犯罪の温床Twitterに注意!amazonギフト券詐欺と情報セキュリティ

先日、知人のお子さんが、Twitterでamazonギフト券詐欺の被害に遭ってしまい、私自身、組織の情報セキュリティマネジメントに対して反省すべき点が多々あることを思い知ったのでご報告いたします。

ハイタッチ券とamazonギフト券を交換するという誘い

詐欺の背景は、幕張メッセでアイドルグループのメンバーとハイタッチが出来る券を3000円分のAmazonギフト券と交換するというものでした。

このハイタッチ券は非売品で、アイドルグループのCDを買うと、運が良ければハイタッチ券が付いてくる、ハイタッチ券欲しさに同じCDを何枚も買わせようとするという胡散臭いビジネスモデルです。

CDを2,3枚買ってもハイタッチ券が入っていなかったり、たとえ入っていても、自分が押しているメンバーとのハイタッチ券じゃなかったり、希望するメンバーとのハイタッチ券を手に入れるのは困難です。

そこに目を付けた犯罪者が、中高生に成りすましてツイッターに「○○のハイタッチ券を3000円で譲ります」という詐欺ツイートを流し、特定のメンバーとの夢のハイタッチ券をどうしても手に入れたい熱狂的なファンである中高生達を騙したのです。

amazonギフト券3000円分は親のチェックが出来ない

3000円の代金支払いがクレジットカードや銀行振り込みなら、お子さんだけで支払いを完了させることが難しく、親が気づく機会は多いです。

実際に今回の詐欺でもお子さんは親に「ハイタッチ券3000円で譲ってくれる人がいたから頼んでもいい?」と聞いていたようですが、親は次のステップの支払いの段階で、自分が支払いに関わると思い込んで、了承したようです。

しかし犯人は、ハイタッチイベントまで時間が無い、一刻も早くハイタッチ券をあなたに送付したいから、と急がせ、お子さんにコンビニでのAmazonギフト券の購入方法を教えて、しかも、お小遣いとして持っているであろう3000円という価格設定で、親が関わらなくても子供だけで処理が出来る事を狙ったのです。

お子さんにしてみれば、親にすでに「ハイタッチ券3000円で譲ってもらっていい?」と確認済み、イベント期日は近づいている、どうしても手に入れたい、なので、自分で出来る範囲なら親にいちいち聞かなくてもやってしまったことを責められません。

ハイタッチ券があなたの手元に届いたら3000円分のアマゾンギフト券を送ってくれたらいいけど、ハイタッチ券を送る前に、念のため、あなたが購入したAmazonギフト券の番号を先に教えて、と言われて、まさか番号を教えただけでアマゾンギフト券が犯人のものになり使われてしまうことをお子さんは知らず、疑いもせずギフト券の番号を教えてしまったのです。

お子さんが異変に気づき、親が詐欺被害に気づくのは、ギフト券の番号を教えた後に、犯人のツイッターアカウントが消されて、証拠もなく、どうにも出来なくなってからでした。

詐欺の被害金額が3000円だったとはいえ、世の中の悪意に触れてしまったお子さんのショックは計り知れず、親もわが子を犯罪者から守ってやれなかった無念がにじみます。

仮に犯人にたどり着いても、ちゃんと普通郵便で発送しました、と言われればそれまで、よって警察も詐欺だという確証がないため動かない、捕まる恐れが少ないTwitterでのamazonギフト券詐欺は今後も益々増えることでしょう。

何が危険なのか具体的に知らないとリスクは避けられない

以前LINEで友達になりすました第三者が、後で代金を支払うからとAmazonギフト券やiTunesカードの代理購入を依頼し、購入したカードの番号(コード)を言われるままに教えて搾取されてしまう詐欺事件が多発しました。

最新版 LINE乗っ取り対策「4ケタの認証コード」を死守せよ
最新のLINE乗っ取り対策はたった二つ。英字の大文字小文字、数字、記号の4種類を使った10ケタ以上のパスワードを設定して他のサービスで使い回さないことと、認証コードを絶対誰にも教えないことです。この二つの対策でLINEアカウントは乗っ取り被害から守られます。

もちろん私も、今回被害にあったお子さんの親も、SNSは悪意を持つ人間も多いので気を付けることくらい理解していますし、お子さんにも機会あるごとに言い聞かせていました。

しかし、他人にAmazonギフト券やiTunesカードを購入するよう言われても買ってはいけない、ギフト券やカードを手渡さなくても、番号(コード)を教えただけで使われてしまう、Amazonギフト券やiTunesカードの番号(コード)を教えることはお金を渡すことと同じ、とまで具体的には教えていませんでした。

「SNSは危ないから気をつけて」と何度も繰り返し言い聞かせても、何が具体的に危ないのかまで、しっかりと理解してもらわないと、リスクコントロールは出来ないのです。

リスクコントロールは日常生活の中にもある
情報セキュリティ対策におけるリスクコントロールと聞くと、難しそうでアレルギー反応を起こす人もいるでしょうが、実は我々は日常生活の中で自然とリスクコントロールの感覚を身に付けていたり、教えられていたりします。

組織でもどんなリスクがあるのか教えることが重要

大人でも、例えば自身の仕事で「パブリッククラウドを利用する場合は十分に気をつけましょう。」と情報管理部門に言われても、一体何に気をつければ良いのか、つまりどんなリスクがあるのか、全てを思い描ける人は少ないはずです。

新たなソリューションを利活用して業務改善できると思っていた、サービスカタログには安全だと書かれていたし自分でも大丈夫だと思っていた、そんなリスクがあることを知らなかったという人に、事が起こってから「なんでそんな迂闊なことをしたのか」と責めたところで、今までとは違うリスクが潜んでいることを知らなかった人に罪はなく、我々情報セキュリティ担当が率先して徹底的にリスクを洗い出し、「こんなリスクがありますよ」と教え、そのリスク一つ一つを許容出来るのか、対策をしてリスクをなくすのか、を利用者に考えてもらうことが必要です。

漠然としたリスクをいくら啓発しても意味はなく、ルールを守れと言うだけ、ルールを守っているだけでは、どんどん多様化するICTの世界で重要な情報を守りきることは出来ません。

あらゆるリスクを可能な限り洗い出し、そのリスクをコントロールする感覚を身につけなければ、重要な情報が守れないことを思い知った事件でした。

スマホ・SNSセキュリティ

こんな記事も一緒に読んで欲しい!

arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。私の実体験を交えながら情報セキュリティ対策を解説しています。

arisaをフォローする
arisaをフォローする
情報セキュリティ対策の真実

コメント