先日、知人のお子さんが、Twitter詐欺でamazonギフト券をだまし取られる被害に遭ってしまいました。
その状況を聞いて、私自身も組織の情報セキュリティマネジメントに対して反省すべき点が多々あることを思い知ったのでご報告いたします。
ハイタッチ券とamazonギフト券を交換するという誘い
ツイッター詐欺の背景は、幕張メッセでアイドルグループのメンバーとハイタッチが出来る券を3000円分のAmazonギフト券と交換するというものでした。
このハイタッチ券は非売品で、アイドルグループのCDを買うと、運が良ければハイタッチ券が付いてくるもの。
ハイタッチ券欲しさに同じCDを何枚も買わせようとするという胡散臭いビジネスモデルです。
CDを2,3枚買ってもハイタッチ券が入っていないのは当たり前
たとえハイタッチ券が入っていても、自分が押しているメンバーとのハイタッチ券じゃないのも当たり前
希望するメンバーとのハイタッチ券を手に入れるのは困難です。
そこに目を付けた犯罪者が、中高生に成りすましてツイッターに「○○のハイタッチ券を3000円で譲ります」という詐欺ツイートを流します。
そして、特定のメンバーとの夢のハイタッチ券をどうしても手に入れたい熱狂的なファンである中高生達を騙したのです。
amazonギフト券3000円分は親のチェックが出来ない
3000円の代金支払いがクレジットカードや銀行振り込みなら、お子さんだけで支払いを完了させることが難しく、親が気づく機会は多いです。
実際に今回の詐欺でもお子さんは親に「ハイタッチ券3000円で譲ってくれる人がいたから頼んでもいい?」と聞いていたようです。
が、親は次のステップの支払いの段階で、自分が支払いに関わると思い込んで、了承したようです。
しかし犯人は、ハイタッチ会まで時間が無い、一刻も早くハイタッチ券をあなたに送付したいから、と焦らせます。
そして、焦るお子さんにコンビニでのAmazonギフト券の購入方法を教え、お小遣いとして持っているであろう3000円分のamazonギフト券を買わせます。
そうです!親が関わらなくても子供だけで支払いが出来る事を狙ったのです。
お子さんにしてみれば、親にすでに「ハイタッチ券3000円で譲ってもらっていい?」と確認済みでした。
イベント期日は近づいている、どうしても手に入れたい、なので、自分で出来る範囲なら親にいちいち聞かなくても大丈夫だと思ったことを責められません。
犯人に「ハイタッチ券があなたの手元に届いたら3000円分のアマゾンギフト券を送ってくれたらいい」
「けど、ハイタッチ券を送る前に、念のため、あなたが購入したAmazonギフト券の番号を先に教えて」
と言われて、まさか番号を教えただけでアマゾンギフト券が犯人のものになり、使われてしまうことをお子さんは知らず、疑いもせずギフト券の番号を教えてしまったのです。
お子さんが異変に気づき、親が詐欺被害に気づくのは、ギフト券の番号を教えた後に、犯人のツイッターアカウントが消されて、証拠もなく、どうにも出来なくなってからでした。
詐欺の被害金額が3000円だったとはいえ、世の中の悪意に触れてしまったお子さんのショックは計り知れず、親もわが子を犯罪者から守ってやれなかった無念がにじみます。
ツイッターのアカウントが分かっていて仮に犯人にたどり着いても、ちゃんと普通郵便で発送しました、郵便事故では?と言われればそれまで。
よって警察も詐欺だという確証がないため動かない、捕まる恐れが少ないTwitterでのamazonギフト券詐欺は今後も益々増えることでしょう。
何が危険なのか具体的に知らないとリスクは避けられない
以前LINEで友達になりすました第三者が、後で代金を支払うからとAmazonギフト券やiTunesカードの代理購入を依頼し、購入したカードの番号(コード)を言われるままに教えて搾取されてしまうLINE詐欺事件が多発しました。
もちろん私も、今回被害にあったお子さんの親も、SNSは悪意を持つ人間も多いので気を付けることくらい理解していますし、お子さんにも機会あるごとに言い聞かせていました。
しかし、他人にAmazonギフト券やiTunesカードを購入するよう言われても買ってはいけない、ギフト券やカードを手渡さなくても、番号(コード)を教えただけで使われてしまう、Amazonギフト券やiTunesカードの番号(コード)を教えることはお金を渡すことと同じ、とまで具体的には教えていませんでした。
「ツイッター等のSNSは危ないから気をつけて」と何度も繰り返し言い聞かせても、何が具体的に危ないのかまで、しっかりと理解してもらわないと、リスクコントロールは出来ないのです。
組織でもどんなリスクがあるのか教えることが重要
大人でも、例えば自身の仕事で「パブリッククラウドを利用する場合は十分に気をつけましょう。」と情報管理部門に言われても、一体何に気をつければ良いのか、つまりどんなリスクがあるのか、全てを思い描ける人は少ないはずです。
新たなソリューションを利活用して業務改善できると思っていた。
サービスカタログには安全だと書かれていたし自分でも大丈夫だと思っていた。
そんなリスクがあることを知らなかったという人に、事が起こってから「なんでそんな迂闊なことをしたのか」と責めても遅い。
今までとは違うリスクが潜んでいることを知らなかった人に罪はありません。
我々情報セキュリティ担当が率先して徹底的にリスクを洗い出し、「こんなリスクがありますよ」と教え、そのリスク一つ一つを許容出来るのか、対策をしてリスクをなくすのか、を利用者に考えてもらうことが必要です。
漠然としたリスクをいくら啓発しても意味はなく、ルールを守れと言うだけ、ルールを守っているだけでは、どんどん多様化するICTの世界で重要な情報を守りきることは出来ません。
あらゆるリスクを可能な限り洗い出し、そのリスクをコントロールする感覚を身につけなければ、重要な情報が守れないことを思い知ったツイッター詐欺事件でした。