2023年02月07日(火)公開
あなたは?「IDやパスワード漏洩は日常茶飯事に起こっている」AさんBさんの体験談『パス変更の翌日に再び被害』も
特盛!憤マン
私たちが日常的に使用するネットショッピング。Glossom株式会社が2022年に行った調査では、「Amazonや楽天などECサイトで買い物をしますか?」という質問に対して90.4%の人が「はい」と答えました。そんな中でECサイトを利用する際に入力する「ID・パスワード」を盗み取る『フィッシング詐欺』が横行しています。その巧妙な手口の実態に迫ります。
Aさんの場合:精巧に作られた配送通知…ログインすると…
大阪府に住む20代のAさんのもとに届いた1通のメール。
【Aさんのもとに届いたメールの内容】
「商品を1つ本日お届け予定です」
配送日時のお知らせと思いきやこのメールは実は精巧に作られた偽物でした。
(被害にあったAさん)
「身に覚えがなかったんですけど、もしかしたら何か頼んでいたのかなと思って、詳細にとんで何を頼んだか見ようと思って。そしたらフィッシングメールだったんですけど」
本物と見比べてみると、文言は違いますが偽物のメールにも「Amazon」のロゴが載っていて、一見しただけでは見分けがつきません。Aさんは本物のメールだと思い、リンクからログインを試みたといいます。そして5日後…。
(被害にあったAさん)
「『商品が注文されました』みたいなメールが来て、2商品が頼まれていて。全く身に覚えがなかったので」
アカウントを乗っ取られ、勝手にティッシュとイヤホンが注文されていたのです。しかも…。
(被害にあったAさん)
「これが勝手に使われた分で、その下に僕が頼んだとして(ティッシュを)僕の住所と名前で注文されていて。こっちの履歴だけ見られるんですよ」
カモフラージュのためか、ティッシュをAさんの自宅に注文。高額なイヤホン(2万6677円)は別の住所に非表示で注文されていました。そのため購入履歴には表示されず、発見を遅らせる狙いだったとみられます。Aさんは商品発送前に非表示の注文に気付いたため注文をキャンセルできました。金銭被害はなかったのですが、憤りを隠せません。
(被害にあったAさん)
「これが発送されていたらどうなっていたんだろうなっていう。泣き寝入りするしかないのかなと思うとむかつきますよね。若い世代がだまされることはないだろうと思っていたんですけど」
Bさんの場合:乗っ取り被害にあいパスワードを変更…しかし再び注文が!
同様の被害は他にもありました。青森県に住む30代のBさんも乗っ取り注文の被害にあいました。
(被害にあったBさん)
「Uber券(商品券)1万円分×5枚。『ご購入ありがとうございました』っていうAmazonからのメールが来ていたんですね。それで、こういう買い物はしていないぞということで…」
知らないうちに5万円分の商品券を注文されていたのです。Bさんはすぐにキャンセルしてパスワードも変更しました。ところが…。
(被害にあったBさん)
「次の日また同じことがあったので。2回目は同じもの(商品券1万円分)を22枚なので22万円」
憤マン取材班に対してAmazonは「個別事例には答えられない」として、パスワード変更後に乗っ取り注文をされた原因について明かしませんでした。
Bさんの2回目の乗っ取り注文は不正購入と認定されてキャンセルされましたが、まさか自分のアカウントが乗っ取られるとは思いもしなかったといいます。
(被害にあったBさん)
「本当に初めての経験だったし、ちょっと驚きと恐怖っていう感じでしたね」
精巧に作られた偽サイト「犯人に筒抜けになる仕組み」
アカウントはなぜ乗っ取られたのか。サイバー犯罪の専門家であるSBテクノロジー・セキュリティリサーチャーの辻伸弘さんは「フィッシングサイトを使った手口」だと指摘します。
(SBテクノロジー・セキュリティリサーチャー 辻伸弘さん)
「フィッシングサイトって言われるような、いわゆる偽サイトってやつですね。本物のサイトと同じような作りになっているものがあって。そこにメールとかで偽サイト(フィッシングサイト)に誘導させて、そこにID・パスワードを入力させて盗む」
偽サイトの中には本物のサイトをコピーして作られたものもあり、アドレス以外で見分ける方法がないといいます。
(SBテクノロジー・セキュリティリサーチャー 辻伸弘さん)
「表示されているページが本物です。では今から偽物に切り替えるので見ていてください。偽物です」
確かに見比べても瓜二つです。続いてIDなどを抜き取る方法を実際に見せてもらうと…。
(辻さん)「偽サイトの方にログインをやってみようかなと思います。ユーザーIDはですね、『MBS』でいいですかね。パスワードは何にしましょうかね」
(記者)「ではよんチャンテレビという番組なので『4chan』で」
(辻さん)「『4chan4chan』と入れました」
ログインボタンをクリックすると…。
(SBテクノロジー・セキュリティリサーチャー 辻伸弘さん)
「こんな感じで、入力した情報がフィッシングサイトを作った攻撃者・犯人に筒抜けになる、というものがフィッシングサイトのよくあるポピュラーな仕組みです」
フィッシングサイトにひとたび誘導すれば、秘密のパスワードも簡単に抜き取れるのです。
乗っ取り注文された商品は「海外転送倉庫」に
では注文された商品はどこに届けられるのでしょうか。Aさんのアカウントで勝手に注文されていたイヤホン。取材班はその届け先に指定されていた東京都内の住所に向かいました。その住所には…。
(海外転送業者の社長)
「(Q注文の住所がこちらに指定されていたが?)弊社は海外転送倉庫ですから。弊社が受け取る商品は、他社の注文になりますから、その中で不正利用されているかどうかの判断は弊社としてはできない状態ですね」
この業者は、会員登録した利用者がAmazonなどの通販サイトで注文した商品を、この倉庫を経由して海外に転送するサービスを提供しています。多くの通販サイトは海外に直接配送できないため、海外に住む人などがこうしたサービスを利用しているといいます。
(海外転送業者の社長)
「弊社としては、(不正利用を)発見次第、利用者のアカウントをブロックしたりIPアドレスをブロックしたりとかの対策しかできない。(Q不正なことにサービスが利用されていることについては?)このサービス自体は何も問題ないサービス」
個人情報保護の観点から乗っ取り注文を行った利用者の情報は公開できないと話しました。
『パスワードやIDが漏れることは日常茶飯事に起こっている』
こうした乗っ取り注文について、Amazonは「フィッシング詐欺に関連するウェブサイト2万件以上の削除に協力した」などと、不正行為を一切認めない姿勢です。
一方で、サイバー犯罪の専門家である辻伸弘さんは「アカウントの乗っ取りは今や珍しいことではない」と指摘します。
(SBテクノロジー・セキュリティリサーチャー 辻伸弘さん)
「偽物を見抜けたらいいんですけど、なかなか見抜けないと思うので。パスワードやIDが漏れることってすごい大事件のように感じるかと思うんですけど、日常茶飯事に起こっている」
フィッシングメールを何気なくクリックしたことから始まる乗っ取り注文。あなたのアカウントもいつの間にか乗っ取られているかもしれません。
2023年02月07日(火)現在の情報です