ロイヤルメールのテキストメッセージ詐欺の容赦ない増加

2021年5月21日午前1時

犯罪者は数十年前のシステムのセキュリティ上の欠陥を悪用し、人々から生涯の貯蓄を騙し取っている。

画像には郵便受け、郵便ポスト、公共郵便受け、レターボックス、ガソリンスタンド、ポンプ、機械が含まれている場合があります

28歳の誕生日の前夜、エメリン・ハートリーが家路を歩いていると、携帯電話にテキストメッセージが届いた。ロイヤルメールからのもので、荷物を確実に届けるために料金を支払う必要があると書かれていた。ハートリーは特に気にしなかった。いずれにしても荷物が届くと思っていたし、メッセージにリンクされていたウェブサイトも本物に見えたので、自分の情報を入力した。

翌日、誕生日を祝おうと出かけようとしたまさにその時、バークレイズ銀行の担当者を名乗る人物から電話がかかってきた。電話の内容はどれも本物そっくりだった。電話番号はバークレイズの公式ヘルプラインと同じで、オペレーターはバークレイズと同じ台詞を使い、彼女の身元情報まで知っていた。電話の相手は、ハートリーさんがロイヤルメールから受け取ったテキストメッセージが原因でハッキングされたと告げた。彼女は今すぐ行動を起こし、お金を「安全な口座」に移して守らなければならないと告げた。

「それをやってしまった途端、本当に落ち込むような気持ちになりました」とハートリーさんは説明した。「ずっと泣き続けました…アプリに0ポンドと表示されているのが頭の中で何度も目に浮かびました。実際に引き落とされた金額はそれほど多くなかったのですが、それが私の全てだったんです。」銀行は、翌月まで生き延びるために友人から借りるようにと彼女に言ったが、彼女の体験を綴ったTwitterの投稿が拡散し、銀行は行動を起こさざるを得なくなったという。

ハートリーさんは、配送会社（特にロイヤルメール）を名乗る詐欺テキストメッセージの急増に巻き込まれた無数の人々のうちの一人に過ぎない。パンデミック中のオンラインショッピングの増加に後押しされ、Google検索データによると、2020年にはロイヤルメールを騙る詐欺が1,077%増加したとされている。セキュリティ企業チェック・ポイントによると、今年3月だけでもロイヤルメール関連のフィッシング詐欺は645%増加したという。ハートリーさんによると、同様の詐欺の被害に遭った人々から、現在何百通ものメッセージが届いているという。

ロイヤルメールを狙った詐欺は、SMSを使った詐欺のほんの一角に過ぎません。SMSを使った詐欺は、メールを使った詐欺よりもはるかに危険であるだけでなく、現代のインターネットの取り締まりのあり方について大きな疑問を提起しています。しかし、本当に対策を講じることはできるのでしょうか？

「これは大きな問題です。SMSによる配布は、昨今、マルウェアや詐欺を拡散させる最も効果的な手段になりかねません」と、インターネットセキュリティ企業ESETのサイバーセキュリティ専門家、ジェイク・ムーア氏は語る。「何千ポンド、何千ポンドものお金を失ったという話を何度も耳にします。これは、ナイジェリアのメール宝くじでこれまでに聞いたことのない額です。」こうしたSMSフィッシング（または「スミッシング」）詐欺のほとんどは、ハートリーの手口と似たパターンを辿っています。テキストメッセージで、リンクをクリックして詳細情報を入力し、未払いの手数料を支払うように指示されます。すると、銀行を装った人物から電話がかかってきて、騙されたと告げられます。そして、これを止める唯一の方法は、全額を新しい口座に移すことだと彼らは言います。

こうした詐欺行為自体は目新しいものではありませんが、これほどまでに説得力を持つ理由の一つは、SMSの利用方法が長年にわたり変化してきたことにあります。当初はチャット手段として開発されたSMSですが、現在では企業からの連絡、二要素認証、あるいはNHSのワクチン接種に関するメッセージといった公式メッセージにほぼ限定的に利用されています。友人や家族とのチャットはすべて、Facebook Messenger、iMessage、Signal、WhatsAppに移行しています。

「これは安全ではない通信手段です」と、ブリストル大学のサイバーセキュリティ教授であるアワイス・ラシッド氏は述べ、SMSが今や人々を騙すために「再利用」されていると付け加えた。「SMSとの関係は変わりつつあります」とラシッド氏は言う。「私たちはSMSを、正当な組織から送られてきて、何かを提供してくれるものと考えています。」この点に加え、これらのメッセージは非常に直接的であるという事実から、詐欺メールよりも個人的な、そして安全な印象を与える。これに配送料を請求するという信憑性、オンラインショッピングの37%の急増、そしてテキストメッセージによる匿名性といった要素が加われば、効果的で追跡不可能な詐欺の材料が出来上がる。

さらに、こうした詐欺の背後にいる人物についてもほとんど何も分かっておらず、逮捕される者もほとんどいない。「参入障壁が非常に低いため、犯罪組織のボスでなくても参加できるのです」とラシッド氏は言う。「犯罪者が少しでもテクノロジーに精通していれば、オンライン上に痕跡をすべて隠すでしょう。」

SMS Bandits（最近、国家犯罪庁によって閉鎖されました）をはじめとする数多くのサイトは、詐欺師が誤解を招くメッセージを大量に送信することを可能にしました。さらに、数百万人分の電話番号や個人情報がオンラインで比較的安価に入手できることから、詐欺の規模は急速に拡大しています。例えば、NameCheap.comは、詐欺師がロイヤルメールを装うために利用している200以上のサイトをホストしていることが判明しました。

さらに、番号詐称という手口もあります。ハートリー氏のケースのように、十分な技術的ノウハウがあれば、公式ヘルプラインの携帯電話番号を模倣して詐欺を信憑性のあるものに見せかけるのはそれほど難しくありません。スミッシング詐欺では、「Fraud-as-a-Service（詐欺サービス）」と呼ばれる手法が一般的で、犯人はこうした犯罪を実行するための技術を第三者から購入し、利益の一部を支払います。こうした手法は、詐欺の信憑性を高め、犯人の特定と逮捕をさらに困難にしています。

あらゆる詐欺が広まると、ほとんどの当局は消費者に「警戒」するよう警告するにとどまります。ロイヤルメールはパンデミック発生以来、数え切れないほど多くの警告を発してきましたが、『WIRED』US版からの技術的な変更に関する問い合わせには回答しませんでした。こうした警告と詐欺が数ヶ月前から存在しているにもかかわらず、ロイヤルメールのスミッシング詐欺は依然として存在するだけでなく、月ごとに増加しています。そして、これは数ある配送詐欺の一つに過ぎません。

「現状では、ユーザーにはこれらすべてを理解し、何が詐欺で何がそうでないかを見分けるという重荷があまりにも重くのしかかっています」とラシッド氏は言う。そして、詐欺を見抜くというプレッシャーは、本物と見分けがつかないように設計されている場合、特に問題となる。「SMSは受信されることが前提であり、リンクはクリックされることが前提なのです」とラシッド氏は言う。

消費者に「警戒しろ」とだけ伝えるのは、こうした詐欺の標的にされるのがどういうことなのかを根本的に誤解している。ハートリー氏は、まるで感情的なグルーミングのようだと語る。詐欺師たちは、消費者を恐怖に陥れ、自らを「光り輝く鎧の騎士」と化し、その瞬間、どんなにテクノロジーに精通していても、どんなに意識が高くても、恐怖心を改めることはできないのだ。

意識啓発は有益ではあるものの、こうした詐欺を標的とするためには、もっと多くの対策を講じる必要がある。まず、警察活動に問題がある。2020年にAction Fraudに報告された35万件の詐欺メッセージ（推定21億ポンドの損害）のうち、起訴に至ったのはわずか1.4%に過ぎない。詐欺は全犯罪の30%以上を占めているにもかかわらず、警察の資源の1%未満しか詐欺対策に充てられておらず、ある当局者は最近、オンライン詐欺との戦いに敗れていると主張した。

「以前は本当に気が狂いそうでした。意思決定者と話し合ってデジタル犯罪にどれだけのリソースを投入するかを決めていたのですが、実際には必要なリソースのほんの一部しか投入されていませんでした」と、ドーセット州警察のサイバー犯罪対策班を率いていたものの、低い有罪率に不満を募らせて辞職したムーア氏は説明する。リソース不足に加え、問題は警察の活動スタイルにまで遡る。ムーア氏によると、警察は「事後対応的」すぎる。犯罪が発生し、犯人がとっくに逃走している可能性がある状況になってから行動するのだ。彼は、より積極的な警察活動こそが、犯人を捕まえる唯一の方法だと示唆している。例えば、被害者を装って攻撃者を誘い込み、IPアドレスを追跡したりウェブカメラをハッキングしたりするためのマルウェアを仕込んだメールやメッセージを犯人に送るといった方法だ。

それに加えて、詐欺師が詐欺を行うこと自体を困難にする必要があります。その方法の一つとして、番号のなりすましなど、SMS詐欺の特定の部分を標的にすることで、その効果を弱めることが挙げられます。SenderIDは通常、着信側の電話番号をリストと照合することで機能します。しかし、IDの中央データベースがないため、システムは簡単に騙されてしまいます。これに対し、業界はSMS SenderID保護レジストリを立ち上げ、メッセージと番号の中央データベースを構築しようとしています。これにより、特定の公式番号の偽装が困難になり、詐欺師が使用する番号もブロックされます。

技術進歩の予期せぬ結果にどう対抗するかという、より大きく、より難解な問題もあります。SMSのコンセプトは1980年代初頭に開発されました。当時は理にかなっていました。しかし2021年現在、詐欺師への対処能力はひどく不足しています。「『犯罪者はこれで何ができるのか？』を考える必要があります」とラシッド氏は言います。「設計段階で十分な脅威モデリングを行っていないのです。」ラシッド氏にとって、今まさに重要な問題は、新たな詐欺に対してシステムを将来どのように備えていくかということです。SMSの場合、それはユーザーとそのメッセージを識別、保護、または効果的にスクリーニングする手段がほとんど、あるいは全くないプラットフォームのセキュリティを強化することを意味していたでしょう。

「自主規制は今のところ全く機能していない」と、労働党議員で労働年金特別委員会の委員長を務めるスティーブン・ティムズ氏は述べている。「もはや、このような不干渉の姿勢は続けられない」。ティムズ氏は他の議員とともに、政府が新たなオンライン安全法案の一環として、詐欺対策に積極的に取り組むよう求めている。政府が支持を示唆しているこの改正により、偽のロイヤルメールのウェブサイトや十分なセキュリティ対策を講じていない銀行を運営するドメインホストは、ユーザーをこのような詐欺から守ることを義務付けられ、さもなければ罰金を科せられることになる。

しかし、あらゆるインターネット規制と同様に、これらにはコストが伴います。こうした詐欺を巧妙に操り、阻止を困難にしているシステムは、安全で安心、そしてオープンなインターネットの礎でもあるのです。「これはゼロサムゲームではないことを理解する必要があります」とラシッド氏は言います。「規制について語る際には、ある特定のグループへの被害を軽減することで、別のグループへの被害を助長する可能性があることを忘れてはなりません。」

WIREDのその他の素晴らしい記事