有料動画配信サービスの利用者を狙うフィッシング

有料動画配信サービスの利用者を狙う、典型的なフィッシングの例を見ていきます。

このコロナ禍において、映画やテレビ番組は人々の心の支えとなってきました。NetflixやAmazon Primeなどの動画配信サービスでは、新番組の数が急増しています。しかし、最新の話題作を探すときには、基本的なセキュリティの対策をお忘れなく!うっかりしていると、自分のアカウントが誰かに勝手に使われていたり、最悪の場合、クレジットカードを不正利用されたりするかもしれません。

セキュリティのことをあれこれ調べるよりも、次に何を見ようかと考える方が楽しいものですが、あなたの個人情報やクレジットカード情報を手に入れようと、サイバー犯罪者たちは虎視眈々と狙っています。

フィッシングのサンプル

動画配信サービスの支払い方法はさまざまですが、一般的なのはクレジットカード払いです。カード情報があるところに、フィッシングあり。さらに、動画配信サービスを利用していない人と長年利用している人では、異なる形のフィッシングに遭遇する可能性があります。情報提供に同意してくださったお客様から、いくつかのフィッシング事例を提供していただきました。

「今すぐお申し込みを!」

ストリーミングサービスに登録するには有効なメールアドレスが必要で、支払いにはクレジットカードやPayPalアカウントなどのオンライン決済手段が必要です。(Apple TVを視聴する場合は、Apple IDも必要です)

そんなわけで、サイバー犯罪者たちは、こうした情報を一度に手に入れられるような偽のログインページを作成して利用します。決済情報が手に入ればすぐにお金を引き出したり使ったりできますし、メールアドレスは後々の攻撃に利用可能なのです。

下の画像は、偽物のNetflixログインページです。フィッシングであることを示す兆候は、分かりますか?

偽のNetflixログインページ

偽のNetflixログインページ

「支払い情報を更新してください」

あなたがすでに有料会員である場合、サイバー犯罪者は「アカウントが使えなくなる」と脅してきます。下の例は、支払い情報を更新するか確認するかしなければアカウントを閉鎖する、という内容のメールです。「今すぐアカウントをアップデートする」と書かれた赤いボタンがありますが、焦ってクリックしてしまわないでください。映画では、赤いボタンを押すと、だいたいろくなことになりませんからね。

支払い情報の更新または確認を迫るフィッシングメール。英語のスペルがおかしい

支払い情報の更新または確認を迫るフィッシングメール。英語のスペルがおかしい

この赤いボタンのところをクリックすると、支払い情報確認ページが表示されます。

さて、大体のフィッシングメールには、ぱっと見て分かるようなスペルミス(この場合は「customers」でなく「costumers」になっている)など、分かりやすい間違いがあることが多いものです。しかしここでは、本物らしく見える例として、支払い情報確認ページを見ることにしましょう。この入力フォームのページにスペルミスはなく、デザイン的に変な要素もありません。うっかりボタンをクリックしてこのページに誘導されてしまった場合、クレジットカード情報を盗まれてお金を失うことになる可能性があります。

アカウントを再開するためとして個人情報とカード情報の入力を求める偽のNetflixページ

アカウントを再開するためとして個人情報とカード情報の入力を求める偽のNetflixページ

危険なプレミア公開

下の例は、人気番組を視聴できるとうたってNetflix会員ではない人を引き付けようとする偽のWebサイトです。

『マンダロリアン』の視聴またはダウンロードが可能だとうたう非公式サイト

『マンダロリアン』の視聴またはダウンロードが可能だとうたう非公式サイト

新しい未放送のエピソードだという短い動画を再生できますが、大抵の場合、公開済みの予告編から一部を切り取ってあるだけです。視聴を続けようとすると、低価格での購読を求められます。後はお決まりの展開です。入力した支払い情報は詐欺師の手に渡り、見ようとしたエピソードは見られません。

他人の手に渡ったアカウント

サイバー犯罪者が狙うのは、カード情報だけではありません。動画配信サービスのアカウント情報も狙っています。乗っ取られた有料会員アカウントがダークWebで売りに出され(英語)、本人がある日ログインしたら別の人がアカウントを使っていた、などということになりかねません。

Netflixのプランによっては1〜4台のデバイスで同時にストリーミング再生が可能なので、サイバー犯罪者は、あなたのログイン情報を複数の人に売ることができます。そのため、知らない人がサインアウトするまで待たされるような事態が起きるかもしれません。

本物そっくりな偽のNetflixログインページ

本物そっくりな偽のNetflixログインページ

それだけでは済まない可能性もあります。別々のアカウントで同じパスワードを使用する人は多いですし、一度盗み出されたパスワードの情報はなかなか消えません。どのアカウントも同じパスワードだった場合、パスワードを一度フィッシングページに入力してしまったら、自分が持っているすべてのアカウントが乗っ取りの危険にさらされることになります。

ストリーミングを安全に楽しむために

サイバー犯罪者は、映画やテレビ番組シリーズを楽しむ人々を、さまざまな方法でだまそうとします。簡単に見破れる場合もあれば、そうでない場合もあります。以下に紹介するセキュリティの基本は、動画配信サービスの偽物にだまされないためだけでなく、フィッシングへの全般的な対策としても役立ちます。

  • ストリーミングサービス(またはその他のサービス)から届いたように見えるメールでも、メール内のリンクはクリックしない。公式サイトにアクセスするときは、URLを自分でブラウザーのアドレスバーに入力するか、アプリからアクセスしてください。
  • 公式のプレミア公開前に映画や番組を視聴できる、という話は信用しない。
  • フィッシングメールであることや偽のWebサイトであることを示す兆候を見逃さないようにする。
  • 油断することなく、詐欺やフィッシングについての情報を得るようにする。信頼できるのはどんなメールやWebサイトか、避けた方がよいのはどういったものか、見極める方法を学びましょう。
  • 重要なアカウントには、一つ一つ異なるパスワードを使用する。パスワードの保管には、パスワードマネージャーが便利です。
  • 悪質な添付ファイルを識別し、フィッシングサイトをブロックする機能を持つ、信頼できるセキュリティ製品を使用する。
ヒント