キミのクレジットカード情報とID&パスワードも盗まれるかもしれない!? *写真はイメージです
これだけ注意を喚起されていても、番号盗用による「クレジットカード不正利用被害額」が、一昨年は過去最多の約177億円に上るなど、近年は増加傾向だ。「ネット詐欺」の巧妙化があまりにすさまじいからだ。ITジャーナリストの三上洋氏が最新手口と対策を徹底解説!
■検索結果の上位に偽サイトを表示
インターネットを使ったサービスが生活に定着して、すでに十数年。オンラインショッピングからレストランの予約、またSNSを使ったコミュニケーションなど、ボクらの生活はネットなしには成り立たなくなっている。
しかしその陰では、ネットを使った詐欺、クレジットカード番号や個人情報を盗み取る犯罪が多発している。
「こうした犯罪は、ネット利用の一般化と足並みをそろえるように活発化してきました。その手口は年々巧妙になっていて、クレジットカードの不正被害は増加傾向にあります。うっかりしていると、誰もがダマされてしまうのです」
こう警鐘を鳴らすのは、ITジャーナリストの三上洋氏だ。ではどこに、そしてどんな形で"落とし穴"が待ち構えているのだろうか?
「何か特定の商品を安く買いたいと思った場合、たいていの人はGoogleやYahoo!などの検索サイトを使い、『商品名またはブランド名+激安』というキーワードで探します。ところがその検索結果に、利用者をダマす偽サイトがいくつも含まれているのです」
でも、検索サイトはより有用と思われるページを検索結果の上位に表示するはず。そうした偽サイトを表示してしまう理由は?
「偽サイトの運営者が、検索サイトの仕組みを巧みに利用し、検索結果の上位になるようにしています。例えば、Googleの検索はほかのサイトからどれくらいリンクされているかで、ページの価値を判断するアルゴリズムを採用しています。
偽サイトの運営者はここに着目し、不正アクセスなどで乗っ取った数百、数千の個人サイトやブログから偽サイトへのリンクを張ることで、利用価値の高いページだと誤認させるのです」
なるほど、検索サイトもダマされているのだ。さらに最近は新たな手口も確認されている。
「検索サイトに特定のキーワードを入力すると、そのキーワードに関連するリンク付きの広告が、検索結果のページなどに表示されます。これを『検索連動広告』といいますが、広告をクリックした先が、偽サイトになっているケースもあります」
えッ! 偽サイトの運営者が堂々と広告を出している?
「はい。これはネット広告の申し込みが非常に手軽にできることを逆手に取った手口です。広告に関連づけたいキーワードやクリックあたりに支払う広告費などを指定し、クレジットカード番号を入力すれば、ほんのわずかな時間で広告が表示されます。
検索サイト側は申し込みのあった広告について『内容を審査している』としていますが、実際には『殺人』などのNGワードが入っていなければ素通りに近い。偽サイトや詐欺サイトの広告が堂々と出ている時点で検索サイトの広告は信用できません」
■公式サイトも危ない!「決済エラー詐欺」
では、そうした偽サイトを使ってしまったら、どんな被害に遭うのか?
「最も多いのは、クレジットカード情報の窃取です。購入手続きを済ませても商品が送られてくることはなく、クレジットカードが不正利用されます。その一方で、決済後に粗悪な偽ブランド品を送りつけてくるケースもあります。
代金を受け取ったにもかかわらず、何も送らないのは詐欺に当たりますが、偽物であれ送りさえすれば『それが本物かどうか』が争点になるため、詐欺での立件が難しくなるのです」
なるほど。では、「激安」といったキーワードで検索した結果や、「検索連動広告」に注意すれば、そうした被害は防げるってこと?
「基本的にはそうです。検索サイトの結果をうのみにせず、amazon、楽天などのトップページに用意されているサイト内の検索を使えば、こうした被害は防げます。
また、メーカーの公式サイトも、被害を防ぐには有効です。しかしここ最近、公式サイトでも新たな詐欺の手口が報告されています。これは100人が利用したら100人全員がダマされてしまうような、非常に巧妙なものです」
それは、どんな仕組みでしょう?
「まだ特定の呼び方は定まっていませんが、私は『決済エラー詐欺』と呼んでいます。ネット通販は商品をバスケットに入れ、決済ページに移動してバスケットの中身を確認、クレジットカード番号を入力するという流れが一般的です。犯人は公式サイトに侵入し、この決済ページの入力画面を書き換えてしまうのです」
つまり、公式サイトなのに決済ページの入力画面だけが"フェイク"にすり替わっているわけだ。これでは慎重な利用者でもまったく判別がつかない。
「この手口が巧妙なのは、偽の決済ページでクレジットカード番号を入力すると、『(たとえ正確でも)入力に誤りがあります』といったエラー画面が表示されることです。再入力しようとすると、今度は正規の決済ページが表示されます。
そうしてあらためて手続きすれば、商品は問題なく送られてきますから、利用者も店側も情報が盗まれたことに気づきません」
うーん、ネット通販を利用すること自体が怖くなってきた......。
■カード明細は「紙」で確認しよう
しかし、落とし穴はネット通販に限らない。
「去年発覚し、今も被害が出ているのが、宅配便の不在通知を装って詐欺サイトに誘導する手口です」
まず犯人は、「荷物のお届けにあがりましたが不在のため持ち帰りました。配送物は下記よりご確認ください」といった文面とリンクをショートメール(SMS)で送りつけてくる。そのリンク先に移動すると、宅配業者の公式サイトそっくりの偽サイトが表示される。そこから......、
「Androidスマホを使っている場合は不正アプリのダウンロードとインストールをさせます。一方、不正アプリのインストールができないiPhoneでは『Apple IDとパスワード』をそれぞれ入力させるのです。
Androidでも、Google Play以外からのインストールには警告が出ますが、偽サイトにはそれを回避してインストールする方法が懇切丁寧に書かれています。ダマされた人は『さすが大手宅配便会社、わかりやすい』と感心して不正アプリをインストールしてしまったそうです」
さらに、SNSを使った「懸賞詐欺」にも気をつけたい。
「例えば、Twitterに『フォローかRT(リツイート)するだけでゲーム機やiPhoneが抽選で当たる』という投稿が流れてきたとします。それに応募した人に『当選しました。送料が必要ですからクレジットカード番号を送ってください』と連絡し、情報を盗み取るというものです。
SNS上の懸賞、また有名人を名乗って送りつけられるメッセージは安易に信用すべきではないでしょう」
右に行っても左に行っても落とし穴だらけ。見破るのが困難でも、せめて被害を小さくするにはどうすれば?
「まず、スマホやパソコンの環境を整えましょう。最新のブラウザには、ネット上の詐欺サイトデータベースと連携し、そこへアクセスしようとすると警告を表示するものがあります。サポートが停止した古いブラウザでは、その機能がありません。ですから最新のブラウザに切り替えることをオススメします。
また、たとえ詐欺サイトに引っかかったとしても、クレジットカードには保険が備わっています。一般的なクレカには、不正使用から60日以内なら被害を補填(ほてん)する仕組みが用意されています。60日あれば、銀行口座からの引き落とし前に対処できるはずです。
ただ、スマホやパソコンで確認するネット明細の場合は、見ていない人も多いと思います。面倒でも紙の明細を送ってもらい、確認するクセをつけましょう。不正使用を放置すると、思わぬ高額請求につながることもあります」
ネットに氾濫するフェイクサイトから身を守るには、それなりの心構えと知識が必要だってことか。