ASCII読者でも騙されるパターン その2
脅迫型ネット詐欺
先日、筆者のメールアドレスに「すぐにお読みください」というメールが届いた。筆者の名前と住所、郵便番号、携帯電話番号、メールアドレス、パスワードが列挙されており、驚愕。パスワードもどこかで使った記憶のある文字列だった。
その上で、アダルトサイトを閲覧しているところをPCのビデオ機能をハッキングして撮影したので、お金を支払うようにと脅迫してきたのだ。この手の詐欺は、昨年秋頃から激増しており、1月17日にはお笑いコンビ・平成ノブシコブシの吉村崇さんがInstagramで、このネット詐欺メールが来たことを報告。
「タブレットの画面に鬼の形相…いや閻魔の形相で食らいついて
一人相撲を取っているときのものだと思われます
末代までの恥です
お婿に行けません」
と笑いを取っていた。もちろん、これはネタだと思われるが、実際に真に受けてしまい、お金を支払う人が出てくるかもしれない。特に、シニアの方でデジタルリテラシーが低く、さらに地位のある人だとお金でカタが付くなら、と判断してしまう傾向にある。
平成ノブシコブシの吉村崇さんがInstagramに、脅迫メールが届いたネタを投稿
すでに個人情報を握られている怖さがある
この詐欺の怖いところは、通常は先方が欲しがる個人情報をすでに持たれている点。住所と携帯電話番号は筆者もさすがにびっくりした。大企業からの情報漏洩は、被害が大きいので勘弁して欲しいところ。
とはいえ、これまで世界中のいろいろな企業から、何億件もの個人情報が漏洩している。そのデータはダークウェブでやりとりされており、無料でダウンロードできてしまうものもある。その情報を元に、お金を要求してくるなのだ。
効果的なのが、閲覧しているアダルトサイトと再生している動画と共に、PCのウェブカメラで撮影したユーザーの様子を合成した動画を作成していると脅していること。そして、PCをハッキングしたので、連絡帳のデータもすべて入手しており、友人や知人、職場の全員に送付すると脅している点だ。文面を信じた人にとっては悪夢だろう。
対応策としては、この手の詐欺があることを学び、無視すること。IDやパスワードなど、漏洩した個人情報で変更できるものは変更しておくこと。支払いはもちろん、返信などのリアクションを行わないことが重要だ。さらにPCのウェブカメラを無効にしておけば安心。
「警視庁サイバーセキュリティ対策本部」が公開している詐欺メールの英語版。現在は日本語版も出回っている
ASCII読者でも騙されるパターン その3
標的型ネット詐欺
不特定多数に詐欺メールをばらまくのではなく、特定の企業や個人をターゲットにして攻撃されることもある。この手法は、ビジネスメール詐欺といい、実際に多大な被害が出ている。2017年12月には、日本航空がネット詐欺のターゲットにされ、3億8400万円も犯人の口座に振り込んでしまったことが明らかになった。
まず、アメリカの金融会社から航空機のリース料の請求書が日本航空に届いたのだが、すぐに振込先が変更された請求書が来た。いつもの相手、いつもの文面なので、そのまま手続きして振り込んだところ、支払期限を過ぎて金融会社から催促がありネット詐欺被害が発覚したのだ。
ビジネスメール詐欺にはいろいろなパターンがある。
付き合いの長い取引先から「財務調査が入っているので、いつもの口座が使えないので、この口座に振り込んでください」と請求書と共にメールが来た
自社の経営者から「急ぎの買収案件があったので、至急資金を振り込んでくれ」と経理に連絡があった
海外にある子会社のCEOから、承認済みの取引に関しての送金の依頼があった
ポイントはいつも連絡している相手の名前で、いつもの調子の文面で送られてくること。本物と同じ請求書などの書類が使われていること。その上、絶妙なタイミングでメールが送られているので、騙されてしまうのだ。
メールをすでに盗み見されている
このようなことができるのは、あらかじめ犯人たちがターゲット企業のメールを盗み見しているから。誰がどのような形で送金に関わっているか、やりとりする方法、請求書の書式などの情報をじっくりと収集・分析しているのだ。その上で、ここぞというタイミングで可能な限り大きな金額のネット詐欺を仕掛けてくる。
日本航空のネット詐欺のケースでは、訂正版の請求書が添付されたメールの差し出しアドレスは本来のモノに似た文字列になっていたそう。ものすごく手が込んでいる。
じっくりメールを分析し、仲間が数人いるなら電話も併用して信頼度をアップさせることも考えられる。取引先のメールにも不正アクセスできれば、偽装メールではなく本物のメールアカウントから送信することも可能。こうなると、見抜く方が難しくなってくる。
IPA(情報処理推進機構)が公開しているビジネスメール詐欺でメールアドレスを偽装する手法
ASCII読者でも騙されるパターン その4
リバースヴィッシング詐欺
詐欺メールが来ても、その中に記載されているURLをクリックせず、自分で検索してウェブサイトにアクセスすればほぼ被害は回避できる。これまでは筆者もそのようにアドバイスしていたのだが、盲点を突くような新型詐欺が登場した。ユーザーが自分で検索して、アクセスしたページに自ら電話をし、個人情報を伝えてしまうという「リバースヴィッシング詐欺」だ。
これは、Googleマップの拠点情報をユーザーが書き換えられるという脆弱性を突いたネット詐欺だ。銀行などの問い合わせ電話番号を犯人が書き換え、かかってきた電話に対応するというもの。相談を受け付けるので、口座番号と名前、電話番号などを聞かれても答えてしまう人は多いのではないだろうか。
ユーザーが不審に思うまで、根掘り葉掘り情報を取りに来ることだろう。1000人に1人くらいは暗証番号を教えたり、何らかの理由でお金を振り込んでしまうかもしれない。現在のところの対処としては、Googleマップから電話をかけずに、きちんと企業のウェブページから問い合わせ先を探すようにするのが確実だ。
Googleマップの登録情報は、ユーザーが変更を提案できる
文面を見ればわかる、メールアドレスを確認すれば判別できる、金を振り込むようなことをしなければいい、などマイルールで自信満々の人ほど、そこ点をクリアしたネット詐欺にはストレートに引っかかってしまう。面倒なことだが、日々進化するネット詐欺の情報をウォッチし、デジタルリテラシーを向上することで自己防御してほしい。
筆者紹介─柳谷智宣
1972年生まれ。ネットブックからワークステーションまで、日々ありとあらゆる新製品を扱っているITライター。パソコンやIT関連の媒体で、特集や連載、単行本を多数手がける。PC歴は四半世紀を超え、デビューはX1C(シャープ)から。メインPCは自作、スマホはiPhone+Xperia、ノートはSurface Pro3とMacbook Air。著書に「銀座のバーがウイスキーを70円で売れるワケ」(日経BP社)、「Twitter Perfect GuideBook」(ソーテック社)、「Dropbox WORKING」(翔泳社)、「仕事が3倍速くなるケータイ電話秒速スゴ技」(講談社)など。筋金入りのバーホッパーで夜ごとバーをハシゴしている。好きが高じて、「原価BAR」を共同経営。現在、五反田・赤坂見附・銀座で営業中。
