狙われる自撮り写真:本人確認を要求する詐欺にご用心

2019年8月23日

オンラインサービスの中には、登録時の本人確認として、登録者自身と身分証明書を一緒に撮影した写真のアップロードを要求するものがあります。手間をかけずにあなたがあなたであることを証明する、便利な方法です。ただ写真を撮ってアップロードし、少し待てば、管理者があなたのアカウントを承認してくれるのです。

残念ながら、あなたの自撮り写真を欲しがるのは、評判の良い正規のWebサイトだけではありません。フィッシング詐欺師も同様です。今回の記事では、そうした詐欺の仕組み、犯罪者が身分証明書入りの自撮り写真を欲しがる理由、犯罪者にだまされないための方法について解説します。

本人確認の名目で

この手のフィッシング詐欺は、銀行、決済システム、あるいはSNSから「セキュリティ強化のために(または別の理由で)」本人確認が必要だという内容のメールが来るところから始まります。

メールに記載されたリンクをクリックすると入力フォームのあるページへ飛び、アカウントの認証情報、クレジットカード情報、住所、電話番号などの入力が求められます(リンク先は英語記事)。さらに、身分証明書やそれに類する公的書類をはっきりと見えるように掲げた自撮り写真のアップロードも求められます。

決済システムや銀行を装い、身分証明書と一緒の自撮り写真をアップロードするよう求めるフィッシングサイト

詐欺師が身分証明書付きの自撮り写真を欲しがる理由

冒頭で述べたように、一部のオンラインサービスでは、登録の際に身分証明書と一緒に写った写真を提出するように求められることがあります。しかし、うっかり詐欺師に送ってしまうと、あなたの名前でアカウントを作られてしまう可能性があります。たとえば、仮想通貨の取引所にアカウントが作成され、マネーロンダリングに使われるかもしれません。結果的に不法行為に巻き込まれてしまうかもしれないのです。

闇市場では、身分証明書付きの自撮り写真は身分証明書のスキャン画像よりも高値がつきます(英語記事)。詐欺師は需要の高い写真を手に入れて高く売り、購入した者は被害者の名前を自分たちの好きなように使います。

オンライン詐欺の典型的な特徴

ありがたいことに、細部まで行き届いた完璧なオンライン詐欺というものは、めったにありません。フィッシングメールや、メールに記載されたリンクから誘導されるWebサイトを注意深く確認すると、大抵は疑わしいところがいくつも見つかります。

1. 間違いや誤字脱字がある

このようなメールやデータ入力フォームが、流ちょうな文体で書かれていることはまずありません。大企業の公式Webサイトやメールが文法ミスや誤字脱字だらけなことなど、あるでしょうか?

2. 差出人のメールアドレスが怪しい

こういったメールの差出人のメールアドレスは、無料メールサービスのアドレスであったり、メール内で名乗っている企業とはまったく関係のない組織に属するアドレスであったりすることがしばしばです。

3. ドメイン名が一致しない

差出人のメールアドレスには不審な点がなくても、偽の入力フォームが置かれたWebサイトが、不正なドメインや無関係のドメインにあるかもしれません。正規のものとよく似た(でも少し違う)ドメインが使われていることもあれば、明らかに別物のドメインであることもあります。以下の例では、LinkedInから送られたように見せかけたメールが、なぜかDropboxのドメインに写真をアップロードするように要求しています。

4. 時間的余裕がない

このようなメールは、あの手この手を使って急き立てます。たとえば「このリンクは24時間で無効になります」と書かれているなどです。焦るとよく考えずに行動する可能性が高くなるため、詐欺師はこのテクニックをよく使います。信用のある企業であれば、理由もなく顧客を急がせるはずがありません。

5. すでに送ったはずの情報を要求される

要求された情報の一部であっても、登録時にすでに送ったはずのもの(メールアドレスや電話番号など)が含まれる場合は、3倍増しで用心してください。銀行の場合は、アカウントの開設時にあなたの身元は確認されているはずです。何だかよくわからない「セキュリティ強化」のために、もう一度本人確認を求められる理由は何でしょうか?

6. 提案ではなく、強要される

追加機能(セキュリティ関連の機能を含む)の提供と引き換えに個人情報の提出を求められるのはよくあることですが、情報の提出はメール経由ではなく、Webサイトの個人アカウント内で行われるものです。また、追加機能の申し込みを拒否するという選択肢があるのが普通です。しかし、フィッシングメールのリンクから誘導される入力フォームにはボタンが1つしかなく、自撮り写真をアップロードする以外の選択肢がないように見えます。

7. 公式Webサイトに情報が掲載されていない

長年利用してきたサービスで、実際に本人確認をしなければならないことがあるかもしれません。しかしそれは例外的な事例で、そうそうあることではありません。本当に本人確認が必要なのであれば、その件に関して企業の公式Webサイトで詳しく説明されているはずですし、ネット検索すれば情報が見つかるはずです。

身分証明書付きの自撮り写真を詐欺師に渡さないために

情報を要求された場合、特に身分証明書が絡む場合には、警戒しましょう。

  • しばらく利用しているサービスから本人確認を求められたら、まずは疑いましょう。そのようなメールを無視するべきかどうか迷ったときには、その企業の公式Webサイトで関連情報を探しましょう。
  • 文章の質に注目しましょう。企業から送られた公式のメールであれば文法ミス、誤字、脱字などまずあり得ない、ということを思い出してください。
  • メールの送信元はどこか、メール内のリンクが指し示すWebサイトはどこか、確認してください。企業からのメールであれば企業の公式ドメインから送られてきますし、例外的な場合なら企業の公式Webサイトに説明があるはずです。アンケート、ログインフォーム、その他の公式ページに関する情報も、通常は公式サイトに掲載されているはずです。
  • 情報の提出期限まであまり時間がないなどの制約がある場合は、警戒が必要です。サイバー犯罪者にデータを送るくらいなら、期限など守らなくても構いません。
  • 何か怪しいと感じたら、カスタマーサービスに問い合わせましょう。ただし、メール内に書かれている電話番号ではなく、公式Webサイトや、アカウント登録したときの登録確認メールに記載されている電話番号に問い合わせてください。
  • フィッシング対策機能やオンライン詐欺を防ぐ機能を持つ、信頼できるセキュリティ製品を使用しましょう。