2017年9月11日

巧妙化する電話詐欺

セキュリティ 脅威

※訳注:日本では今のところほとんど耳にすることのない形態の電話詐欺ですが、存在する犯罪手口として知っていただくため、海外(主に米国)での例をご紹介します。

電話詐欺については、よく知られていると思います。皆さん自身、怪しげな電話を実際に受けたこともあるのではないのでしょうか。でも、見知らぬ相手からの申し出を受けることはしないかぎり、または、個人情報を渡したりしないかぎり、問題はないはずです。

実は、そうとも言い切れないことが判明しました。しばらく前、米連邦通信委員会(FCC)からちょっと変わった電話詐欺(「Can You Hear Me詐欺」)に関する警告が出されました(英語資料)。どういう詐欺かというと、詐欺師らが電話をかけてきて「聞こえますか?」と聞いてきます。特に問題もなさそうな問いかけですが、彼らが欲しいのは「はい」の一言です。詐欺師はこの肯定的な答えを録音し、相手が有料サービスに申し込んだことに仕立て上げ、電話料金と一緒にサービス料金を請求します。

相手の同意を得ることなく請求書に追加サービス(星占いやニュースが掲載されたメッセージの毎日送信など)を紛れ込ませる詐欺手口は、「クラミング」と呼ばれます。

クラミングはどういったからくりなのでしょうか。また、法執行機関や警察は何の手も打てないのでしょうか。録音した音声を使って他人を追加サービスに登録することは、本当に可能なのでしょうか。

技術的観点からいえば、クラミングは可能です。電話会社は、加入者の請求書に、第三者によるサービスの料金を記載することを認めているからです。

クラミングの手口自体は、新しいものではありません。怪しい電話番号のリストを公開しているWebサイト、800Notes.comがこの手口に関する情報を提供し始めたのは2008年に遡ります。当時、この手口は組織にサービスを売りつけるための手段として使われていました(英語記事)。罠にかかった人によれば、録音された音声は、被害者が有料サービスの追加に同意したかのように編集されていました。

行政はクラミングに立ち向かおうとしています。2015年、FCCは大手通信事業者であるVerizonとSprintに対し、身に覚えのないサービスを押し付けられた顧客のクレームを解決するために1億5,800万ドルを支払うよう命じました(英語サイト)。それでも、クラミングのような詐欺手口は、技術の進歩に伴い拡大する可能性があります。

ボイスバンキング

音声認証の普及に伴い、ごく近い将来、金融部門でクラミングと同じような問題が発生するかもしれません。たとえば、英国最大手銀行Barclaysは、2016年にすべての個人顧客を対象に音声認証サービスを導入しました。

国際的な金融公社であるHSBCでも、顧客はパスワードの代わりに音声認証を利用することができます(英語記事)。顧客はHSBCに電話し、コードワードを使って認証し、「私の声がパスワードです」と声に出して言う必要があります。

HSBCは、音声バイオメトリクス技術によって音声の身体的および行動上の微妙な差異を識別する声紋が作成され、顧客の録音音声を使って認証をくぐり抜けようとする企てを阻止するとしています。

さらに、電話詐欺を成功させるには、銀行顧客に秘密のフレーズを言わせなければなりません。そんなことはまず不可能なように思われますが、狙った顧客に何度も電話をかけて会話を重ね、必要な言葉を1つずつ引き出すことが可能かもしれません。

誰かが人を騙す方法を考え出せば、必ず他の誰かが騙されない方法を見いだそうとします。たとえば、Pindropが開発した技術では、さまざまな要素(位置情報など)を考慮し、離れた場所にいる人が本人かどうかを評価します(英語サイト)。たとえば、本来とはかけ離れた場所からの通話であれば、システムに警告が行きます。銀行では詐欺防止のために、こういった技術も活用されています。

絶対確実ではありませんが、どの通信チャネルが選択されているのかも詐欺を見分けるサインになります。Pindropの統計によると、詐欺師がVoIPを使用する割合は53%に上るのに対し、顧客本人がVoIPを使って銀行に連絡する割合は7%にすぎず、かなりの違いが見られます。そのため、PindropのシステムはVoIPによる通話に対して自動的に注意を払います。

当然ながら、詐欺師らは対抗手段を講じます。たとえば、接続不良を装うことで、理論上システムに発信者を特定されにくくするなどです。電話詐欺師が新手の強力なツールを使って攻撃の手を広げるのは、時間の問題でしょう。

何も言うまい

2016年のAdobe MAXカンファレンスでは、VoCoプロジェクト(平たく言うと「音声版Photoshop」)が発表されました(英語記事)。

このシステムは、録音した音声の断片を分析した後、元の録音には含まれていない言葉も含め、話者の音声サンプルを生成します。BBCの報道によると、この発明は情報セキュリティエキスパートの間で懸念を呼んでいます(英語記事)。VoCoは、原型にあたるグラフィック製品と同じように、人に害を為すツールや音声認証システムをかいくぐる手段になりかねないためです。

Adobeだけではありません。Googleはリアルな音声合成に向けた独自プロジェクトを2016年に発表しましたし(英語記事)、カナダを拠点とする新興企業Lyrebirdも音声生成技術を2017年4月に発表しています。システムを訓練し、録音した人の声でランダムなフレーズを発声させるには、1分程度の録音音声があれば十分です(米国の政治家による合成討論会はこちらで視聴できます)。Lyrebirdの開発者ですら、特に政界で活動する人々にとって、音声合成機能が危険因子となり得ることを認めています。

Lyrebirdの創始者らは同社の技術に潜む倫理的な問題に対し、以下の声明を出しています。「当社は、このような技術が存在することと、他人の音声のコピーが可能なことを、皆様に早く認識していただけることを願っています」

こういった手口に対処するには

  1. 何とかして一言「はい」と言わせようとする攻撃に対抗するには、抜本的な対策が必要です。FCCは、見知らぬ番号からかかってきた電話には絶対に出ないようにと勧告しています。本当に連絡を取りたがっている人であれば、メッセージを残すはずです。
  2. 個人情報は、一切教えないでください。
  3. 必ずすべての請求書に目を通し、心当たりのない項目がないか確認してください。
  4. 電話詐欺から身を守るための個人的な対策は、電話セールスお断りリストに自分の連絡先情報を登録し、テレマーケターから電話がかかってこないようにすることです。当然ながら、このような登録制度のある国でしか利用できません(米国など。リンク先は英語)。欧州連合の場合、少し面倒です。国ごとに電話セールスお断りリストがありますが、欧州全域をカバーする登録制度はありません。日本の場合は、電話・通信会社や携帯電話会社が用意する迷惑電話お断りサービスがあります。こちらは、かかってきた電話番号に対して次からは出なくて済ませるようにするタイプです。また、ナンバー・ディスプレイのサービスを電話会社に申し込んで、かかってきた相手の電話番号が表示されるようにしておき、心当たりのない番号の場合は電話をとらないようにするのも1つの方法です。