NHK『あさイチ』で博多華丸が感じた『スマホ詐欺』への疑問
KNNポール神田です。
■大手宅配業者を装ったショートメッセージに注意!
■『カモフラージュ詐欺』という新たな手口
2019/04/22/月 の『あさイチ』の番組では、大手宅配便業者の『不在届け』のSMSによる『偽メッセージ』を元に、送信主をたずねて北海道にまで取材を刊行。 北海道の送信主は、一般人であり、ショートメッセージ(SMS)の指示どおり、URLをクリックして、アプリをインストールしてしまったらしい。すると極悪のアプリは、スマートフォンを乗っ取り、勝手に数千名あてに用意された電話番号に差出人として発信してしまった。
『お客さまにお荷物のお届けにあがりましたが不在の為、もちかえりました。下記よりご確認ください。
https://sagawa-xxxxxx』
URLの先には、sagawa の文字が、しかし、『サブドメイン』なんて誰もが自由に設定できてしまうから信頼性はゼロだ。
サブドメインとは…
「○○○.co.jp」などの文字列の前に挿入し「△△△.○○○.co.jp」のようにしてドメインを区分けができるの機能のこと。
△△△ の部分は、sagawa だろうが yamato だろうが rakuten などと自由に変更できてしまう。そのサイトの本当の持ち主のドメイン名は、後半の○○○の部分。
アプリで乗っ取られただけではなく、ショートメッセージを送りつけた犯人に仕立て上げられてしまう。
そして、またアプリをインストールした人は…同様に知らない間にショートメッセージを送り、またアプリをインストールすると…が繰り返される。
そして、アプリをインストールして、スマートフォンが乗っ取られると、勝手にECサイトで買い物をされ、ギフト券など購入するとすぐに現金化されてしまう。本人が気づく時には、携帯電話のキャリア決済や、クレジットカードの一ヶ月後となってしまう。大きな金額ならば明細で気づくかもしれないが、少額の金額だと、まったく気づかず何年にもわたって請求され続けるということになってしまう。
■不要なアプリをインストールしない。アプリを見直す。なんでもクリックしない。
番組の中では、上記の『カモフラージュ詐欺』から『フィッシング詐欺』『ウィルス詐欺』などの攻略方法を1時間に渡り紹介していく。スマホシルバー世代にとっては、怖い話ばかりで、ネットでモノなんて買いたくなくなることだろう。
とにかく、危険なものには近づくなと警鐘を鳴らすことは簡単だ。
■http は怪しい httpsでないから…
さらに、ネットでログインするだけなのに『住所』を聞いてくるサイトは『怪しい』。httpで暗号をしていないサイトは『怪しい』とまで、すこし過剰なまでの警鐘にも変化してきた。
いや、疑り深いのは、とても良いことだ。しかし、httpのサイトも『怪しい』は勇み足かもしれない。まだ、https(SSL)対応の暗号化ができていないサイトは多いからだ。
■博多華丸の指摘 「トータル1時間、聞いていました。『嗅覚』ってことなんですよね?」
朝からスマートフォンの怖さを語られ、パスワードの弱さを指摘されてつづけたMC陣。博多華丸さんは、ついに… 「トータル1時間、聞いていました。『嗅覚』ってことなんですよね?」との問いにスタジオは大爆笑。筆者もコーヒーを思わずふきだしそうになった…。
そう、つまりこれが『正解』と完全に言い切れないのがセキュリティなのだ。そこを華丸さんは見事に『嗅覚』を研ぎ澄まさないという表現でまとめてくれた。いや、トータル1時間も説明を受けたところで、とどのつまり、「セキュリティには、正解なやり方がないんですよね?」という専門家への裏返しの鋭い指摘でもあったのだ。
『嗅覚』なんて体現化できない『セキュリティ』の概念はないはずだ。しかし、セキュリティを高めた後にも、詐欺グループはさらに高度化して次なるトラップを仕掛けてくるので、常にセキュリティは、後攻で攻めていくしかない。だから、といって『嗅覚』で片付けるべき問題ではない。一般の普通の人が理解できるセキュリティの最善策は、『do nothing 何もしないこと』だ。まずは、静観し、スルーする力が必要だ。焦らない。反応しない。驚かない。無視をする。しかし、それではセキュリティ対策とはいえない。『便利さ』と『セキュリティ』は常に相反する関係だ。
そして、被害に合うのは、いつも文面どおりに人を信じる善人だけが騙される。人を信じない疑ぐり深い人にならないと生きていけない世の中へとますます向かっている…。