【ニュースリリース】パンデミックに便乗するサイバー犯罪:不安な消費者を狙うオンライン詐欺の数々

2020年4月9日

オンライン詐欺師が危機的状況や人気イベントに便乗して成功を収めていることは周知の事実です。現在、世界的に流行している新型コロナウイルス感染症(COVID-19)も例外ではありません。サイバー犯罪で儲けようとしている連中は、感染症の危機を速やかに、かつ、あらゆる手段で利用しています。RSAは、これまで自社のベストプラクティスで多くの詐欺を特定してきました。最近も多様な詐欺事例が観測されており、急増が懸念されています。

 

1.       アカウント乗っ取り

アカウント乗っ取りは、RSAがこれまでに幾度となく報告している手法のひとつです。通常、詐欺師は闇市場で売買されている個人情報を利用して、消費者アカウントを乗っ取ります。しかしここ数週間は、通学できずに自宅で過ごす子供たちを狙っています。子供たちに直接リーチして、オンラインゲームなどのアカウントを乗っ取ろうという狙いです。先日、著者の12歳の甥がアカウント乗っ取りの被害に遭いました。甥は、Xboxのアカウントをアップグレードしてあげるという「オンラインの友人」の親切な申し出を受け、ログイン情報を教えてしまいました。彼の新しい「友人」はログイン後、直ちにアカウントを乗っ取り、パスワードを変更し、ファイルに保存されていたクレジットカード情報を使用して数百ドルの買い物をし、決済しました。
子供たちの安全なリモートラーニングとサイバーセキュリティを守るため、「個人情報をオンラインで他人に公開しないこと」の徹底をお勧めします。

 

2.       フィッシング

COVID-19の恐怖を利用したフィッシング詐欺は少なくありませんが、RSAが特定した最も悪質な例の一つは、世界保健機関(WHO)を偽ったフィッシングメールです。恐怖を食い物にするのはフィッシング詐欺の一般的なシナリオで、個人情報の流出や信用が損なわれるのではないかという心配を餌食にしますが、最近はこれに、「死に至る病気への恐怖」が加わりました。
一例として、詐欺師は世界的なパンデミックから身を守るための安全対策情報を提供するWHOの医師を装います。メールのリンクをクリックするとマルウェアがインストールされ、受信者のデバイスから個人情報を収集したり、デバイスへのリモートアクセスを確立したり、アドレス帳の情報を盗んだりして、受信者の友人にメールを送信したりします。(注:世界保健機関はこれらのフィッシング詐欺を認識しており、偽の返信用電子メールアドレスやリンクを認識する方法などをWebサイトに注意情報として掲載しています。)

 

3.       ヴィッシング

ヴィッシング(Vishing:Voice Phishing)は、犯罪者が立場や所属を偽って標的に電話をかけさせるフィッシング攻撃の一種です。オンライン銀行口座とCOVID-19の共通点は何でしょうか。あなたが、残高不足で引き落としができなかったので銀行にお電話ください、と顧客にメールを送るような詐欺師でない限り、それほど多くはありません。これは典型的な手口ですが、最近では「COVID-19で財政状況に影響を受けている場合は、電話で支払いオプションについてご相談ください」というメールを送るという手口が発見されました。メールにはVoIPの電話番号が記載されており、リンクをクリックさせる代わりに電話をかけさせるこの手口は、お客様の力になりますという演技のもと、パンデミックで収入を無くした人や、経済的に窮地に立たされている可能性のある人を強力に引き寄せます。ヴィッシング攻撃では、詐欺師は通常、銀行や組織を代表する人物を偽って電話をかけてきますが、新しいタイプのヴィッシング攻撃はリバースヴィッシングと呼ばれ、電子メール、オンライン広告やソーシャルメディアの投稿を使用して標的自身に電話をかけさせるよう誘います。

 

4.       スミッシング

スミッシング(Smishing: SMS Phishing)は、電子メールの代わりにSMSを使用して、利用者をフィッシングサイトに誘導するフィッシング攻撃の一種です。詐欺師は、ここでもコロナウイルスを悪用しています。あるケースでは、英国税務当局であるHMRC所属だと主張する人物が、政府のCOVID-19対策に向けた取り組みの一環と考えられる「goodwill payment(税金還付や納税率が軽減あるいは税控除の対象となる、といったキャンペーンを指す)」について助言しています。最近散見されるのは、ロイヤリティポイント絡みのもので、リワードプログラムやボーナスポイントの通知です。支払要求やポイントを受け取るための条件として、アカウント情報を提供してくれる標的を探しています。

 

5.       ソーシャルメディア攻撃

あるソーシャルメディアで、大手小売業者が買物を楽しく盛り上げてくれている投稿がありました。もちろん、これは偽の投稿です。ソーシャルメディア上で見かける多くの偽投稿で、無料のペア航空券から1年分の食料品まであらゆる品物で標的を釣ろうとしています。ここでも詐欺師は寛大な行為の口実としてCOVID-19を使用します。しかし、詐欺師がソーシャルメディア攻撃を仕掛ける目的は、誰かがクリックして個人情報を提供したり、高額なサービスにサインアップしたりすることです。さらに投稿を友達と共有して、さらに多くの被害者を誘惑することです。

 

6.       偽Eコマースサイト

詐欺師が消費者のパニックを悪用して作った偽のWebサイトは数多くあります。このようなWebサイトのほとんどは、マスク、手指消毒剤、ビニール手袋、消毒剤など、世界中で需要の高い衛生製品の販売に関係しており、多くの場合、価格が割高です。Webサイトは、詐欺師がお金をだまし取るための単なる撒き餌であり、品物が買い主に届くことはありません。さらに厄介なWebサイトがあります。そのサイトはCOVID-19に対する無料のワクチンや治療法を提供すると偽り、カード情報や個人情報を盗みます。

 

7.       不正モバイルアプリ

必ずしもすべてのオンライン詐欺で電子メールや電話、テキストメッセージを利用しているわけではありません。最近ではモバイルアプリが、マルウェア、スパイウェア、ランサムウェアを拡散する手段として急成長しています。詐欺師は世界的に関心の高いCOVID-19に関連するさまざまな偽のモバイルアプリをリリースして、最新のニュース速報やアップデートを提供していると主張しています。代わりに、これらの偽のアプリは、被害者のモバイルデバイスを乗っ取ることができるマルウェアとランサムウェアをダウンロードします。RSAは、BankBot Anubis、Cerberus、DanaBotなどのAndroidバンキングマルウェアにリンクされている、COVID-19への関心を悪用した不正アプリを多数、発見しました。

 

8.       在宅勤務詐欺/マネーミュール

在宅勤務詐欺は、COVID-19を契機に多くの人々が直面している深刻な財政状況を利用する悪質な詐欺の1つで、最近、コンピューター セキュリティの分野で著名なジャーナリストであるBrian Krebsが報告したものです。詐欺師は、偽の慈善団体のウェブサイトを作り、感染者支援と偽り、マネーミュール(犯罪収益の運び屋)を募集しています。在宅勤務が詐欺に悪用されることは、以前の世界的な金融危機の際も同様で、RSAは当時発見された事例をレポートしています。
COVID-19により世界的な景気後退が発生した場合は、悪意のある人物が脆弱な消費者を食い物にし、在宅勤務詐欺が蔓延しかねないことを心に刻んでおいてください。

 

ソーシャルエンジニアリングが決め手に

詐欺の成功を左右するのは、ソーシャルエンジニアリングがうまく機能した時や、詐欺師が意図する通りに標的が実行してくれる(マルウェアをダウンロードするなど)場合に限ります。サイバー犯罪は人間の性質に依存しており、詐欺師はそれを操ることで成功することを知っています。詐欺師は賢く狡猾で、製品やサービスを購入させるためにマーケティング組織が使用する戦術を悪用しています。次の例を考えてみてください。

  • 切迫感:「今すぐ行動しないと、この魅力的な商品を見逃すことになります!ここをクリック(フィッシングメールまたはソーシャルメディアに投稿された偽のプロモーション)」。食品、手指消毒剤、トイレットペーパーなどの必需品の買いだめ傾向は、多くの人に切迫感をもたらしました。
  • 恐怖感:「引き落としできませんでした!」。多くの人々が経済的困難に直面していることを背景にした切り口です。例えば、アカウントをクリックしてリンクを更新しないと、ライフラインの供給が停止するかもしれないという恐怖感です。同様に、詐欺師は人々の家計への不安を悪用し、還付金や給付金、在宅勤務詐欺などを行っています。
  • 帰属意識:程度の差こそありますが、大多数の国で外出の自粛を呼びかけています。人々は社会的なつながりを求めて、ソーシャルメディアにこれまで以上に多くの時間を費やしています。個人情報をみだりに公開しないよう、オンラインで共有する情報には十分な注意を払ってください。

 

被害者にならないようにする

今後、パンデミックの最中に政府機関がハッキングされることや、病院や医療機関がランサムウェアの犠牲になってしまうことといった、私たちの想像をはるかに超えた緊急性の高いサイバー犯罪が発生するかもしれません。しかしこのような詐欺は、私たちが賢くネットを使用すればすべて防御でき、避けられることを知ってください。連邦通信委員会(FCC)のWebサイトから、ネット詐欺の被害に遭わないためのヒントをいくつか紹介します。

  • 知らない番号からの通話やテキストメッセージ、または疑わしいと思われるメッセージには応答しないでください。
  • 電子メール、テキストメッセージや電話で個人情報や財務情報を共有しないでください。
  • 情報共有を求める相手や、すぐに支払いを求めてくる相手には、注意してください。
  • 詐欺師は多くの場合、電話番号を偽装して、電話を取らせて会話しようとします。政府機関が個人に電話をかけて個人情報やお金を要求することは決してありません。
  • テキストメッセージ内のリンクをクリックしないでください。もし友人から不審なリンクを含むテキストを受け取ったら、友人に電話して確認してください。
  • 寄付をする時は、必ず事前に寄付先のサイトをチェックしてください(例えば、電話をかける、実際のウェブサイトを見るなど)。

 

詐欺師は、私たちが今般のウイルスを知る以前より、パンデミックから利益を得るための準備を整えていました。RSAは、コロナウイルスやCOVID-19といった単語を含む何万ものドメインが1月頃から新規登録されていたことを検知しています。同様に準備を整え、優れたサイバー衛生とセキュリティ対策を実践するかどうかは、今や私たち次第です。

 

RSAでは、このようなオンライン不正に対するソリューションとしてRSA Fraud and Risk Intelligence Suiteを提供し、eコマース事業者や消費者が安心してインターネットを利用できるよう、支援しています。

 

# # #

本ニュースレターに関するお問い合せ先

EMCジャパン株式会社 RSA事業本部 マーケティング部
PRマネージャー 嶋宮 知子
Tel : (090)7708-7522、eMail : tomoko.shimamiya@rsa.com

 

© Copyright 2020 Dell Technologies.、その関連会社。All Rights Reserved.
Dell, Dell EMC, Pivotal, RSA, Secureworks, Virtustream, VMware及びDell Technologiesが提供する製品及びサービスにかかる商標は、米国Dell Technologies又はその関連会社の商標又は登録商標です。その他の製品の登録商標および商標は、それぞれの会社に帰属します。

Recommended for you