日ごろからさまざまなデータ漏洩が報道され、その責を負う企業に課される罰金についての報道もよく目にするようになりました。時には数十億に上る罰金が科されることもあります(英語)。データ漏洩に対して企業が罰金を支払わねばならないなら、その一部は被害者の元に渡るべき。そう思いませんか?
「米国通商委員会」からのサプライズ
私たちは先日、気になるWebサイトを目にしました。「Personal Data Protection Fund(個人情報保護基金)」という団体が所有するWebサイトのようで、メインページには、この基金が「US Trading Commission(米国通商委員会)」によって創設されたことが記載されています。
見たところ、そこそこ健全そうなサイトです。控えめなデザインで、右側には結構な金額が表示されています。一番上に表示された大きなバナーには「同基金が個人情報漏洩に対する補償金を支払う」旨が書かれていて、その下には、世界のどの国の国民でも申請できるとの説明書きがあります。
このWebサイトは、自分のデータが過去に漏洩したかどうかを確認できるとうたっています。確認するには、氏名と電話番号、そしてSNSアカウントの入力が必要です。入力フォームの冒頭には、他人のデータを入力した場合は厳しい刑罰の対象となるという警告が表示されています。
ところが、そのWebサイトは、まったく意味のないでたらめな情報でも受け付けることが分かりました。「fghfgh fghfgh」という名前をフォームに入力して照会してみたところ、漏洩に関するデータベースに接続しているような様子を見せました。
…そして、驚いたことに、この発音できない名前を持つ架空の人物のデータが、本当に漏洩しているという結果が返ってきました。それだけでなく、この人の写真や動画や連絡先情報がすでに誰かに使われていたことも判明しました。fghfghさんは2,500ドルを超える補償を受ける権利を持っていたのです!
「一時的社会保障番号」をお求めください
後は銀行の口座番号を知らせて補償金が振り込まれるのを待つだけかと思いきや、そうではありません。この基金は、社会保障番号(SNN)が分からないと補償金を送れないとのことです。社会保障番号とは、米国市民、永住者、仕事を目的とした一時滞在者に対して発行される9桁の番号です。米国では、税金の支払いのほか、仕事の応募、家の賃貸契約など、ほぼあらゆることに使われます。
しかし、社会保障番号を持っていなくても大丈夫。「I’am don’t have SSN」のチェックボックスをオンにすれば問題解決です(「私は社会保障番号を持っていません」という意味らしいのですが、この詐欺グループは英文法が苦手なようです)。
つまり、社会保障番号を持っていない問題を解決するため、一時的な番号を売ってくれるというのです。目の前に表示された補償金の額と比べれば、9ドルくらい大した額ではありません。
社会保障番号を購入せずに進もうとすると、エラーが表示され、一時的な社会保障番号の入力が要求されます。なにかのはずみで有効な社会保障番号を入力してしまった場合でも、一時的な番号の購入を求められます。
一時的な社会保障番号の購入を申し込むと、支払い用のフォームが表示されます。ロシアのIPアドレスから申し込んだ場合、支払いフォームはロシア語で表示され、購入金額はルーブルで表示されます。これは変です。米国政府機関が外国通貨での支払いを求めるとは、どういった理由なのでしょうか?
他の国から申し込んだ場合は、そこまで怪しくない英語のフォームが表示されるようで、こちらではドルでの支払いが要求されます。
ロシアのオンライン詐欺グループが海外進出を狙っている?
もちろん、これは詐欺です。「Personal Data Protection Fund」などという団体は存在しませんし、ご推察のとおり、「US Trading Commission」も架空の組織です。詐欺グループがなりすまそうとしていた組織の本当の名前は「Federal Trade Commission(連邦取引委員会)」ですが、連邦取引委員会が見境なく補償金をばらまくことはありません。
詐欺グループ自体がロシア語話者の集団である可能性が高いことは、ルーブルでの支払いフォームが示唆するとおりですが、これに加え、ロシアやCISの居住者をたびたび誘惑するもうけ話と不審なほど手口が似ています。
このような手口では、懸賞、調査、年金、タクシー配車のアルバイトなどさまざまなものが釣り餌に使われますが、いずれもロシア語で展開される傾向があります(そのため、リンク先の一部はロシア語です)。行き着く先は、いつも同じ。高額の臨時収入を約束して、その代わりに少額の支払いを要求してきます。手数料の名目で要求する場合もあれば、支払い保証金と称する場合もあります。一時的な社会保障番号の費用であっても不思議はありません。
今回の手口では、過去に見られた詐欺と同じ決済システムが使われています。これもまた、ロシアのサイバー犯罪者とのつながりをうかがわせます。年金詐欺と唯一異なるのは、攻撃の地理的範囲の広さです。たとえば、今回の詐欺で被害に遭った人々の居住国は、ロシアと近隣の国々だけでなく、アルジェリア、エジプト、UAEなどにも及んでいます。
罠にかからないためには
このような詐欺は、こういった話を素直に信じてしまう人を標的にしています。何よりも重要なのは、警戒を怠らないことです。
- 信じない。アンケートに答える程度のささいなことに多額の謝礼を約束するようなものは、ほぼ確実に詐欺です。また、お金と引き換えに何らかの支払いを要求されたら、詐欺だと思って間違いありません。
- 検証する。その団体の名前をインターネットで検索して、実在するかどうかを確認しましょう。実在したら、その団体のWebサイトを隅々まで見てみましょう。言葉づかいに注目してください。著名な団体が誤字や脱字だらけの文章を公開することはありません。
- 信頼できる情報源を利用する。個人情報、特にパスワードのセキュリティが気になるなら、自分のアカウントの情報が漏洩しているかどうかをhaveibeenpwned.comで確認しましょう。このWebサイトは情報セキュリティのエキスパートであるトロイ・ハント(Troy Hunt)氏が作成したもので、データ漏洩に関する最新情報がカバーされています。
- 自分自身を保護する。カスペルスキー セキュリティなどの信頼できるセキュリティ製品を使って、フィッシングやオンライン詐欺からの保護を講じましょう。