自分だけは大丈夫
そんな考えが詐欺につけ込まれる

 インターネットを使っているとさまざまなネット詐欺を目にすることが多い。最も多いのが、大手企業を騙るフィッシング詐欺のメールだろう。Facebookで見知らぬ外国の美女から友達申請が来た人もいるはず。ネットオークションで、明らかに偽物のブランド品が出品されているのを目にするかもしれない。デジタルリテラシーの高いASCIIの読者であれば、鼻で笑ってスルーすることだろう。

292

 しかし、ネット詐欺の手口は急激に進化を続けており、リテラシーのある人でも引っかかる可能性は高くなっている。自分だけは大丈夫と思っている人でも、タイミング次第でころっと騙されてしまうのだ。

 最大の防御方法は、ネット詐欺の手口を知ること。知っていれば、見かけた瞬間に笑い飛ばせる。知らないから、詐欺を仕掛けている文面を読み始めてしまう。そこで、今回は最新のネット詐欺事例をよくあるシチュエーションを例に紹介しよう。

ASCII読者でも騙されるパターン その1
ばらまき型ネット詐欺

 Appleや楽天、Amazon、Googleといった有名企業を装い、「アカウントがロックされました」とか「不正アクセスがあったのでパスワードを変更してください」のようにユーザーが慌ててログインするようなメールが送られてくることがある。「カード利用のお知らせ」で身に覚えのない引き落としが記載されていたら、びっくりして詳細のURLをクリックしてしまう人も多いのではないだろうか。

 これはフィッシング詐欺といって、ウェブサービスのIDとパスワードを盗む出す手口だ。アカウント情報を取得したら、正規のウェブページに飛ばすのでひっかかったことに気がつかないケースも多い。

 以前は機械翻訳のひどいものだった文面も、どんどんブラッシュアップされてきている。今はまだ誤字脱字が見つかることも多いのだが、そろそろ本物と見分けが付かなくなるレベル。しかも、内容が練りに練られており、ユーザーをパニックに陥らせる工夫が凝らされている。焦らせれば焦らせるほど、判断能力が低下し、個人情報を入力させられるためだ。

ニュースで情報漏洩を見たあとが危険

 たとえば、どこかの企業から情報漏洩が起きたというニュースが流れたら、その企業を騙った犯人から、情報漏洩に対する謝罪とパスワード再設定のお願いが来たらどうだろうか。自分がニュースを見た直後なら、普通に引っかかってしまう人も多いはず。

 パスワードを使い回していて、いつかきちんと付け直さないとな、と思っている人のところに、「パスワードポリシーの改訂があり、単純なパスワードが禁止されました。再登録してください」とメールが来たらどうだろう。いいチャンスだと思って、ログインしてしまわないだろうか。忙しければ無視するかもしれないが、偶然電車で暇だったり、夜お酒に酔っていたりしたらガードはさらに下がってしまう。

 1万人に1人でも、10万人に1人でも、そのサービスを使っており、メールの内容がいいタイミングでささればいいのだ。それで十分に元が取れる。取得したアカウントで直接悪さをするケースもあるだろうが、通常はまとめた個人情報をダークウェブで売買する。この情報が別の輩の手に渡り、犯罪に利用されるのである。

292
Appleを偽装して、アカウントやクレジットカードの情報を詐取しようとしてくる

ASCII読者でも騙されるパターン その2
脅迫型ネット詐欺

 先日、筆者のメールアドレスに「すぐにお読みください」というメールが届いた。筆者の名前と住所、郵便番号、携帯電話番号、メールアドレス、パスワードが列挙されており、驚愕。パスワードもどこかで使った記憶のある文字列だった。

 その上で、アダルトサイトを閲覧しているところをPCのビデオ機能をハッキングして撮影したので、お金を支払うようにと脅迫してきたのだ。この手の詐欺は、昨年秋頃から激増しており、1月17日にはお笑いコンビ・平成ノブシコブシの吉村崇さんがInstagramで、このネット詐欺メールが来たことを報告。

「タブレットの画面に鬼の形相…いや閻魔の形相で食らいついて 一人相撲を取っているときのものだと思われます

末代までの恥です

お婿に行けません」

 と笑いを取っていた。もちろん、これはネタだと思われるが、実際に真に受けてしまい、お金を支払う人が出てくるかもしれない。特に、シニアの方でデジタルリテラシーが低く、さらに地位のある人だとお金でカタが付くなら、と判断してしまう傾向にある。

292
平成ノブシコブシの吉村崇さんがInstagramに、脅迫メールが届いたネタを投稿

すでに個人情報を握られている怖さがある

 この詐欺の怖いところは、通常は先方が欲しがる個人情報をすでに持たれている点。住所と携帯電話番号は筆者もさすがにびっくりした。大企業からの情報漏洩は、被害が大きいので勘弁して欲しいところ。

 とはいえ、これまで世界中のいろいろな企業から、何億件もの個人情報が漏洩している。そのデータはダークウェブでやりとりされており、無料でダウンロードできてしまうものもある。その情報を元に、お金を要求してくるなのだ。

 効果的なのが、閲覧しているアダルトサイトと再生している動画と共に、PCのウェブカメラで撮影したユーザーの様子を合成した動画を作成していると脅していること。そして、PCをハッキングしたので、連絡帳のデータもすべて入手しており、友人や知人、職場の全員に送付すると脅している点だ。文面を信じた人にとっては悪夢だろう。

 対応策としては、この手の詐欺があることを学び、無視すること。IDやパスワードなど、漏洩した個人情報で変更できるものは変更しておくこと。支払いはもちろん、返信などのリアクションを行わないことが重要だ。さらにPCのウェブカメラを無効にしておけば安心。

292
「警視庁サイバーセキュリティ対策本部」が公開している詐欺メールの英語版。現在は日本語版も出回っている

ASCII読者でも騙されるパターン その3
標的型ネット詐欺

 不特定多数に詐欺メールをばらまくのではなく、特定の企業や個人をターゲットにして攻撃されることもある。この手法は、ビジネスメール詐欺といい、実際に多大な被害が出ている。2017年12月には、日本航空がネット詐欺のターゲットにされ、3億8400万円も犯人の口座に振り込んでしまったことが明らかになった。

 まず、アメリカの金融会社から航空機のリース料の請求書が日本航空に届いたのだが、すぐに振込先が変更された請求書が来た。いつもの相手、いつもの文面なので、そのまま手続きして振り込んだところ、支払期限を過ぎて金融会社から催促がありネット詐欺被害が発覚したのだ。

 ビジネスメール詐欺にはいろいろなパターンがある。

 付き合いの長い取引先から「財務調査が入っているので、いつもの口座が使えないので、この口座に振り込んでください」と請求書と共にメールが来た

 自社の経営者から「急ぎの買収案件があったので、至急資金を振り込んでくれ」と経理に連絡があった

 海外にある子会社のCEOから、承認済みの取引に関しての送金の依頼があった

 ポイントはいつも連絡している相手の名前で、いつもの調子の文面で送られてくること。本物と同じ請求書などの書類が使われていること。その上、絶妙なタイミングでメールが送られているので、騙されてしまうのだ。

メールをすでに盗み見されている

 このようなことができるのは、あらかじめ犯人たちがターゲット企業のメールを盗み見しているから。誰がどのような形で送金に関わっているか、やりとりする方法、請求書の書式などの情報をじっくりと収集・分析しているのだ。その上で、ここぞというタイミングで可能な限り大きな金額のネット詐欺を仕掛けてくる。

 日本航空のネット詐欺のケースでは、訂正版の請求書が添付されたメールの差し出しアドレスは本来のモノに似た文字列になっていたそう。ものすごく手が込んでいる。

 じっくりメールを分析し、仲間が数人いるなら電話も併用して信頼度をアップさせることも考えられる。取引先のメールにも不正アクセスできれば、偽装メールではなく本物のメールアカウントから送信することも可能。こうなると、見抜く方が難しくなってくる。

292
IPA(情報処理推進機構)が公開しているビジネスメール詐欺でメールアドレスを偽装する手法

ASCII読者でも騙されるパターン その4
リバースヴィッシング詐欺

 詐欺メールが来ても、その中に記載されているURLをクリックせず、自分で検索してウェブサイトにアクセスすればほぼ被害は回避できる。これまでは筆者もそのようにアドバイスしていたのだが、盲点を突くような新型詐欺が登場した。ユーザーが自分で検索して、アクセスしたページに自ら電話をし、個人情報を伝えてしまうという「リバースヴィッシング詐欺」だ。

 これは、Googleマップの拠点情報をユーザーが書き換えられるという脆弱性を突いたネット詐欺だ。銀行などの問い合わせ電話番号を犯人が書き換え、かかってきた電話に対応するというもの。相談を受け付けるので、口座番号と名前、電話番号などを聞かれても答えてしまう人は多いのではないだろうか。

 ユーザーが不審に思うまで、根掘り葉掘り情報を取りに来ることだろう。1000人に1人くらいは暗証番号を教えたり、何らかの理由でお金を振り込んでしまうかもしれない。現在のところの対処としては、Googleマップから電話をかけずに、きちんと企業のウェブページから問い合わせ先を探すようにするのが確実だ。

292
Googleマップの登録情報は、ユーザーが変更を提案できる

 文面を見ればわかる、メールアドレスを確認すれば判別できる、金を振り込むようなことをしなければいい、などマイルールで自信満々の人ほど、そこ点をクリアしたネット詐欺にはストレートに引っかかってしまう。面倒なことだが、日々進化するネット詐欺の情報をウォッチし、デジタルリテラシーを向上することで自己防御してほしい。

筆者紹介─柳谷智宣

柳谷さん顔写真

1972年生まれ。ネットブックからワークステーションまで、日々ありとあらゆる新製品を扱っているITライター。パソコンやIT関連の媒体で、特集や連載、単行本を多数手がける。PC歴は四半世紀を超え、デビューはX1C(シャープ)から。メインPCは自作、スマホはiPhone+Xperia、ノートはSurface Pro3とMacbook Air。著書に「銀座のバーがウイスキーを70円で売れるワケ」(日経BP社)、「Twitter Perfect GuideBook」(ソーテック社)、「Dropbox WORKING」(翔泳社)、「仕事が3倍速くなるケータイ電話秒速スゴ技」(講談社)など。筋金入りのバーホッパーで夜ごとバーをハシゴしている。好きが高じて、「原価BAR」を共同経営。現在、五反田・赤坂見附・銀座で営業中。