2012.6.6

FacebookやTwitterに届く怪しいメッセージの真の目的と対処方法

あなたの秘密を盗む「フィッシング詐欺」

サイバー犯罪者は常に、インターネットの危険性に疎いユーザーを「フィッシングサイト」へ誘い込もうとしています。その一般的な手口は、「宝くじ当選おめでとうございます」「銀行口座閉鎖のご連絡」「ご注文の確認」「請求内容の確認」「過払い税金の還付」といったメールが届く事から始まります。サイバー犯罪者はそんなメールを不特定多数に送りつけ、受け取った何人かが罠にかかり、悪意のあるリンクや不正な添付ファイルをクリックしないかと待ち構えているのです。身に覚えのない連絡や怪しいメールには、どんなに注意してもし過ぎることはありません。今回は、FacebookやTwitterに届くフィッシングメールの事例を挙げながら、身を守る方法と対策について紹介します。

危機感を忘れがちな、ソーシャルメディア

インターネットのソーシャルメディアは誰でも手軽に利用できることもあって、普段はセキュリティ意識が高い人でも油断してしまいがちです。通常の電子メールでは引っかからないような詐欺にも、ソーシャルメディアでは罠に落ちるケースが多発しています。そうした被害に遭わないために、どのような点に気を付ければよいのでしょうか。

Facebookの場合

Facebookは実名や出身地/居住地といった個人情報を公開して、ユーザー同士コミュニケーションを取るのが大きな特徴です。その一方で、サイバー犯罪者による嘘のメッセージ・ウォール投稿などによる、個人情報を狙ったフィッシング詐欺も増加しています。

2011年4月前後にFacebookで広がった“Microsoft Lottery Scam”の事例をご紹介します。ある日、Facebook上で、あなたにメッセージが届きました。文章には「おめでとうございます。あなたはマイクロソフトの宝くじに当選しました。」と書かれています。ところがよく見ると、送り主は知り合いではなく、差出人の名前を検索して本人のページを確認しましたが、プロフィールは公開されていませんでした。Microsoft Lottery Scamに限らず、以下の状況証拠から、こうしたメッセージは疑わしいものであると推測できます。

メッセージの送信者を知らない。
マイクロソフトが主催する抽選会には参加したことがなく、そのようなキャンペーンについても聞いたことがない。
マイクロソフトは米国企業であるにも関わらず、賞金がポンドで提供される。
通貨表記が、ポンドの正式表記であるPound Sterlingではなく、Great British Poundsとなっている。
Facebookがクレーム部門を運営していると書かれているが、実際にそのような発表は一切ない。

Twitterの場合

知られている詐欺の手法は、いずれもよく似ています。まず、Twitterから当選を知らせるメールが届きます。文章には、「おめでとうございます。あなたはTwitterの宝くじに当選しました。」と書かれています。

ユーザーがこのメールに返信したら、サイバー犯罪者である差出人は「口座に送金するため」と称して銀行口座の情報を聞き出し、身元を証明するため、住所、電話番号などあらゆる個人情報を求めてくることでしょう。たった1通のメールから、個人情報を騙し取られ、なりすまし犯罪の被害に遭ってしまう確率は、決して低くはありません。

怪しいメッセージを受信したら!? 被害に遭ってしまったら!?

盗まれた個人情報はどうなる？

銀行口座への不正アクセス

サイバー犯罪者は盗んだパスワード、ユーザー名などを使用して口座に直接アクセスし、送金や取引などを実行しようとします。さらにパスワードが変更されてしまうと、たとえ自分の口座でも、アクセスできなくなってしまいます。

クレジットカードの使用

カードの有効期限や氏名などの情報が流出した場合、サイバー犯罪者によってオンライン決済が実行され、その金額が口座に課金されてしまいます。

なりすまし犯罪

PAN（米国納税者番号）、銀行口座、クレジットカードなどの情報がサイバー犯罪者の手に渡ると、犯人はその情報を使って、簡単にプロフィールを作成できます。このプロフィールは、犯人自身が使用することもできますし、第三者に売却されさまざまな犯罪に利用されることもあります。その結果、数カ月、また時には何年もかかって、法的な問題の解決や無実の証明、負債の完済をすることになってしまうのです。

怪しいメッセージを受信したときは？

リンクをクリックしたり、添付ファイルを開いたりせず、メール自体を削除しましょう。
ポップアップウィンドウに、個人情報や金融機関の情報を入力しないようにしましょう。
メールに記載されているリンクからネット銀行にアクセスしないようにしましょう。※
疑わしい場合は、配信元となっている企業や個人に直接連絡を取って確認しましょう。
適切な証明のないオンライン企業や雇用主に、銀行口座などの情報を提供しないようにしましょう。

※ネット銀行で取引するときは、アドレスバーに直接アドレスを入力するか、自分が普段使っているブックマークを使用してください。

万が一引っかかってしまったら？

パスワードを変更し、すぐにクレジットカードを止めてください。
友人全員に連絡し、犯人があなたのメールアカウントから連絡することを防ぎましょう。
銀行の口座情報が盗まれた場合は、警察のサイバー犯罪対策窓口に連絡しましょう。

フィッシング詐欺から身を守る予防法は？

高度なフィッシング詐欺対策ソフトを搭載した、総合セキュリティソフトを使用しましょう。
複数のシステムで同じログインID/パスワードを使うのをやめましょう。
パスワードを定期的に変更することも有効です。
インターネットを利用するときは、セキュリティソフトスパムフィルターを｢オン｣にしておきましょう。
スパムは必ず報告しましょう。
支払いなどのオンライン決済は、鍵付きでURLがhttps://で始まり、認証サービスロゴ等がある安全なサイトを使用しましょう。

セキュリティアドバイス

セキュリティ意識を保って、ソーシャルメディアを楽しもう

今回ご紹介したようなケースから、サイバー犯罪のプラットフォームが、メールからソーシャルメディアへ移行していることが分かります。その背景には、コミュニケーション形態が手軽になるほど、ユーザーのセキュリティ意識も低下するという相関関係が浮かび上がっています。ネットワークに接続している場合、インターネットの脅威に接しているというリスクは、扱うアプリケーションに関わらず皆同じと考えた方がよいでしょう。決して注意を怠らずに、ソーシャルライフを楽しんでください。