残念ながら、無料航空券は当たりません

無料航空券をプレゼントするとうたう投稿がFacebook上で拡散されているようです。その実態を明らかにしましょう。

わりあい最近のことですが、信じられないほど大量の無料航空券を「航空会社の創立記念としてプレゼント」する、と偽る投稿がFacebookで出回りました。応募者は、この特典を受ける条件として、無料航空券配布用と見せかけられたWebサイトに「いいね!」をし、サイトのリンクを「シェア」しなければなりませんでした。

例によって、タダで何かをもらえそうだと思った人々によって、この手の投稿がFacebook上に溢れました。もちろん、実際にタダで手に入る航空券は存在せず、航空会社もこの件にまったく関係ありませんでした(英語記事)。一体、何が起こったのでしょうか。

Kaspersky Labのアナリストが発見したところによると(英語記事)、投稿に記載されているリンクをクリックすると、無料航空券の提供元とされる航空会社に応じて「deltagiveaway.com」「emiratesnow.us」「aeroflot-com.us」などのWebサイトに移動します。航空会社の名前は投稿によってさまざまで、航空会社各社が一斉に創立記念を迎えた勢いです(偶然にしては出来すぎです)。

リンクをぱっと見ただけだと、航空会社の名前が入っていて本物らしく見えます。見直してみれば怪しいと感じたかもしれませんが、無料航空券が手に入るチャンスがあって、誰かに先を越されるかもしれないというときに、わざわざ見直す気持ちの余裕はなかったかもしれません。

どのWebサイトにアクセスした場合でも、簡単なアンケートに答えるようになっています。質問は「これまで当航空会社を利用したことがありますか」「当航空会社で最も気に入っている点はどこですか」「サービスの品質に満足していますか」の3つ。質問に答えると、「無料航空券獲得まで、あと少し!」というメッセージが表示され、あとは、ソーシャルネットワークでWebサイトへのリンクをシェアし、航空会社にお礼のコメントを入力し、「いいね!」ボタンをクリックするだけです。

https://cdn.securelist.ru/files/2017/06/two_tickets_ru_3.png

ところが、「いいね!」ボタンをクリックしても、思ったとおりに進みません。さまざまなバリエーションがありますが、たとえば、携帯電話の番号を要求するWebサイトに送られたりします。まったく別のWebサイトにリダイレクトされたことに気づかないまま、携帯電話番号を入力して「確認」ボタンをクリックしてしまうと、実は費用が毎日発生する有料サービスに契約してしまうことになります。しかも、この偽サイトに携帯電話からアクセスすると「確認」のステップが不要な場合があるようで、そうなると、何かがおかしいことに気づかない可能性があります。こうした手続きを済ませたあげく、ようやく航空券などもらえないことに気付きます。

手口は国によって違っていました。たとえば、モバイルサービスの加入ページではなく、トラフィック数を上げるためだけに広告付きのページにリダイレクトされる場合もあれば、(航空会社とはまったく関係のない)アプリケーションのダウンロードを勧められる場合も、別の詐欺サイトへ誘導される場合もありました。いずれにしても、実際に航空券がプレゼントされたケースはありませんでした。

見え透いた手口にもかかわらず、非常に効果があったようです。同じようなリンク付きの投稿をニュースフィードに公開した人が何万人もいました。そして、まんまと罠にかかり、有料コンテンツの購読やアプリのダウンロードに同意してしまったのでした。ダウンロードを勧められるものの中には、ブラウザー拡張機能もありました。この拡張機能は、ログインID、パスワード、クレジットカード番号も含めたあらゆるデータをブラウザーから読み取る権限を持っていました。

無料航空券をもらえると期待したのが、SNSの知り合いに詐欺サイトやマルウェアを紹介してしまう結果になりました。当選した人はなく、詐欺に遭い、マルウェアに感染した人の数は相当な数に上り、この騒ぎは今も続いています。何かを無料だと期待させる詐欺は、また新たに登場する可能性が高いと考えてよいでしょう。どうすれば騙されず、知り合いに迷惑をかけずに済むでしょうか。

  1. おいしい話には裏がある、タダより高いものはない、そのことを肝に銘じましょう。もちろん、妥当な賞品が妥当な数量で提供される場合など、例外はあります。それでも、特に理由もなく「高級車がもらえます!」「航空券を何千人に一挙プレゼント!」などという話を信じるべきではありません。近寄らないことです。
  1. 個人情報の入力を求めるWebサイトのURLには、特に用心してください。そのサイトは、本当に自分がクレジットカード番号を入力しようとしているWebサイトでしょうか?個人情報を盗み取る目的のフィッシングサイトではないでしょうか。フィッシングを見分ける方法やフィッシングから身を守る方法は、こちらの記事を参考になさってください。
  1. 手当たり次第に投稿をシェアするのは止めましょう。SNSでのふるまい方を意識して実践しましょう。

このほか、セキュリティの基本として信頼できるセキュリティ製品をすべてのデバイスにインストールしておくことも、効果を発揮します。悪意あるブラウザー拡張機能がコンピューターにインストールされないようブロックしたり、フィッシングページに連れて行かれそうになったとき警告してくれたり、といった機能を持つセキュリティ製品が役に立つことでしょう。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?