Tweet

「自分が悪い」と仕向ける手口をトレンドマイクロが解説

ツークリック詐欺に警告、「規約はよく読んで！」

2009/07/13

トレンドマイクロ 上級セキュリティエキスパート 黒木直樹氏

　トレンドマイクロは7月13日、オンライン詐欺の手口に関する説明会を開催した。近年は、アダルトサイトに目立たない形で利用料金や規約を示しておき、「はい」をクリックしてしまった被害者に「自分のほうが悪いのだからしかたがない」と思いこませる「ツークリック詐欺」の被害が増えており、注意が必要だという。

　インターネットを悪用した詐欺の歴史は古い。1990年代には、モデムを国際回線や有料電話サービスに勝手に接続させて料金をだまし取る「ダイヤラー」が存在していた。2000年以降ブロードバンド接続が普及するとこの手のソフトウェアは影を潜め、代わりに正規のサイトに似せた偽サイトを通じて個人情報を盗み取ろうとする「フィッシング詐欺」、オンラインオークションを悪用する「オークション詐欺」、PC内のデータを勝手に暗号化するなどして「人質」化し、元に戻すための身代金を要求する「ランサムウェア」など、さまざまな種類の詐欺が産まれている。

　「インターネットの使われ方が変わるにつれて、詐欺の方法もどんどん変わってくる」（トレンドマイクロ 上級セキュリティエキスパート 黒木直樹氏）。

確認ダイアログを何度も表示しこっそり「同意」を要求

　黒木氏が特に注意を喚起したのは、アダルトサイトやドラッグ関係のサイトで、リンクや画像、利用許諾書などをクリックすると、「入会登録料」「コンテンツ使用料」などと称して数万円の利用料金を請求する「ワンクリック詐欺」「ツークリック詐欺」だ。

　ワンクリック詐欺では、年齢確認のダイヤログや画像や動画へのリンクをクリックしただけで「入会」「登録」と認定され、一方的に費用が請求される。巧妙に設定されているのはその金額で、数万円程度。「数十万円となると無理でも、数万円程度ならば、知られないうちにお小遣いを取り崩して支払おうかという気持ちにさせる」（黒木氏）。

　この発展形とも言えるツークリック詐欺では、「電子消費者契約法」などを意識してか、ユーザーに同意を求める表示が何度も繰り返し表示される。およそこの手のサイトでは、じっくり契約内容や表示を読むユーザーは少なく、ダイアログが出てきてもどんどんクリックしてしまうことが多いというが、実はここに、ぱっと見ただけでは気付かれないように「入会金X万円を支払う」旨が明示されている。

　さらに、あえてコンテンツを少しだけ見せることで、「よく確認せずにクリックした自分が悪い、対価を支払わなければならない」と思わせるように仕向けるという。

　ワンクリック詐欺やツークリック詐欺では、IPアドレスなどを元に利用ISPやリモートホスト、ブラウザの情報などを表示して、あたかもユーザーの個人情報を把握しているかのように見せかけることが多い。また、入金を迫るウィンドウを繰り返し繰り返し表示させる「ワンクリックウェア」が併用されることもある。こうしたマルウェアは、レジストリなどOSの設定を変更し、再起動しても「アダルトサイトへの登録ありがとうございます、入会料X万円をお支払い下さい」という移動できない画像を表示し、「数万円で済むなら……」とユーザーを追い詰める。

　しかし実際にはクリックしただけで個人情報が把握されることはない。ここで「お金を支払ってしまうことが一番いけない」と黒木氏。一度支払ってしまうと、アンダーグラウンド市場に出回る名簿に名前が載ってしまい、何度も詐欺のターゲットになってしまう恐れがあるという。

　黒木氏はこうした詐欺は、人間の心理を突くソーシャルエンジニアリングのテクニックを巧みに利用していることを改めて指摘。OSのアップデートやURLフィルタリング機能の利用といった基本的なセキュリティ対策に加え、「不審なサイトにはアクセスしない」「警告文などが表示されたらその内容にしっかり目を通し、安易にクリックしない」といった心構えが有効だとした。また、万一こうしたサイトにアクセスして被害に遭ったときでも、即座に金銭を振り込むようなことはせず、周りに相談するなどして冷静に対処することが重要だとしている。