フィッシング詐欺の狙いや仕掛けがますます高度化して危険になっているようです
かつてないほどフィッシングメールが横行している昨今ですが、先日もMicrosoft名義で「プロダクトキーが不正コピーされています」という詐欺警告メールが出回り物議を醸しています。
山本一郎です。何事も、釣られるよりは釣るほうで頑張りたいです。
ところで、普段からネット経由での情報収集に勤しむようなネット民であれば今さら怪しげなフィッシングメールを受け取ったとしてもそれを真に受けることなく、せいぜいがSNSへ書き込むのにちょうどいい挨拶代わりのネタが手に入ったぐらいに思う人が多いのかもしれません。実際に自分が引っかからなければ、引っかけようというメールその他は格好の笑いの対象であり娯楽です。しかし、世の中はそういうITリテラシーに長けた人ばかりではありませんし、ちょっと怪しい文面であってもMicrosoft名義で「セキュリティ警告!!」という文言を伴ったメールが届けば、思わずパニックになって信用してしまったとしても不思議ではありません。
「OFFICEのプロダクトキーが不正コピーされています」、Microsoftをかたるフィッシングメールが出回る(INTERNET Watch 17/1/12)
Microsoftをかたるフィッシングメールが出回っている。歴代のMS Officeインストール数を勘案すると日本国内だけでもOfficeユーザー延べ人数は途方もないものになりそうです。当然ながら不幸にしてこのメールを受け取って信用してしまったOfficeユーザーの数もそれなりに大きなものになりそうだと想像されます。
(中略)
Officeのプロダクトキーが不正コピーされ、攻撃者がオフィスソフトの起動を試みているとして、Microsoft Officeのウェブサイトのデザインを模した偽サイトへ誘導する。INTERNET Watch
今回のフィッシングでは、Microsoftアカウントで偽サイトにサインインさせるというところがキモでして、実はITリテラシーが極度に低い人の場合、まずこの時点でアカウントを持っていない、もしくはアカウントが分からなくてサインインできないという事態が発生することも予想できます。そうであれば不幸中の幸いですが、中途半端にそのあたりのことが理解できて、これまでMicrosoftアカウントは持っていなかったのにこのメールで慌ててわざわざ新たにアカウントを作成して、その後に偽サイトにサインインしてまっていたりすると大惨事であります。
Microsoftアカウントの利用によって生じる可能性があるリスクについては以下のコラム記事が参考になります。
Windows 10はMicrosoftアカウントで使うべき?(ITmedia 16/5/22)
Microsoftアカウントでサインインした場合にMicrosoftが収集する主な個人情報は以下の通り(Microsoftのプライバシーに関する声明より)。支払情報などは、もちろんそのアカウントで支払いをしなければ発生しません。偽サイト上でMicrosoftアカウントを使ってしまうと、結果的にこうした情報が盗み取られて何者かに悪用されてしまうかもしれないということでして、なかなか物騒です。
・ユーザーの氏名、メールアドレス、住所、電話番号(登録していれば)
・認証やアカウント、アクセスに使用するパスワード、パスワードのヒント、類似のセキュリティ情報
・支払い関連データ(クレジットカード番号、セキュリティコードなど)
・年齢、性別、使用言語
・Microsoftアカウントで使っているアプリからの情報(例:スポーツアプリで応援しているチーム、チェックしている株式銘柄など)
・購入履歴、検索履歴、端末のIPアドレス、端末の識別子
・連絡先情報
・位置情報
・メールやメッセージ、ビデオメッセージの内容ITmedia
最近はMicrosoftアカウント以外にもAmazonやAppleなどのアカウントを狙ったフィッシングが増えていますが、いずれも正規のメール文面やサイトの体裁をそっくりそのままコピーしていたりするので、ネットサービスに慣れているつもりの人でもうっかり欺されてしまうことは十分にあり得ます。もちろん、この記事の読者の方を含め98%の人がその目論見を見抜くとしても、対象となるユーザー数が膨大ですから、引っかかる率がわずかでも騙される絶対数はかなりの人数になるのでしょう。そして、そうしたアカウント情報が悪意のある第三者に盗まれてしまうと、件数だけでなく被害の規模も大きなものとなる可能性が高いです。
必要以上に疑心暗鬼となることも避けたいところですが、メールで警告文などが突然送られてきた際には、まずは落ち着いて届いたメールが信用できるのかどうか確認したいところです。ネットに慣れている人であれば信用できるIT系大手ニュースサイトのセキュリティ情報などをチェックすれば事足りそうですが、問題は普段あまりネットを利用しない人達についてでして、たとえば今回のようなMS Office絡みのトラブルであっても、Microsoftの公式サイトでトップページを見ても何も分からない状況です。
また、おそらくそうした人であれば、注意を促すMicrosoftの公式ツイートに辿りつくこともまず不可能でしょう。フィッシング対策協議会がウェブ上でフィッシングについてまとまった情報提供を行っていますが、こちらもフィッシングにまんまと欺されてしまうような人が気付てくれるかというと、どうなんでしょうか……。
フィッシング対策協議会
なかなか悩ましいところですが、フィッシングを仕掛けてくる側は今後ますます高度化してくることは間違いないだけに注意したいところですし、家族や知人でこの手の情報に疎い人がいるようであれば、たまにはこういう話があるから気をつけようと声がけしてあげるのが親切かもしれませんね。
会社を経営していたり部門でライセンスを管理していると痛いほど分かることなのですが、意外に従業員の使っているパソコンに入っているソフトがどういう権利処理がなされているのか従業員自身が知らなかったということは多いです。そこへいきなりMicrosoftなどを騙る先から「プロダクトキーが不正」と言われてしまうと、あれ、自分何か会社のPCでややこしいことしたっけ、と確認したくなるのも人情なんですよ。
私もたまに三菱東京UFJ銀行(MUFG)から「オンラインバンキング使いませんか」とか怪しげなメールを貰うんですけど、どうせフィッシングでしょ、はいはいと思ってたら本当にMUFGからのお知らせだったことがありました。スパムとかフィッシングっぽい公式って紛らわしいのでやめて欲しいです、リテラシー試されているみたいで。