ギョッとするようなレポートがありました。国民生活センターは2024年7月31日、「○○ペイで返金しますと言われたら詐欺をうたがって!」という注意喚起を公開しました。引き続きインターネットに関連する詐欺は増加傾向にあり、その手法も非常に進化し、だまされる人が後を絶たない状況にあるようです。
今回驚いたのは、その相談事例として10代の詐欺被害事例が紹介されていたことです。事例については以下の通りです。
事業者に「返金コードを送るので、その数字『99980』を入力すると支払った代金分が返金される」と言われ、指示された通り『99980』と入力した。しかし事業者から返金はされず、逆に自分から事業者に9万9980円を送金してしまったことに気がついた。
(国民生活センターの報告書から引用)
報告書全文を読むと、二次元バーコードに既に金額情報が含まれ、利用者自身は数値を入力しないケースも見られるとあります。
セキュリティに詳しい人であれば、かつて「振り込め詐欺」で高齢者がだまされていたような内容であることに気が付くと思います。もしかしたら読者の中にも、高齢者がだまされる事例を見て「なぜそんなことでだまされるのだろう」と思うかもしれません。
しかし、もはや年齢とは無関係であるという認識を持つ必要があるかもしれません。なお、この報告書全文では年代別、性別件数が公開されており、これを見る限りはやはり高齢になるほど相談事例が多い傾向にはありますが、内容が内容だけに相談できずに泣き寝入りということも、全年齢で隠れているでしょう。詐欺は「自分だけは引っ掛からない」と思う人ほど、危ないということを理解して置く必要があります。
●最大の詐欺リスクはやはり「サポート詐欺」
「○○ペイで返金します」の詐欺は筆者も今回初耳でしたが、いま最も課題となるのは「サポート詐欺」だと思います。この詐欺では個人はもちろん、組織の中にいる個人である従業員も対象になるため、インターネットにつながる全員が手口を知り、警戒しなくてはなりません。
情報処理推進機構(以下、IPA)情報セキュリティ安心相談窓口は「サポート詐欺レポート」2024年版を公開しました。IPAといえば、大変有用な「偽セキュリティ警告(サポート詐欺)画面の閉じ方体験サイト」を公開し、啓発活動を続けています。
そのIPAが再び、大変重要な資料を公開してくれました。このレポートによると、近年の相談件数は増加傾向にあり、Webブラウザを利用する全ての人のリスクとなっていることが分かります。
ここでは、被害者が偽警告にどのように接触することになるのか、単なる不正な広告接触に限らず多岐にわたる手法がパターン別に紹介されています。
・アダルトサイトからの偽警告誘導
・検索結果からわなページに誘導
・Webページの広告枠からの誘導
・Webページの「次のページ」などに見せかけて誘導
・検索結果の広告として誘導
・Webブラウザの通知登録を悪用して誘導
・URL打ち間違いを待ち構えて誘導(タイポスクワッティング)
サポート詐欺の偽警告画面は、これまでであればESCキーを長押しすることで全画面表示を回避できるなどの方法がガイドされていたものの、現在ではさらに進化し、マウスカーソルが非表示になったり、ESCキーが無効になっていたり、さらにはWebブラウザを終了するAlt+F4キーの操作も回避されているという報告があります。
これはESCキーの操作がWebブラウザに到達していないことに原因があるため、マウスカーソルが表示されていなくてもまずマウスクリックを実施し、Webブラウザにフォーカスし、その後ESCキーを長押しする必要があります。これは筆者も知らなかったので、万が一偽警告が出てきたときにはこれをガイドしたいと思います。
その他、これまでであれば偽警告に表示された電話番号に電話をかけさせていたものが、ダイアログに利用者の電話番号を入力させ、その後電話がかかってくる手法があることなどが報告されています。これは050で始まるIP電話番号の取得に、特殊詐欺対策として本人確認が義務化されたことによる手法の変化のようです。相変わらず国際電話も利用されているため、偽の警告画面の次のステップであるオペレーターの電話対応部分までいかないよう、その手前で対処が必要です。
●報告/連絡/相談がここでも重要
IPAはこれらの手法を伝えるだけでなく、「安心相談窓口」も用意しています。個人向け、法人向けそれぞれに窓口がありますので、こちらも併せて知っておく/教えておくと良いでしょう。特に個人においては、親がPC/スマートフォンを活用している方であれば、これを伝えるとともに、自分も詐欺手法を把握しておくことが必要かもしれません。
今回紹介されている誘導経路には、多くが「Web広告」が関係しています。本来であれば、広告を配信、管理する企業、そして広告を表示するメディア側で対処をする必要があると思います。ただ、このレポートでも触れているように、悪意あるものはアクセス元をしっかり見て、広告配信業者やメディアによるチェックではないことを判定し、悪意ある偽警告画面を表示しており、「良い広告だけを表示する」ということが難しいことも理解できます。だからといって免責はされないとは思いますが……。
これらの「詐欺」は、リアルな空間で実行される犯罪と同様の対策が求められます。それはつまり「知る」ことで自分や家族を守るということです。サイバー空間であればデジタルな技術を使い、抜本的な対策ができると楽観的に思っているものの、まだもうちょっと時間はかかりそうです。今回の資料は読みやすく、万人に伝えたい内容です。まずは本コラムの読者の皆さんに読んでいただき、ぜひ、身近な人にもお勧めしてください。
詐欺による被害は金銭的なものだけではなく、精神的なものの方が致命的です。万が一家族や知人が被害に遭ったとしても、責めることだけは避けてください。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。