ウェブサイトを閲覧すると、突然「あなたのPCはウィルスに感染しました」という警告が出現する。広告バナーをクリックしただけで情報料として不当な金銭の請求がサイト上に出現する。こうしたネット詐欺の代表的な手口は、その存在を知っていれば間違いなく騙されないが、残念ながら被害は減少していないのが現状だ。
被害を食い止められない背景には、ネット詐欺の手口巧妙化が大きな要因として挙げられるが、一方で被害を受けるユーザー側が詐欺を見抜ぬけないという要因もあるのだという。なぜ、人はネット詐欺に騙されてしまうのか。その心理的特徴について、BBソフトサービスのシニアエバンジェリストである山本和輝氏が、フィッシング対策協議会のイベントで講演した。
山本氏はまず、ネット詐欺被害を巡る現状についてデータを挙げて紹介した。山本氏によると国民生活センターに2016年に寄せられたワンクリック詐欺の相談件数は約6万件。情報処理推進機構(IPA)に寄せられた相談件数を含めて、近年は手口の陳腐化や認知の拡大などを背景に減少傾向にあり、ネット詐欺の手口は新たなものに移行しつつあるという。それが、“偽警告・サポート詐欺”と呼ばれる手口。2017年にIPAに寄せられた相談件数の推移を見ても、月を追うごとにその件数は増加しているという。
では、偽警告・サポート詐欺とは具体的にどのようなものなのだろうか。山本氏によると、犯人は大手IT企業やセキュリティ会社を装ったなりすましサイトをPCのブラウザに表示させるとともに、ポップアップでウィルス感染などのセキュリティリスクを警告するメッセージを表示してユーザーの操作をロックする。ユーザーがその画面を消すことは困難で、パニックになったユーザーがメッセージに記載された偽サポート窓口に電話をすると、そこでサポートのためと称して遠隔操作ソフトを導入させ、PCの中の情報を抜き取ったり、偽のセキュリティ製品を購入させて金銭を奪ったりするのだ。山本氏は、警視庁が公開しているサポート詐欺の実例動画を紹介して、犯行のメカニズムを紹介した。
山本氏は、こうした偽警告・サポート詐欺の手口について「消せないメッセージで相手をパニックに陥らせるという心理的な変化につけこみ、偽のサポート窓口という“救いの手”に誘う。そこで、さらに相手を脅かし、焦らせ、指示に従わせる。画面に表示される“ユーザーID”は、ユーザーIDのブラウザに記録されたCookieなので、それを逆手に取って“あなた、このサイトを見ましたね?”と指摘されれば、ユーザーはなにも言えなくなる。そうして、犯罪者に言われるがまま被害に遭ってしまう」と解説する。
また、こうしたユーザーの心理的変化につけ込んだ詐欺の手口は、偽販売サイトによる詐欺行為でも見られるという。具体的には、人気ブランドや季節性の高い商品、入手困難な商品を並べた偽のECサイトを作り、決済時に登録する個人情報やクレジットカード情報を搾取するという手口だ。こうした手口はこれまでもあったが、たとえば日本語が不自然だったり、代金の振込先口座が知らない海外のものだったり、サイトにSSLが導入されていなかったりするといった“見分けるポイント”が存在した。しかし最近では、ブランドやカード会社のロゴや偽販売者の会社概要を掲載してサイトの信頼性を演出したり、SSLの証明書を実装しているサイトも出現しているのだという。
「(偽警告・サポート詐欺とは)逆に、安心感という心理的変化を生み出して商品探しや納期、値段に関心を集中させ、商品の希少性や期限性などをユーザーの背中を押す材料にして、クレジットカード情報や個人情報、IDやパスワードを入力させる。IDやパスワードは楽天やAmazonと共用している場合が多く、犯人はユーザーのアカウントで楽天やAmazonにログインし、商品を注文する。商品の送付先は空き家などを指定する場合が多く、空き家の前で待ち構えて商品を受け取り、転売してお金にするのだ」(山本氏)。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス