ITエンジニアのための勉強会・イベントレポート情報メディア

trend

"ビッシング詐欺"ってなんだ!?
インド発のグーグルマップを悪用した詐欺がアジア圏で拡大中

2019.06.21

 
  • このエントリーをはてなブックマークに追加

ビッシング詐欺とは
電話を使った古典的な詐欺

インドで始まったグーグルマップを悪用したビッシング詐欺がアジア圏に拡大中で、日本への上陸が懸念されている。

ビッシング詐欺とは電話を使った古典的な詐欺。ボイス・フィッシング(声でカモを釣り上げる)の略だ。

このビッシング詐欺は、古くからあり、そして今でも少数ながら起きている。最も古典的な手口は、犯人がランダムに電話をかけ、音声テープや合成音声で「こちらは◯◯(有名な金融会社の名前と誤解するような社名を使う)。あなたのクレジットカードに不正利用があった可能性があります。番号xxxx-xxxxの弊社カスタマーサービスに電話をして、ご確認をお願いします」と言うもの。伝えられた電話番号はもちろんカード会社とはなんの関係もない犯人が用意したもの。電話をすると、テンキーからクレジットカード番号やセキュリティコードの入力を求められ、カード情報が盗まれてしまうというものだ。

この詐欺のポイントは、人が電話をするのではなく、合成音声で電話をするという点だ。人間が電話をした場合、その話し方、態度などから意外に人間は怪しい臭いを感じ取ることができる。しかし、合成音声だと、「そこまで大掛かりなシステムを使うのは、ちゃんとした大手企業に違いない」と勝手に思い込んでしまうのだ。

「◯◯銀行 お問い合わせ」
などと検索、これが危ない

これがインターネット時代になって、ウェブサイトが利用されるようになった。必要があって、銀行などの金融機関のコールセンターに電話をしたい時、その銀行のサイトに行き、「お問い合わせ」などのメニューの選び、番号を調べるのが一般的。しかし、「◯◯銀行 お問い合わせ」などと検索してしまう人はいないだろうか。この方が直接お問い合わせページが表示されるので便利だからだ。これが危ない。

犯罪集団は、銀行のお問い合わせページにそっくりなページを用意し、「◯◯銀行 お問い合わせ」に対するSEO対策をしておく。本物の銀行よりも検索結果の上位に表示しておくようにするのだ。日本の都市銀行のような大手銀行に対しては難しいが、海外では小さな地方銀行も多い。このような小さな銀行であれば、SEO対策も甘く、検索結果で本物よりも上位に表示させることができる。もちろん、ここに記載されている電話番号は本物ではなく、犯罪集団が用意した偽のコールセンターで、口座番号や暗証番号、クレジットカード情報を聞き出す。

仕組みとしては幼稚な手法だが、合成音声やウェブページというテクノロジーを介することで、被害者はうかつにも信用してしまい、まんまと犯罪集団が用意した罠にみずから電話をかけてしまうことになる。

犯人集団は、
銀行のグーグルマップ情報に
大量の情報修正の提案をし、
電話番号を自分たちのものに

この古典的手法は今でも続いている。The Economic Timesの報道によると、カリフォルニア州在住のあるユーザーのiPhoneに、アップルサポートと名乗るメッセージが残され、発信元の電話番号にコールバックしてほしいと言う。かけ直すと、自動応答システムに続いて、インド訛りの英語を話す男性が対応し、アカウント情報などを聞き出そうとした。不審に思ったユーザーがアップルのサポートに問い合わせたことから、この事件が発覚をした。

インドで流行したビッシング詐欺は、グーグルマップを悪用したものだ。今や、グーグルマップは街中でのプラットフォームアプリになっている。例えば、レストランを探す時、従来であれば多くの人がレストランガイドアプリを使っていたはずだ。しかし、今では、グーグルマップを開いて、そこに「カレー」などの食べたい料理を入力するだけで、周辺のカレー店が検索され、しかも口コミ評価、営業時間なども表示される。生活関連のことであれば、検索をしてサイトを探すよりも、グーグルマップの方がダイレクトなのだ。

このグーグルマップ、記載されている情報は「集合知を利用して作る」というのが基本になっている。目的の店舗の住所、電話番号、ウェブサイトなどの情報は、オーナーが自分で入力をする(グーグルはオーナー確認を行う)のが原則。しかし、利用者はその情報に間違いがあった場合、「情報の修正」を提案することができる。



(あるコンビニのグーグルマップの情報。営業時間だけでなく、電話番号、混雑時間帯なども表示される。情報に誤りがある場合、「情報の修正を提案」をタップすると正しい情報に修正してもらうことができる。)

よくあるのは、廃業してしまっているのに、店舗情報だけが残り続けている場合、定休日、営業時間が変更になったのにまだ修正されていない場合などだ。このような情報修正の提案が一定数以上あると、グーグルマップ上の情報は修正されてしまう。

そこで犯人集団は、銀行のグーグルマップ情報に大量の情報修正の提案をし、電話番号を自分たちのものに変えてしまった。そして、この誤った情報に基づいて電話をしてくる被害者から、口座番号や暗証番号を巧みに聞き出していた。



(情報の修正を提案すると、情報の修正か削除のいずれかが選べる。同じ内容の提案が複数件あると、情報は修正されてしまう。ただし、オーナーがオーナー確認をしておけば、情報の修正の提案があった場合、通知がきて、受け入れを認否できるようになる。)

被害者に電話をかけさせる
「リバースビッシング」

ビッシングは、本来、犯人集団が電話をかけることから始まる。ウェブやグーグルマップを利用したビッシングは、被害者に電話をかけさせることから、リバースビッシングと呼ばれることもある。

このグーグルマップ詐欺が、インドからアジア圏に飛び火をしていると各メディアが注意喚起を行っている。日本はそういったものとは無関係に思っている人も多いが、日本の特殊詐欺(オレオレ詐欺)は、アジア圏に飛び火をし、アジア圏で開発された新しい手口が日本に逆輸入されたりもしている。決して無関係ではない。

個人情報、金融関係の情報は、
相手の身分確認が取れていない
電話、メール、チャットなどでは伝えない

予防する方法はひとつしかない。個人情報、金融関係の情報は、相手の身分確認が取れていない電話、メール、チャットなどでは伝えないということしかない。

また、最近の犯罪集団は、やみくもに被害者を探すのではなく、ある程度情報を持っていることにも注意しておきたい。例えば、あなたが◯◯というクレジットカードを使っていることやあなたの名前をあらかじめて知っていて、「◯◯様。こちら◯◯カードです。あなたのカードが不正利用された可能性があります。至急、折り返しお電話を…」とこられたら、たまたま忙しい時であれば、コールバックしてすぐに解決したいと思ってしまうかもしれない。いったん落ち着いて、クレジットカードやサイトに記載されているコールセンターの番号に電話をするというのが原則だ。

つまらない詐欺被害に遭わないように、ご注意いただきたい。

原稿:牧野武文(まきの・たけふみ)

テクノロジーと生活の関係を考えるITジャーナリスト。著書に「Macの知恵の実」「ゼロからわかるインドの数学」「Googleの正体」「論語なう」「街角スローガンから見た中国人民の常識」「レトロハッカーズ」「横井軍平伝」など。

この記事はどうでしたか?

おすすめの記事

キャリアを考える

BACK TO TOP ∧

FOLLOW