https://d1021.hatenadiary.com
http://d1021.hatenablog.com

d1021.hatenadiary.jp

PayPay経済圏のお得は終了?復活中の楽天経済圏と真逆!悲しいルール改定が連発!PayPay、ヤフーショッピングなど悲しいルール改定

中国人グループによるスマートフォンの決済サービスの不正利用事件で、神奈川県警察本部はグループの指示役とみられ都内に住む中国籍の会社役員、胡奥博容疑者(30)を、他人のアカウントに不正ログインした不正アクセス禁止法違反の疑いで1日に再逮捕しました。

調べに対し、容疑を否認しているということです。

警察によりますと、胡容疑者の自宅から押収した3台のパソコンを調べた結果、1万7000件のクレジットカードの情報のほか、国内で利用されている決済サービスのものを含む290万件のIDやパスワードが保存されていたことがわかりました。

さらに、1億件にのぼるメールアドレスも保存されていたということです。

パソコンには、フィッシング詐欺を行うためのプログラムも保存されていて、警察はフィッシング詐欺のメールを大量に送りつけ、パスワードなどを盗んでいた疑いがあるとみています。

押収品からこれだけの数のメールアドレスやIDなどの情報が確認されるのは極めて異例で、警察は引き続き、保存されていた情報の分析や入手ルートについて捜査を進めることにしています。

事件の構図は

神奈川県警はこれまでに中国人の男女あわせて11人を検挙。
これまでにわかっている事件の構図です。

指示役とみられる胡容疑者は入手したIDやパスワードを使って他人のアカウントに不正にログインし、決済に使うバーコードを入手。

そのバーコードの画像を、実行役をとりまとめるメンバーにSNSで送っていたとみられています。

その後、バーコードは「買い子」に渡り、買い子はバーコードを使ってコンビニなどで加熱式たばこを購入していました。

加熱式たばこは、中国に輸出したうえで転売していたとみられます。

流出ルートの一つは“フィッシング詐欺“か

大量のIDやパスワードが流出した一つのルートと考えられるのが「フィッシング詐欺」です。近年、急増し、手口も巧妙になっています。

情報セキュリティー会社「サウスプルーム」の社長、篠田律さんが自分に届いたメールをもとに最近の巧妙な手口と注意点を説明してくれました。

大手フリマアプリを名乗ったメール。

3000円分のポイントを受け取れるキャンペーンでメールに記載されたURLをクリックするよう書かれています。

キャンペーンの対象期間や対象条件なども書かれていて、一見、本物のように見えます。

しかし、これは偽物の「フィッシングメール」で、内容を信じてURLをクリックすると本物そっくりの偽サイトに誘導され、IDとパスワードを入力してしまうと、情報が盗まれるのです。

このような巧妙なメールにだまされないために、篠田さんがポイントとして指摘したのは「送信元のメールアドレスを確認すること」「公式サイトやアプリからログインすること」です。

送信元のメールアドレスを確認

篠田さんのもとに送られてきたフィッシングメールは、@より右側のドメインと呼ばれる部分の末尾が「.cn」となっています。

「.cn」は、中国でよく使われているドメインで、篠田さんが調べた結果、中国のサーバーから送られていたということです。

ただ、日本国内で多く使われている「.jp」を使うフィッシングメールや、サービスを提供している事業者の名称に似たアドレスからのメールも増えているといいます。

篠田さんは、アドレスが正規のものかどうか確認するほか、事業者に電話で問い合わせたり、事業者の公式ホームページなどで正しい情報を確認したりしてほしいとしています。

公式サイトやアプリからログインを

また、フィッシングメールの中にはついクリックしてしまいそうな、本物そっくりの偽のログイン画面も存在します。

篠田さんは自分が利用している国内事業者のサービスを名乗るメールが届いた場合でも、記載されたURLをすぐにクリックすることは避け公式のサイトやアプリから必ずログインしてほしいと呼びかけています。

篠田さんは「メールアドレスは流出していることがあるので、重要な内容のメールが届いたとしても、必ず電話で事業者に確認して欲しい。また、企業側も犯罪に悪用されかねない顧客の情報がサイバー空間で売られていることを理解し、情報の収集と対応を進めていく必要がある」と話しています。

フィッシング詐欺”5年で50倍近くに

クレジット会社など民間の事業者などで作るフィッシング対策協議会によりますとフィッシング詐欺に関する報告件数は2018年はおよそ2万件、2019年がおよそ5万5000件、2020年にはおよそ22万件、2021年にはおよそ52万件、去年1年間はおよそ96万件と5年間で50倍近くに増えています。

フィッシング詐欺の増加にともないクレジットカードの不正利用も急増していて、日本クレジット協会の調査ではおととし1年間の被害額は330億円あまりにのぼっています。

最近では、宅配便の不在通知を装ったり、国税局をかたったりするなど手口が多様かつ巧妙になっていて、協議会はサイトにログインを促すメールやショートメッセージが届いた場合、記載されているURLを
クリックしないよう、注意を呼びかけています。

闇市場=ブラックマーケットから入手の可能性も

フィッシングのほかに犯行グループがIDやパスワード、メールアドレスを入手した可能性があるのがインターネット上の闇市場=ブラックマーケットです。

都内にある情報セキュリティー会社、「サウスプルーム」の篠田律社長は利用者のIDやパスワード、それにメールアドレスなど、多くの情報が闇市場=ブラックマーケットで、売買されていると指摘します。

篠田さんの会社と海外の会社の協力を得て実際にブラックマーケットでの取り引き状況を調べました。

調査グループが発見したブラックマーケットの一つは秘匿性の高いSNS上でやりとりされていて、日本で使われている複数の決済サービスの名前が記されていました。

そして、「数十万件単位で日本で使われているメールアドレスを販売します」などという投稿がありました。

メールアドレスからその人がふだん利用している決済サービスを調べられるプログラムも売買されていることがわかりました。

さらに、ブラックマーケットでは利用者のIDやパスワードだとする情報、運転免許証の写真や携帯電話の番号だとする情報を販売しているケースもありました。

篠田さんによりますと、IDやパスワードはメールアドレスに比べて高い値段で取り引きされているということです。

情報セキュリティー会社「サウスプルーム」 篠田律社長

篠田社長は「一度に数百万件や数千万件の情報の取り引きが行われているケースもある。最近でもウイルスに感染して流出したと考えられる1000万件のログイン情報を販売するという投稿が確認されている」と闇市場での取り引きの実態を話しています。

#法律(不正アクセス禁止法

#決済