クレジットカードを少額で不正利用されていない？ 巧妙な新手口を解説

筆者に届いた注意喚起の電子メールは大したことが書かれていないように見えたが……（出典：JCBから筆者に届いた注意喚起メール）

　このコラムは企業向けIT情報メディア「ITmedia エンタープライズ」に掲載されているので、組織向けのセキュリティ情報を取り上げるようにしています。ただし筆者は最近、セキュリティ対策のあるべき姿に個人か組織かであまり違いはないのではないか、と考えるようになりました。

　毎年恒例の情報処理推進機構（以下、IPA）の「情報セキュリティ10大脅威」では、「組織」向けと「個人」向けそれぞれの順位が発表されています。とはいえ、多くの人が組織に属している以上、組織で起きている脅威を個人は無視できませんし、その逆もしかりです。筆者としては、“個人向け”と考えられている対策が、組織であまり進んでいないような気もしています。

　組織が“個人のこと”と考えていて、対策が進んでいないものといえばやはり「フィッシング詐欺対策」でしょう。組織への侵入経路は、相変わらずVPN機器の脆弱（ぜいじゃく）性が主流でしょう。ただこれよりも簡単なのは「正規のID／パスワードを盗む」ことです。個人向けの10大脅威の中でも、よく見ると不正に入手した認証情報があれば実行可能となっている脅威が幾つもあることに注目してほしいと思います。

●クレジットカードを少額で不正利用されていない？　巧妙な新手口

　IPAは2024年11月、サポート詐欺に関する注意喚起を発表しました。サポート詐欺は、相談件数こそ減少しているものの、それでも月に200件を超える相談が寄せられている、攻撃者にとって一定の効果が得られている手法です。現時点で有効と考えられる対処方法も掲載されていますので、ぜひチェックしておいてください。

　この注意喚起によると、「支払いのためにGoogle Playギフトカード・Appleギフトカードなどのプリペイドカードを近くのコンビニで買うように指示」する、さらにはサポートと称して“遠隔操作”を実行して「被害者にネットバンキングを開かせて不正送金を試みる事例」もあると言われています。

　通常の業務の中でこのような指示が出るケースは冷静に考えれば「ない」ということは分かるはずです。しかし攻撃者は被害者の冷静さを失わせるよう、巧みに会話を誘導し、判断力を鈍らせてきます。そのため被害者がだまされたことを責めてはいけません。それよりは詐欺の事例を知り、万が一サポート詐欺に巻き込まれたとしても、「これ、どこかで聞いたことあるな」と思えるようになることが、フィッシング詐欺への有効な対策です。