偽のNHSワクチン関連メールを見分ける方法

英国では新型コロナウイルスワクチンの接種が順調に進み、接種ペースが加速している。NHS（国民保健サービス）は、新型コロナウイルスワクチン接種の対象となる人々にテキストメッセージを送信している。メッセージは予約リマインダーとして機能し、接種の申し込みができるリンクも含まれている。

招待状の配布を迅速化するための試験的な取り組みの一環として、このテキストメッセージは、これまで人々に届いていたワクチン接種の予約を促す手紙と並んで送付される。NHSの全国医療責任者であるスティーブン・ポーウィス氏は、これは「迅速で簡単なサービス」であり、人々がワクチン接種を受ける際の「利便性」を高めることを期待していると述べた。

3月9日、新型コロナウイルスワクチン接種に関するテキストメッセージの試験運用が開始され、55歳以上の高齢者と無給介護者44万人にメッセージが配信されました。その後、テキストメッセージの配信は加速し、3月からは1400万人の脆弱な立場にある人々に、携帯電話に直接リマインダーが送信される予定です。

しかし、これは、人々の新型コロナウイルスへの恐怖と、少しでも日常を取り戻したいという切実な思いにつけ込んでいるサイバー犯罪者にとって、潜在的な追い風となる可能性もある。「良いアイデアではあるが、良い面と悪い面もある」と、シェフィールド・ハラム大学でサイバーセキュリティの准講師を務めるアビゲイル・マカルパイン氏は言う。「詐欺に関する教育は、必要なほど十分に行われていない。怪しいと思われるテキストメッセージやメールをどうやって確認すればいいのか知らない人も多い」

NHSは詐欺の可能性を認識しており、正当なメッセージはすべて「NHSvaccine」から発信され、NHS.ukウェブサイトへのリンクとなることを強調しています。また、NHSイングランドは、テキストメッセージは政府のNotifyサービス（4,182のサービスと986の組織で使用されているメッセージングプラットフォーム）を通じて送信されるため、受信者はテキストメッセージの安全性を保証できると述べています。

一般開業医でNHSプライマリケア担当の医療ディレクターであるニッキ・カナニ氏は、ワクチン接種の予約を促す正当なテキストメッセージで、クレジットカード番号や暗証番号といった銀行口座の詳細を尋ねることは決してないと述べています。しかし、ソーシャルエンジニアリングの専門家は、患者に連絡して予約を促すこの新しい方法が、新型コロナウイルス感染症から身を守りたいという人々の切実な思いにつけ込もうとする者たちにとって新たな手段となることを懸念しています。

「このワクチン接種以上に、誰もが関心を寄せている好例を思い浮かべることはできません」とマカルパイン氏は言う。「ほとんどの人はワクチン接種を受けて、このパンデミックから逃れ、前に進みたいと思っています。人々は当然このワクチンに興奮していますが、残念ながら、それが彼らを犠牲にしかねない立場に置いてしまうのです。」

パンデミックが始まって以来、詐欺師や犯罪者は、フィッシングメール詐欺とSMS詐欺の両方を通じて、健康上の緊急事態につけ込むために活動の方向を変えてきた。サイバーセキュリティアナリストのウェブルートがまとめたデータによると、2020年3月から12月の間に、フィッシング攻撃を開始するために使用された疑わしいドメイン名における「ワクチン」という単語の使用が336%増加した。マーガレット・キーナンさんが世界で初めて治験以外で新型コロナウイルス感染症のワクチン接種を受けた人になってから最初の1か月間にウェブルートが追跡した4,500の疑わしいドメインのうち、約5分の1に「ワクチン」という単語が含まれていた。詐欺師による他の急成長分野には、URLに「covid」または「test」を含むドメインなどがあった。

「よくある詐欺は『ワクチン接種に招待されました。登録してください』というものです」と、バーンズリーに拠点を置くソーシャルエンジニアリング・コンサルティング会社、ザ・アンチソーシャル・エンジニアのリチャード・デ・ヴェール氏は言う。「名前、生年月日、クレジットカード番号、そしてカード裏面の最後の3桁を尋ねられます。もちろん、これは情報収集のためだけで、金銭を搾取するために使われることはありません」と彼は皮肉を込めて付け加える。

デ・ヴェール氏は、NHSがテキストメッセージを採用している理由を理解している。「この市場では、テキストメッセージが王様です」と彼は言う。「NHSはあらゆるデータと電話番号を保有しています。1時間に数千通ものメッセージを送信できます。」テキストメッセージは、間違いなく膨大な数の人々に連絡を取る最も迅速で効率的な方法だが、正当なメッセージと詐欺メッセージの境界線を曖昧にする一因にもなっている。

これまで政府とNHSは、NHSを装ってワクチンの予約を促すテキストメッセージはNHSからのものではないと国民に伝えることができました。ただし、地域のかかりつけ医が患者用の電話番号を持っている場合、小規模な医療機関でワクチンの予約をテキストメッセージで勧誘している場合を除きます。今後は、NHSを装ったメッセージを受け取った場合、人々はより直感に頼らざるを得なくなります。

「政府がこの計画を支持していることで、（詐欺の数は）増える一方です」とデ・ヴェール氏は言う。「政府が歩み寄ることなく、詐欺は既に増加しています」。英国の全国詐欺報告センターであるアクション・フラウドは昨日、コロナウイルスワクチンをめぐるメールやテキストメッセージを使った詐欺に警戒するよう警告するツイートを投稿した。

人を騙すのは驚くほど簡単です。デ・ヴェール氏は、NHSがプレスリリースで提供したテキストメッセージ配信に関する情報を参考に、私たちが話した際にメッセージを再現できるか試してみるつもりだと言いました。20分後、「NHSvaccine」からメッセージが届きました。「こんにちは、ストーケル＝ウォーカーさん。COVID-19ワクチンの予約ができるようになりました。詳細はhttp://contact-tracing.phe-gov.ukのNHSワクチンサービスをご覧ください」と書かれていました。

一見、説得力がある。一瞬、メッセージを信じてしまった。デ・ヴィアが偽装しようと言った直後に届いたのは単なる偶然かもしれないと思ったからだ。スクリーンショットを送り、彼の仕業かと尋ねた。「クリックすればいい。無害だ」と彼は答えた。クリックしてみると、リンクは彼のウェブサイトに繋がった。「そして、私たちはたった今、その会話をしたばかりだ」とデ・ヴィアは付け加えた。「48歳のロジャーが、何も分かっていない姿を想像してみてほしい」

デ・ヴェール氏が送ったメッセージの送信者名は「NHSvaccine」で、NHSイングランドの正規の送信者名にふさわしいものでした。しかし、このメッセージには2つの不自然な点がありました。1つ目は、URLに「phe-gov.uk」というドメイン名が含まれていたことです。これは正規のものではありません。2つ目は、デ・ヴェール氏が慌てていたため、私の名字を誤って入力していたことです。

URLのスペルミス、余分なハイフンや句読点、メッセージ自体の誤字脱字などがないか注意深く確認することは、重要な確認事項です。送られてきたリンクに少しでも疑問がある場合は、クリックしない方が良いでしょう。Which ?が特定したこの偽のNHSワクチン接種に関するテキストメッセージには、uk-application-form.comなどのウェブドメインが含まれていました。サセックスの保健当局が発見した別のテキストメッセージでは、返信するよう促し、返信した場合は料金を請求するとされていました。

「パンデミックの間、詐欺師が被害者を何度も苦しめてきたことからもわかるように、テキストメッセージの送信者を偽装することは依然として非常に可能です」とデ・ヴェール氏は言う。「この種のソーシャルエンジニアリング攻撃を防ぐのに役立つはずの事前の検討ではなく、再び人々、つまり潜在的な被害者に頼るのは、実に厄介です。」

では、なりすましを見抜くのが人間に頼るのであれば、本物のメッセージを見分けるにはどうすればいいのでしょうか？テキストメッセージはNHSvaccineという送信者から送られてきますが、デ・ヴェール氏が示したように、これは万能ではありません。誘導されるURLはnhs.ukで始まります。これはワクチン予約サービスのホストです。

そこで、NHS番号（10桁）の入力を求められます。この番号は、これまでNHSから受け取った公式文書に記載されています。マカルパイン氏は、ワクチン予約システムがNHSから固有のコードが提供され、それを予約ウェブサイトに入力することで個人識別情報を提供するのではなく、異なるシステムであれば良いと考えています。しかし、システムが急遽構築されたことも理解しています。

銀行口座やクレジットカード、デビットカードに関する情報は一切求められません。パスポート、給与明細書、運転免許証などの個人文書のコピーも求められません。もちろん、料金を請求されることもありません。「NHSは、これらのワクチンはすべて無料で、今後も無料のままだと発表しています」とマカルパイン氏は言います。「もし正規の機関からではないテキストメッセージを受け取った場合は、リンクではなくウェブサイトで番号を調べ、直接電話をかけてください」。今回の場合は、ワクチンの予約は119番に電話することになります。

また、テキストメッセージに関連付けられた電話番号をGoogleで検索することもできます（07で始まる携帯電話番号から送信されることはありません）。また、疑わしいテキストメッセージを国立サイバーセキュリティセンターのテキストメッセージサービス（7726）に無料で転送することもできます。NHSの公式テキストメッセージ内のリンクをクリックしたくない場合でも、簡単な検索でワクチン予約ウェブサイトを見つけることができます。

2021年3月15日16:00 GMT更新：この記事は、新型コロナウイルス感染症ワクチンに関する最新情報を反映するために更新されました。当初は3月9日6:00 GMTに公開されました。

この記事はWIRED UKで最初に公開されました。