だまされる理由、全部明かします セキュリティのプロが教えるサイバー詐欺の心理戦（2/2 ページ）

サイバー犯罪は金品を盗み出す方向から詐欺へと変化している。これは警察庁が発表した統計からも明らかだ。では、どうすればこのような詐欺に対抗できるのだろうか。ラックの専門チームが語った。

[宮田健，キーマンズネット]

　サポート詐欺の被害も継続して報告されている。サポート詐欺では、PCやスマートフォンでニュースサイトを閲覧していると、突然画面全体にウイルス感染が起きた警告とともに、Microsoftなど著名な企業のロゴと、サポートと称する電話番号が表示される。そこに電話すると、ウイルスの除去のために数万円を振り込め、と誘導される。

　サポート詐欺の問題点は、怪しいWebサイトではなく、いつも見ているWebサイトにも不正な広告が表示される可能性があることだ。広告配信業者は広告を審査しているものの、「犯罪者は身元を偽造して、広告配信業者が審査するタイミングだけ正常の広告を出し、後から不正な広告に差し替える」という作戦を取ると新林氏は述べる。偽の警告画面は簡単には消えず、心理的に焦らせることで成功率を高めている。その上で「解決策をぶら下げ、お金を出させる。焦っている被害者に対して連絡先を提示することで、自分では解決できなくても仕方がないと思う心理状況を悪用している」と述べる。

　対策は「警告画面に表示されている電話番号に電話をかけない」ことだ。画面を閉じることができない場合、［Esc］キーを押し、全画面表示を解除する、もしくは［Ctrl］＋［Alt］＋［Del］キーを押して、再起動すればよい。

「サポート詐欺」対策のポイント（提供：ラック）

高度化により誰もがだまされる　「フィッシング詐欺」

　フィッシング詐欺はもはや「だまされる」前提で考えた方がよいだろう。単純な偽メール、偽サイトだけではなく、利用者の心理を操作するような高度なフィッシングが流行しているからだ。金融機関をかたるフィッシングメールでも、「お取引目的等のご確認のお願い」というようなタイトルのメールが届く。もし利用中の銀行だった場合、同時期に正規の封書などを通じた連絡があったり、セキュリティ対策が強化されているといった報道があったりすると、ついクリックして、IDとパスワードを入力してしまう可能性がある。

　新林氏は「金融機関のマネーロンダリング対策の取り組みなど、実際にあるものに似せていると詐欺だと気付けない」と述べる。加えて本文は、金融機関の案内文をそのまま流用しているため、本物と同じ場合もある。「面倒なことになる前に解決したい、という被害者心理に付け込む。生活の口座として利用していると、利用停止は困ると考えてメールを受け取ると焦ってしまう。目の前にある解決方法をうのみにする傾向があり、そこを突いた攻撃だ」と新林氏は述べる。

　対策として「受け取ったメッセージはなりすましの可能性を疑う」ことだ。これはメールやSMS、郵便物の全てで注意していく必要があるという。特にIDやパスワードといった認証情報を要求してくる場合、フィッシングの可能性を考えて対応する（受け取ったメッセージを信用せず、別に調べた正規の窓口に連絡するなど）。

「フィッシング詐欺」対策のポイント（提供：ラック）

何を言われようと“犯罪”だと考えよ　「銀行口座売買」

　闇バイトの一つとしてよく挙げられる銀行口座売買に関しても詐欺がきっかけだ。まず「簡単に10万円の収入　詳細はDMで」といった呼び込みに応じてしまうと、使っていない口座を買い取るという話を持ち掛けられる。チャットの中でそれは犯罪ではないかと聞いたとしても、「厳密には犯罪だが、歩行者の信号無視のようなもので注意されるだけ」といったうその情報で安心させて、通帳のコピーや免許証のコピー、キャッシュカード暗証番号などが買い取りの対象になり、入金されると促してくる。

　銀行口座の売買は10年以下の懲役などが科される重大な犯罪だが、「手間をかけずにお金が手に入ること」そして「必ずしも犯罪ではない」と正当化していくことで、その心理的ハードルを下げてくると新林氏は述べる。「利用していない口座を持っている人は多く、生活に困窮している人にとってはある程度の現金を、インターネットのやりとりだけで得られることに魅力を感じてしまう心理を突いてくる」。特に犯罪者にメリットがあるのは「インターネットバンキング契約がない口座」であり、これはやりとりの中で得た情報を基に、犯罪者側だけで新たな契約が結べ、非対面で資金の移動ができる“使い勝手のいい”口座になるからだ。チャットの中でもインターネットバンキング契約の有無を聞いてくる場合があるという。

　「銀行口座の売買は犯罪だということを強く意識することが重要だ」

「銀行口座売買」対策のポイント（提供：ラック）

あなたを“詐欺演劇”の主人公に　「劇場型・預貯金詐欺」

　最後は犯罪者が警官や金融機関の名をかたり、複数の人間を登場させてだましにかかるというタイプの詐欺だ。警察を名乗り、あなたの口座が犯罪者に狙われている、しかしすでに銀行協会と話がついており、後ほど連絡する人間にキャッシュカードと暗証番号を渡してくれ……といった台本が用意されており、綿密な演技のために本当の話だと思い込んでしまう。

　攻撃者側は複数の人間が密に連携しており、不安感をあおった上で、警察や金融関係の団体名をかたり、具体的な対応方法を電話で説明する。こうして登場する相手を信頼してしまい、「うそのような話でもリアリティーがあるように」だまされてしまう。

　対策のポイントは、「そもそも銀行協会や金融機関、銀行員が暗証番号を尋ねることはないと覚えておくこと」だ。加えて、キャッシュカードや暗証番号、通帳は他人に渡してはならないという基本を忘れないことだ。さらに、これは電話を起点としているため、非通知の着信などはあらかじめブロックしておく、国際電話を利用できないようにしておくなどの対策も有効だ。

「劇場型・預貯金詐欺」対策のポイント（提供：ラック）

　以上をまとめると、次の図のようになる。

金融犯罪対策センターがまとめる4つの手口　「本物と錯覚させる」「おいしい話でひきつける」「話術と仕掛けで信用させる」「考えられない状況に陥れる」（提供：ラック）

詐欺被害に遭わないためにできること

ラックの小森美武氏

　最後に登壇した、ラックの小森美武氏（金融犯罪対策センター 金融犯罪対策エバンジェリスト）は、犯罪被害総額の急増に対して同センターができることをまとめた書籍を紹介した。『だます技術』（技術評論社）という書籍だ。「できれば同僚の方、それからご家族にもお読みいただきたい」と述べた。

　本セミナーでは、おもに「個人」を対象とした詐欺対策がまとめられていた。例えばIPAの「情報セキュリティ10大脅威」では脅威を個人編、組織編と分けている。この点に関して小森氏は、企画としては組織向けのまとめ方も検討されたとしつつ「今は個人を対象とした被害が多く、証券会社の不正取引も個人で発生しているため、まず一般の方により深く理解してもらうために本書をまとめた」と述べる。

『だます技術』（技術評論社）は金融犯罪対策センターのメンバーによって執筆された。

　企業組織の中にいる従業員も個人であり、家族の一員でもあるだろう。組織に対する詐欺としてはビジネスメール詐欺やCEO詐欺など、今回紹介したものと同様の手口による犯罪が横行している。その意味では、このような個人向けの詐欺対策も組織は自分ごととして考え、個人に対する詐欺対策意識の向上施策を、組織を挙げて実施する必要もあるのではないだろうか。

　小森氏が述べているように、この対策は一人だけでなく、身近な同僚、家族とともに結束して対抗していく必要があるだろう。詐欺の事例を話題にしていただき、相談できる人を増やしてほしいと感じる勉強会であった。