［米国］
VoIPを悪用したフィッシング詐欺に注意──米国のセキュリティ会社が呼びかけ

（2006年07月11日）

　最近、簡単に入手できるVoIPの電話番号を悪用して個人情報を盗み出すという新しいフィッシング詐欺手口が増えつつある──と米国のサイバーセキュリティ会社が警告を発している。

　米国セキュア・コンピューティングの戦略的会計担当バイスプレジデント、ポール・ヘンリー氏によると、このフィッシング詐欺関連の新しい犯罪手口では、偽の金融サービス機関の電話番号として、安価に入手したVoIPの電話番号が悪用されているという。同社は現在のところ、この手口による犯罪を2件だけ確認したとしているが、「今後、爆発的に増える可能性がある」（ヘンリー氏）と予測している。

　インターネット・ユーザーは、見知らぬ電子メールに添付されたハイパーリンクをクリックしないようふだんから忠告を受けているだろう。しかし、今回の犯罪手口では、リンクの代わりに電話番号が添付されているのが大きな特徴となっている。ヘンリー氏は、「リンクに対して警戒心を示す人が増えるなか、クリックする対象を電話番号に移行するのは、ごく自然なことだ」と指摘する。

　一般的なフィッシング詐欺では、個人情報を狙う犯罪者が銀行やクレジットカード会社、またはPayPalのようなオンライン支払代行サービスと見せかけた電子メールを送信する。電子メールには通常、顧客の口座などで何らかの障害が発生したなどと書かれており、口座情報を入力させるために、公式ページをかたった偽のWebサイトのリンクを添付して誘導する。

　しかし、セキュア・コンピューティングが「ヴィッシング（vishing）」と呼ぶ新しい犯罪手口は、VoIPアカウントに付属する電話番号に連絡させて個人情報を盗み出すというものだ。これらのVoIPアカウントは、Skypeをはじめ、米国ヴォナージ・ホールディングスなどのVoIP製品を販売する代理店から簡単に購入することが可能だ。

　具体的には、犯罪者がPayPalユーザーに対して電話番号が書かれた電子メールを送信する、あるいは、自動的に無作為に電話をかけるようなプログラムを開発し、相手が電話に出ると「クレジットカードが不正利用された」という自動メッセージを流す、などの手口があるという。

　ちなみにヘンリー氏によると、この自動メッセージを利用する手口では、クレジットカード発行会社に関連したIDでスプーフィングされた電話番号が提供され、そこへ電話をかけるよう促される。実際に電話をかけると個人の口座情報を聞かれるという。

　このように匿名で簡単に入手できてしまうVoIP電話番号について、ヘンリー氏は、「VoIPプロバイダーにヴィッシング詐欺の原因があるわけではない。最大の問題は、オンラインや電話でクレジットカードなどを簡単に発行できてしまう仕組みにある」と指摘する。

　「たしかにオンラインや自動応答電話サービスでクレジットカードを発行できるのは、利用者にとっては便利だが、例えば、発行前に何らかの物理的接触を図るようにするだけで、フィッシング詐欺やヴィッシング詐欺を根絶することができる。金融サービス機関にとって、それはばかばかしい作業かもしれないが」（ヘンリー氏）

　セキュア・コンピューティングでは、ヴィッシング詐欺の回避策として、次のようなアドバイスを提供している。

クレジットカード会社では通常、どの連絡手段においても必ず顧客をフルネームで確認する。もし電子メールや電話でフルネームを呼ばれなければ、詐欺と疑ってよいだろう。
電話や電子メールでクレジットカードや銀行口座など、セキュリティにかかわる情報の問い合わせがあった場合、言い渡された電話番号に絶対に連絡しないこと。そのような場合は、クレジットカードの裏や通帳などに書かれた電話番号に連絡し、セキュリティ上の問題が実際にあったのかを問い合わせること。
クレジットカード会社から電話が入り、カード番号を聞かれた場合は、いったん電話を切ってから、クレジットカードの裏に書かれた電話番号に問い合わせること。電話が本物であれば、問い合わせ先のクレジットカード会社が事情を知っているはずだ。

(グラント・グロス／IDG News Service ワシントン支局)