David Harley、ESETシニアリサーチフェロー

私も以前取り上げましたが、今号で触れる「銀行カード回収型詐欺」は非常に洗練されており、最近になって英国からこの詐欺に関する新たな報告が届きましたので、まだ詳細を把握されていない方を対象に最新情報をお届けします。手口の一部については日本や米国のユーザーも頭に入れておく必要があるでしょうが、米国ではチップやPINがあまり使用されないなど、地域的な差異もあります。英国でのケースに基づくレポートであることを念頭にご一読ください。
報告されているとおり、この詐欺は、詐欺師が銀行の金融犯罪対策室の職員（または警察官）を装い、ターゲットの銀行カードで不審な取引が確認されたと伝える、というのが本質です。銀行が突然電話をかけてきて、取引内容の確認を要求するケース自体は珍しくないのですが、（報告によると）その後の展開は大きく異なります。

相手から必要な情報を引き出す
取引先の銀行（または他の「公的機関」）の職員を名乗る人物から予期せぬ電話がかかってきた場合は、相手の素性の把握に努めましょう。あれこれ質問されるでしょうが、本当に身元確認が必要なのは相手の方です。何といっても、相手に電話番号を知られているわけですから。中には、ターゲットが銀行カードの裏面に記載されている番号に問い合わせるようほのめかし、一方で自分側は電話を切らないままにしておく詐欺師もいます。つまり、通話状態は維持されたままになっています （電気通信事業者などでは、正当な通話を内線転送する場合に時間を確保する目的で行います）。

このようなケースに遭遇した経験がある方は、相手に電話を切るよう言い出せない、聞こえるはずの発信音を待たない、電話をかけられないことに気付かない、または“別の”番号にかけたときに呼び出し音なしで相手が応答しても気に留めない、のいずれかに該当すると思います （ただし、ターゲットに電話が切られていると思い込ませるために録音された発信音を流すケースもあるそうです）。心当たりがある方は、もっと気を配る必要があるでしょう。不安であれば、まったく関係のない番号にかけて、“取引先の銀行の職員”または“警察官役”が出るか、あるいはその番号の本物の所有者が応えるかを確認してみてください。ちなみに、一方が受話器を置いた場合、通話状態が永久に維持されるということはありません。いずれにせよ、詐欺師としても要件を済ませたら速やかに電話を切り、次のターゲットに電話をかけたいところでしょう。なお一方、電話が切られていない場合、通話が自動的に終了するまでには数分程度かかるとみられます。いくつかの情報源によると、おおよそ6～12分とのことですが、国際電話の場合は処理に時間がかかり、12分は見ておいた方が無難かと思います。このような電話で相手から特定の番号にかけ直すよう指示された場合、別の固定電話（利用可能な場合）か、モバイルデバイスからかけて真偽を確認してみる価値はあります。

詐欺師が、カードの裏面に記載されているのと異なる番号を指定することも当然あります。それでも「今から言う番号にかけてください」と言えば、ターゲットはまずその番号にかけてしまうでしょう。ただし、あり得ない番号を指定してきた場合は、同じ手法を使用して通話状態を維持していると考えて間違いありません。詐欺師は、何としても通話状態を維持し、一方で自分側はミュートにして、ターゲットに電話が一時的に切られていると信じ込ませなければならないのです。

PINの入力を要求
その後、詐欺師は口座の詳細情報が必要だと述べ、PIN（暗証番号）の入力を要求します。

そもそも銀行は、本人確認に全ての詳細情報を必要としません。例えば、「合言葉」の2番目、4番目、最後の文字や一風変わった秘密の質問（「母親の旧姓」など）の答え、さらにはカード番号の下4桁などを聞いてくる銀行はあります。こうした情報はいずれも、別の手法で収集された情報と組み合わせることで詐欺師にとって大きな武器となる可能性があります。しかし、銀行は口座の詳細情報を把握していますから、緊急事態だからといってカードのセキュリティコード（裏面に記載されている3桁の数字）のような情報を必要としないのです。電話相手が全ての情報を要求してきたら、その目的は詐欺以外にありません（もっとも、本物の金融機関の中にも、いまだに電話での問い合わせという安全性の低い手法を採用しているところがありますが）。

銀行がPINの入力を求める正当な理由はありません。本物の銀行員であれば、すぐに確認できますし、カードを利用停止にする、または新しいカードを有効化する必要もないのです。PINを入力すれば、詐欺師の携帯端末に記録されてしまう、という事態を肝に銘じてください （もし銀行側がカードの不正利用を確信していたら、おそらく間違いなく当該利用者に連絡する前にカードを利用停止にしていたことでしょう）。

口座番号を教えた時点で、その銀行名まで相手に知られてしまいます。相手が会話のどの時点で銀行名を出したか（会話の初めか、それとも本物の銀行員であると思い込んでしまい、会話の途中で銀行名を自分から口にしてしまったか）に留意してください。ターゲットが利用している銀行やクレジットカードの種類といった情報を入手する方法は他にも多数ありますが、詐欺師はターゲットとの会話や電話帳を情報源としており、ほぼ無作為に詐欺電話をかける方が一般的とされています。

来訪者にカードを渡すよう指示
次の段階で詐欺師は、“セキュリティ侵害に遭った”カードを回収するために自ら来訪するか、使いを寄こすと伝えます。これが本物の銀行と見分ける決め手となります。セキュリティ侵害に対処するためとはいえ、こんな手間暇をかけていたら銀行に貯えがいくらあっても足りません。カードの利用停止は簡単な処理で済み、当該利用者から特に情報を聞き出す必要はありません。はっきり言って、ほとんどの銀行は顧客の大半にそれほど気にかけていないので、こうした「迅速な対応」には及び腰です。銀行が望んでいる対応はもちろん、郵送返却です。その後、銀行が新しいカードを郵送した際には、電話での受領確認を希望したいところかもしれません。いや、だからこそ職員がカードを持ってきてくれれば、問題は解決するのですが、本物の銀行の業務内容に意見する場ではないので話を戻します。銀行の職員を名乗る人物が訪ねてきて“セキュリティ侵害”に遭ったカードを回収し、その引き換えに新しいカードを差し出してきたら、詐欺と考えてください。まっさらな銀行カードを用意し、ターゲットから聞き出した情報をすべて記載して本物の再発行カードに見せかけることはそれほど難しくありません。そのカードが使用できないのは言うまでもないでしょう。ターゲットから得た情報からカードを正確に偽造する技術力を持ち合わせていたとしても、詐欺師に考慮の余地はありません。これから現金を引き出そうとしている口座に、別のカードからアクセスされては元も子もありませんから。

カード回収型詐欺師にとって受け子に報酬を払うというのは、意外と合理的な選択のようです。受け子を用意する段階まで到達したら、詐欺師は成功をほぼ確信しているのでしょう。ターゲットは、連中の活動拠点の（極めて）近辺に住む人々に絞っているとみられます。西アフリカやインド発の電話詐欺が広く知れ渡り、多くの人が「ネイティブではない」英語からの電話を受け取ると無条件で警戒する今日の状況を考慮すれば、その方がおそらく理にかなっているのでしょう。

カードを切断
報告を受けた例では、詐欺師は、ターゲットに対し銀行カードを渡す前に切断するように助言するのですが、その後でATMで使えるようセロハンテープで補修します。こうしたケースでは使用できないように細かく切断される場合もありますから、テープで補修したカードが本当にATMで使えるのかはわかりません。それでも、電話でのやり取りからでは入手できなかったカード情報の取得や確認に使用されており、こうした情報を基にカードの複製や、オンラインで行われる「カード不介在」（CNP）詐欺が行われているのも確かです。

電話詐欺の別パターン
ロンドン警視庁（「Met」）のアラートによると、次のような別パターンも確認されています。

留意すべきポイント
この詐欺は、いくつかのリソースではビッシング詐欺として言及されています。この表現には私も同意です。ただし、今回取り上げたのはビッシング（Voice over IP（VoIP）フィッシング）の1種に過ぎず、ビッシングがみなこのようなタイプとは限りません。今後もフィッシングメッセージに、Webサイトへのリンクではなく電話番号が記載される場合があるでしょうが、これはもちろんURLよりも信頼されると見込んでのことです。

最後に、私がこの問題を最初に調査した際にサポートしてくれたMartin Overton、Richard Clayton、そしてAnti-Phishing Working Groupの皆さんに心より感謝の意を表したいと思います。

 

2015年のサイバー犯罪の主要トレンドと予測を発表
ESETは、2015年のサイバー犯罪の主要トレンドと予測についてまとめました。2014年のセキュリティ業界を席巻したトピックはインターネットプライバシーとAndroidを狙うマルウェアでしたが、2015年は、モノのインターネット（Internet of Things）やモバイル決済に便乗した高度なサイバー攻撃とリスクの増大が最重要トレンドになるとESETは見ています。

ESETのオンラインスキャンサービスがFacebookで利用可能に
ESETは、ソーシャルネットワーキングサービスを提供するFacebookによる無償のマルウェア対策の支援の一環として、すべてのFacebookユーザーが「ESET Online Scanner for Facebook」を利用できるようになったと発表しました。このソリューションは、ユーザーのFacebookアカウントをスキャンして有害なマルウェアの有無を確認し、見つかった場合はデバイスから速やかに駆除できるよう対応します。
ユーザーが使用しているデバイスの動作が疑わしく、マルウェア感染の可能性を示す兆候が見られる場合は、ESET Online Scanner for Facebookを実行して問題に対処するよう推奨するアラートが表示されます。ユーザーは、Facebookからログアウトすることなく、スキャンを実行して結果を確認し、マルウェアをすべて無効化できます。こうして、感染デバイスからマルウェアをシームレスかつ簡単に駆除することが可能になります。

このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C（指令）サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年12月度のランキングは、「HTML/Refreshl」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.82%を占めています。

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス（実際に感染報告があるワームまたはウイルス）を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security（Mac用ソリューション）、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ（スロバキア）にグローバル本社を、サンディエゴ（米国）、ブエノスアイレス（アルゼンチン）、シンガポールに地域の物流センターを、そしてイェーナ（ドイツ）、プラハ（チェコ共和国）、サンパウロ（ブラジル）に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ（スロバキア）、クラクフ（ポーランド）、モントリオール（カナダ）、モスクワ（ロシア）にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

• ESETのホワイトペーパー
• WeLiveSecurity
• ESETポッドキャスト
• 独立テスト機関によるベンチマークテスト結果
• アンチマルウェアソフトウェアのテストと評価について