぞれ購入した携帯電話用ソフトの説明書に従って、パスワードロックの解析・解除を行なってみてください。

※パソコンのＯＳ
現在「Ｗｉｎｄｏｗｓ」と「Ｍａｃ ＯＳ」が主流ですが、ＯＳの種類によって使用できる携帯電話用ソフトが違ってきます。 必ずターゲットの携帯電話に対応したものを購入して下さい 。


※ＵＳＢケーブルの種類
ケーブルを選ぶ際ですが、 携帯電話の契約会社・機種に対応しているもの を選びましょう。契約会社単位でも違いますし、また、機種によってもケーブルのソケット形状が違う場合があります。
ケーブル単体で購入する場合は、必ず データ通信が可能なケーブル を購入するようにして下さい。充電専用のデータ通信ができないケーブルがありますので、間違わないようにご注意下さい。家電量販店に足を運び、店員さんに聞くのも良いでしょう。


※携帯電話用ソフトのバージョン
ソフト、もしくはソフトのバージョンによっては、 携帯番号のロック解除機能がついていないものがあります 。また、 機種によってソフトが対応していない場合 もあります。購入する際には、この点についてもご注意下さい。あらかじめ調べたい相手の携帯電話の機種名をメモしておき、ソフト販売会社のホームページで、その携帯機種がサポートされているか確認しましょう。


※ＦＯＭＡなどに代表される、３Ｇ携帯
ＤｏｃｏｍｏのＦＯＭＡに代表される「３Ｇ携帯」と呼ばれているものは、パスワード解析に対策がなされていたり、指紋認証などを取り入れていたりと、 ロック解除が非常に困難な場合 があります。ターゲットの携帯が、これらの携帯に当たるものであったならば、携帯電話用ソフトでのパスワードロック解除が不可能であることが多いですので、ご注意下さい。