Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

進化する「オレオレ詐欺」「フィッシングメール」「架空請求」

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/9/24号)」に掲載されたものです

「オレオレ詐欺」「フィッシングメール」「架空請求」など、個人をターゲットとした詐欺犯罪が増加している。さらに大きな問題なのは、これら犯罪が登場当時より複雑になり、悪質化が進んでいることだ。

新しいセキュリティホールが見つかると、すぐに脆弱性を攻撃するウイルスやワームが登場するが、それと同様にこれら詐欺の進化は異様に速い。

いずれの詐欺事件も企業の流出個人情報と密接なつながりもあり、企業経営の観点からも無視できない存在となっている。

少額訴訟を悪用する新手架空請求

架空請求といえば、「無視」することが最大の防御と言われてきた。しかし、先週その対策法を逆手にとった新種詐欺が話題となった。「少額訴訟」を悪用する手口だ。

架空請求のハガキがいつのまにやら「内容証明郵便」へ変わったら要注意だ。これを従来同様に「関係ない」として無視し続けると、そのうち簡易裁判所から「少額訴訟の訴状」や「呼び出し状」が送付される。

しかし、これを身に覚えがない請求として、さらに無視を続けると、見事に罠にはまってしまう。欠席した少額訴訟の裁判は即日結審し、欠席した結果「敗訴」が確定してしまうのだ。裁判で支払うことが認められたことを理由に、架空請求ではない「正式な請求」として支払いを求めてくる。「架空請求」が話題となり、対策法が一般化したことを逆手に取った悪質な手口だ。

演劇化が進むオレオレ詐欺

従来、オレオレ詐欺の最大の特徴は。「おれおれ」と一人称を用いることにより、本人を装うことだった。しかし、状況は変わりつつある。無差別ではなく、電話先の家族構成はもちろん、生活スタイルまで、漏洩した個人情報を元にプロファイリングを実施、その上で詐欺を行う手口が増加しているという。

電話口に登場する人物も多様化し、一種劇団化している。警官や保険会社の社員、弁護士などさまざまな登場人物が事故や事件を演出する。本人役も登場するが、たいてい「泣きじゃくるだけ」や「ごめんよ、ごめんよ」と繰り返すのみなど、事故が原因に話ができない場合がほとんど。また、「事故のため茫然自失で話せない」と警官と称する人物が伝え、電話口にでない場合ある。

さらに別働隊が本人への連絡をブロックしているケースもある。会社で窓口対応を迫ったり、携帯電話へ不審電話をかけるなど、確認の手だてをシャットアウトし、確認できぬまま振り込ませてしまうのである。

フィッシング詐欺

シマンテックの調査によれば、日本の個人ユーザーにおいて半数強のユーザーが受け取っているというフィッシングメール。フィッシングメール先進国である米国では昨年1年間で500億ドルの損害が発生しているという。

最近では、企業など信頼できる相手と偽り、IDやパスワードを搾取するメールが増えている。メール送信者も詐称されている場合が多い。「IDやパスワードの再確認をお願いします」との内容が大半を占めるという。

メールはHTMLメールであることが多く、表示されているURLはダミーであったり、画像を用いることで不正URLの表示を回避している。また、パスワードなどを入力させるサイトは当事者サイトそっくりにデザインされており、URLを確認しないと本物と区別がつかない。

もっとも確実な回避方法は、URLのドメインをメールからコピー&ペーストで入力する。あるいは、アクセスしたURLを毎回確認することだ。

しかし、「決済ができなかったので至急アクセスしてほしい」など、消費者の不安を煽る内容など、消費者心理を巧みについた内容が多い。銀行などを装う場合、「数時間以内に確認しないと、取引停止になる」といった脅し文句も用意されている。

さらにURLの正当性を確認しようとも、JavaScriptなどを用いることにより、URL部分を非表示にさせるといったケースも多く、確認さえできない場合も多いようだ。

共通の背景に個人情報漏洩による裏名簿

無差別に攻撃するケースが多数存在する一方、個人情報を元にピンポイントで攻撃する事件が増加している。アダルトサイトや信販会社利用者など、特に狙われる傾向にあるようだ。

「オレオレ詐欺」などでは、事前リサーチにより、家族のプロフィールなど、本人しか知り得ないような内容まで調べられており、もはや「おれおれ」と騙らないケースも増えている。

架空請求なども、漏洩した情報を元に信販会社で実際に借りている金額などが明示され、本人と貸し手しか知り得ない情報が記載されているため、振り込みに応じてしまったケースも多い。

企業の姿勢が問われる

いずれも、当事者以外が通常知り得ない「事実に基づいた内容」が含まれている(と信じている)からこそ、被害が発生してしまう。企業の個人情報漏洩により二次被害は確実に起きている。

詐欺集団は、徹底したマーケティングリサーチにより、ターゲットから確実に金銭をむしり取るような手段を用意しているのだ。これら犯罪を完遂するためにも利用価値が高い個人情報が常日頃から狙われている。企業は漏洩防止策を早急に実行しなければならない。

個人情報の漏洩を防止するだけでも非常に難しいミッションとなるが、企業の抱えるリスクは、それだけで済まない。個人情報が漏洩せずとも、巨大ブランドを抱えていれば、名前を詐称するフィッシング詐欺も存在しているからだ。

自社ブランドを悪用する詐欺が発生すれば、自社に責任がなくとも、ブランドやサービスイメージの低下を招いてしまう。企業は、常にこれら動きを監視し、不穏な動きがあれば、顧客へ適切なアナウンスメントなどしっかり行わなければならない。

また、場合によっては提供している既存サービスの再構築が必要となるだろう。たとえば、URLをセキュリティ上の仕様として表示しないECサイトも多い。だが、これでは本物のサイトなのかフィッシングサイトなのかユーザーは判断がつかない。URLを明示することにより、正しいドメインのウェブサーバと通信していることをアピールしなければならないだろう。

これらリスクは、問題発生以前に対処しなければ、意味がない。現行システムにおける問題点を洗い出して再確認するとともに、顧客へ詐欺やフィッシングメールへの注意を促したり、防止方法を公開するなど、事前対策が重要となる。

(Security NEXT - 2004/09/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

海外子会社でランサム被害、情報流出など影響を調査 - 富士電機
アイ・オー製ルータ「UD-LT1」などに脆弱性 - すでに悪用も
「Veeam Backup & Replication」に複数脆弱性 - アップデートで修正
「Chrome」にセキュリティアップデート - 4件の修正を実施
米CISA、ファイル共有ツールなどの脆弱性3件を悪用リストに追加
「Cisco ASA」のウェブVPNログインページ脆弱性 - 攻撃試行を確認
プロバイダ向け「Veeam Service Provider Console」に深刻な脆弱性
11月は脆弱性22件の悪用に注意を喚起 - 米当局
NEC製ルータ「UNIVERGE IXシリーズ」に複数の脆弱性
別会員の購入情報が記載されたメールを誤送信 - FC東京