NHSの接触者追跡者を装う詐欺師を避ける方法

英国の新型コロナウイルス対策は、感染者急増に対応できず数ヶ月前に中止された後、新たな段階に入った。接触者追跡システムが開始された。これは、新型コロナウイルス感染症（COVID-19）の検査で陽性反応を示した人全員に最近の行動履歴を尋ね、濃厚接触者に連絡を取り、自主隔離を指示するものだ。

しかし、疑問の声も上がっている。リスクの高い可能性のある人々にメール、電話、またはテキストメッセージで連絡を取るというシステムの仕組みは、詐欺師が個人情報や場合によっては金銭を騙し取るための容易な手段となる可能性があるという懸念がある。イングランドのジェニー・ハリーズ副主席医務官は5月31日、政府の公式追跡プログラムから電話がかかってきた場合、「専門家の訓練を受けた担当者であり、その上に上級臨床専門家のグループが座っている」ため、「非常に分かりやすい」だろうと述べた。しかし、複数の報告によると、他の組織では追跡コールセンターの職員に最低限の訓練や準備しか与えられていないことが明らかになっている。

「ハリーズ博士がその質問に答えるのに十分な説明を受けていなかったという事実は驚きです」と、サイバーセキュリティ研究者のジェシカ・バーカー氏は言う。「これは、セキュリティが今回の件の核心ではなかったという考え方を物語っている可能性があります。」

保健社会福祉省の広報担当者は、検査・追跡計画は新型コロナウイルス感染症（COVID-19）の感染拡大防止に「極めて重要」だと述べた。「警察や国家サイバーセキュリティセンターと連携し、公衆の安全を守るための対策について助言を受けています」と広報担当者は述べた。さらに、検査・追跡担当者は金融情報や暗証番号、パスワードを尋ねることはないと付け加えた。「また、自宅を訪問することもありません」とも述べた。

「彼らは詐欺について全く考えていない。全く検討もしていない。本当に残念だ」と、バーンズリーに拠点を置くソーシャルエンジニアリング・コンサルティング会社、The Antisocial Engineerのリチャード・デ・ヴェール氏は言う。「私が怒りを覚えるのは、国立サイバーセキュリティセンター（NCSC）がこの件に関して非常に優れたアドバイスを出しているのに、それが全く無視されているという事実だ」

他にも同意する人がいます。「本当にひどい話ですよね」と、シンクタンク「デモス」のポリー・マッケンジー氏は言います。同団体は以前、脆弱なコミュニティを詐欺から守るための報告書を発表しています。

懸念されるのは、詐欺師がこの機会を利用して個人情報を収集し、詐欺行為に利用して金銭を盗み、銀行口座やソーシャルメディアのアカウントにアクセスすることです。公式の接触者追跡担当者は、氏名、生年月日、郵便番号といった個人アカウントへのアクセスに潜在的に役立つ情報に加え、NHS（国民保健サービス）の電話番号や、一緒にいた人の連絡先なども尋ねます。既にこのような行為が行われているという証拠があります。政府通信本部（GCHQ）傘下のNCSCは4月下旬、新型コロナウイルス関連サービスを持ちかけて人々を狙った詐欺行為を2,000件摘発したと発表しました。

政府は詐欺に遭わないためのチェックリストを公開しているが、すべてが完璧というわけではない。このリストでは、接触者追跡者を名乗る人物が発信した電話番号を確認するよう推奨している。公式プログラムでは0300 013 5000という番号が使用される。しかし、詐欺の専門家で、人を騙す方法に関するテレビ番組の司会も務めるアレクシス・コンラン氏は、この番号は市販の電話アプリで簡単に偽装できることを実証した。「『番号を見て、NHSの公式番号かどうかを確認』というガイドラインでは、残念ながら人々を危険にさらしていることになります」とコンラン氏は言う。「人々はもはや通話内容について考えなくなります。

続きを読む: 新しいNHS接触追跡アプリについて知っておくべきことすべて

「電話がかかってきて発信者番号が表示されても、その発信者番号は全く確認されていないのです」と、ウォーリック大学コンピュータサイエンス学部で電話なりすましを研究しているフェン・ハオ氏は言う。「簡単になりすましができてしまいます。そのためのソフトウェアも存在します。」ハオ氏とウォーリック大学の同僚たちは、今後このような事態を防ぐため、電話が鳴る前に電話レベルで通話をスクリーニングし、発信者の身元を確実に確認できるように努めている。

政府はまた、人々に新型コロナウイルス陽性者と接触した可能性があることを知らせるテキストメッセージを送信する予定だが、そのメッセージは「NHS」から送信される。これが問題だとデ・ヴェール氏は言う。「テキストメッセージは本質的に脆弱です」と同氏は説明する。「誰でもメッセージの送信者を偽装できます。」政府は、NHSを名乗るメッセージを送信している1つの番号を除いてすべてをブロックすることでこの問題を回避できたはずだ ― ナットウエストを含む銀行は社名をブロックしている ― しかし、その場合問題に遭遇しただろう。全国の何千もの診療所が「NHS」の送信者IDでメッセージを送信している。デ・ヴェール氏は、代わりに「Gov tracing」などのより厳重に保護できる代替の送信者IDを使用すべきだったと考えている。

政府の検査・追跡システムがメッセージを受け取った人々に求めている行動、つまりテキストメッセージで送られてきたリンクを開くことが、問題をさらに複雑にしている。公式URLであるcontact-tracing.phe.gov.ukは、ダッシュとドットが入り混じったものだ。デ・ヴェール氏は似たようなURLを登録しており、理論的にはそこから個人情報を収集するフィッシング攻撃を仕掛けられる可能性がある。彼は、政府はURLに接尾辞（つまり、contact-tracing.phe.gov.ukのような接頭辞ではなく、gov.uk/contacttracing）を付けるべきだったと述べている。そうすれば、似たようなURLの登録がより困難になるはずだ。

公式の勧告では、接触者追跡担当者が金銭や銀行口座の詳細、パスワードや暗証番号を尋ねることは決してないと明記されているが、詐欺の手口を見落としている。詐欺はソーシャルエンジニアリングを悪用する。人間は往々にしてシステムにおける最大の弱点となる。「政府はこれを低リスクと判断した」とマッケンジー氏は言う。「『誰も金銭を要求されない』としている。しかし、詐欺について少しでも知っていれば、人々は全くあり得ない方法で金銭を要求され、それでもなお支払ってしまうことが日常茶飯事であることを知っているはずだ。」

マッケンジー氏は、接触した人々は脆弱で孤立している可能性が高いと指摘する。「脆弱で孤立している人々は、組織的に何度も標的にされます」と彼女は言う。「このパンデミックは、多くの人々をさらに脆弱にしました。」詐欺に対する最良の防御策の一つは、誰かと行動を共にすることだが、同時に、私たちは家に留まり、他人と交流しないように言われている。

詐欺師が接触者追跡の電話を装って銀行口座情報を聞き出す手口はいくつかあります。例えば、2週間の自主隔離期間中は法定傷病手当金を請求できると持ちかけ、そのための銀行口座情報を聞き出すかもしれません。また、自宅待機を強いられることを承知の上で、食料品の宅配便の手配を手伝うと申し出て、その費用を請求するかもしれません。「新しい制度なので、何が正しくて何が間違っているのか、まだ分かっていません」とマッケンジー氏は言います。「ほとんどの人にとって、追跡調査のような電話を受けるのは初めてです」とコンラン氏は付け加えます。「医師、銀行、学校からの連絡とは違います。そこでの手順は分かっています。今回の場合は、電話がどう進むべきか全く分かりません。」

「正当な接触者追跡の電話をかけてくる人は、基本的な情報しか尋ねません。ですから、警戒を怠らず、支払いや機密情報を要求する迷惑電話やテキストメッセージには必ず報告してください」と、Which?のコンピューティング編集者、ケイト・ベヴァン氏は言います。「銀行口座の詳細やパスワードを共有したり、予期せぬメールやテキストメッセージ内のリンクをクリックしたりしないでください。」

潜在的な落とし穴を積極的に発見し、それを防ぐという英国のアプローチは、追跡システムを展開する他国に遅れをとっているように思われる。米国連邦取引委員会は、詐欺のリスクを防ぐため、携帯電話にスパムフィルターを設定し、オンラインアカウントに多要素認証を導入するよう、米国民に積極的に勧告している。インドは、バグバウンティハンターにアプリのセキュリティ問題を発見するよう依頼している。このシステムは、国の運営方法を批判する可能性のある独立した情報の拡散を阻止するために使用されているため、あまり模範となるものではないが、中国の厳格なメッセージング管理の副作用として、SMSの送信者を偽装したり、テキストメッセージにリンクを貼ったりすることが不可能になっているとデ・ヴェール氏は主張する。

詐欺や詐欺師の手口を経験した人々は懸念を抱いている。「ジェニー・ハリーズが金融犯罪について何か知っているとは誰も思っていません」とマッケンジー氏は言う。「しかし、政府には金融犯罪について知っている人がいますし、この件について知っている人はたくさんいます。なぜ彼らに尋ねられていないのでしょうか？これがリスクであることを認識しないのは、私には狂気の沙汰に思えます。」

この記事はWIRED UKで最初に公開されました。