NHK『あさイチ』で博多華丸が感じた『スマホ詐欺』への疑問

いらすとや

KNNポール神田です。

■大手宅配業者を装ったショートメッセージに注意!

SMSでのニセメッセージ  出典:NHKあさイチweb
SMSでのニセメッセージ 出典:NHKあさイチweb

最近、大手宅配業者を装ったショートメッセージによる詐欺被害が増えています。その手口は、ショートメッセージにURLを記載し、それを開かせて不正なアプリをインストールさせるのです。

アプリをインストールしてしまうと、不特定多数の人に大手宅配業者を装ったメールが自動で送られるようになります。さらに、買い物した代金を携帯電話料金と一緒に支払う仕組みの「キャリア決済」が不正に利用され、金銭的な被害も生じます。宅配業者からのショートメッセージに限らず、身に覚えのないメッセージが届いた場合は、URLが公式サイトと同じか確認することが大切です。異なる場合は開かずにメッセージを消去しましょう。被害にあった場合は、消費者センターや情報処理推進機構で相談に応じています。

□消費者センター「消費者ホットライン」

電話番号:188(市街局番なし)

□情報処理推進機構

安心相談窓口:03-5978-7509

受付時間:午前10時から12時 午後1時半から5時 土日祝日・年末年始は除く

メールアドレス:anshin@ipa.go.jp

出典:4月22日(月)あなたは見破れる?巧妙化するスマホ詐欺

■『カモフラージュ詐欺』という新たな手口

2019/04/22/月 の『あさイチ』の番組では、大手宅配便業者の『不在届け』のSMSによる『偽メッセージ』を元に、送信主をたずねて北海道にまで取材を刊行。 北海道の送信主は、一般人であり、ショートメッセージ(SMS)の指示どおり、URLをクリックして、アプリをインストールしてしまったらしい。すると極悪のアプリは、スマートフォンを乗っ取り、勝手に数千名あてに用意された電話番号に差出人として発信してしまった。

『お客さまにお荷物のお届けにあがりましたが不在の為、もちかえりました。下記よりご確認ください。

https://sagawa-xxxxxx』

URLの先には、sagawa の文字が、しかし、『サブドメイン』なんて誰もが自由に設定できてしまうから信頼性はゼロだ。

サブドメインとは…

「○○○.co.jp」などの文字列の前に挿入し「△△△.○○○.co.jp」のようにしてドメインを区分けができるの機能のこと。

△△△ の部分は、sagawa だろうが yamato だろうが rakuten などと自由に変更できてしまう。そのサイトの本当の持ち主のドメイン名は、後半の○○○の部分。

アプリで乗っ取られただけではなく、ショートメッセージを送りつけた犯人に仕立て上げられてしまう。

そして、またアプリをインストールした人は…同様に知らない間にショートメッセージを送り、またアプリをインストールすると…が繰り返される。

そして、アプリをインストールして、スマートフォンが乗っ取られると、勝手にECサイトで買い物をされ、ギフト券など購入するとすぐに現金化されてしまう。本人が気づく時には、携帯電話のキャリア決済や、クレジットカードの一ヶ月後となってしまう。大きな金額ならば明細で気づくかもしれないが、少額の金額だと、まったく気づかず何年にもわたって請求され続けるということになってしまう。

■不要なアプリをインストールしない。アプリを見直す。なんでもクリックしない。

番組の中では、上記の『カモフラージュ詐欺』から『フィッシング詐欺』『ウィルス詐欺』などの攻略方法を1時間に渡り紹介していく。スマホシルバー世代にとっては、怖い話ばかりで、ネットでモノなんて買いたくなくなることだろう。

とにかく、危険なものには近づくなと警鐘を鳴らすことは簡単だ。

■http は怪しい httpsでないから…

さらに、ネットでログインするだけなのに『住所』を聞いてくるサイトは『怪しい』。httpで暗号をしていないサイトは『怪しい』とまで、すこし過剰なまでの警鐘にも変化してきた。

いや、疑り深いのは、とても良いことだ。しかし、httpのサイトも『怪しい』は勇み足かもしれない。まだ、https(SSL)対応の暗号化ができていないサイトは多いからだ。

■博多華丸の指摘 「トータル1時間、聞いていました。『嗅覚』ってことなんですよね?」

朝からスマートフォンの怖さを語られ、パスワードの弱さを指摘されてつづけたMC陣。博多華丸さんは、ついに… 「トータル1時間、聞いていました。『嗅覚』ってことなんですよね?」との問いにスタジオは大爆笑。筆者もコーヒーを思わずふきだしそうになった…。

そう、つまりこれが『正解』と完全に言い切れないのがセキュリティなのだ。そこを華丸さんは見事に『嗅覚』を研ぎ澄まさないという表現でまとめてくれた。いや、トータル1時間も説明を受けたところで、とどのつまり、「セキュリティには、正解なやり方がないんですよね?」という専門家への裏返しの鋭い指摘でもあったのだ。

『嗅覚』なんて体現化できない『セキュリティ』の概念はないはずだ。しかし、セキュリティを高めた後にも、詐欺グループはさらに高度化して次なるトラップを仕掛けてくるので、常にセキュリティは、後攻で攻めていくしかない。だから、といって『嗅覚』で片付けるべき問題ではない。一般の普通の人が理解できるセキュリティの最善策は、『do nothing 何もしないこと』だ。まずは、静観し、スルーする力が必要だ。焦らない。反応しない。驚かない。無視をする。しかし、それではセキュリティ対策とはいえない。『便利さ』と『セキュリティ』は常に相反する関係だ。

そして、被害に合うのは、いつも文面どおりに人を信じる善人だけが騙される。人を信じない疑ぐり深い人にならないと生きていけない世の中へとますます向かっている…。

■関連コラム

■盲導犬 「絶対に許せない!」に要注意!

■#Hassyon への注意喚起記事はDMCA悪用されサイトが潰される