［米国］
地方銀行をねらうテキスト・メッセージ詐欺、全米で蔓延の兆し

「今後はフィッシング詐欺の主流となる」と専門家

（2009年07月13日）

　自分が利用している銀行から、口座に不審な動きがあると伝えるテキスト・メッセージを受け取ったとしよう。そこに書かれている電話番号に電話し、何が起こったのか問い合わせるのはごく当たり前の行動だ。しかし、この行動によって犯罪の被害者になるおそれがあるとしたら、あなたはどうするだろう。

　残念ながら現在、こうした手口がフィッシング詐欺の主流となりつつある。

　法執行機関やセキュリティ専門家によると、犯罪者らは1年以上前から偽のテキスト・メッセージを使い、小規模な地方銀行とその顧客を罠にかけているという。米国Cisco Systemsが7月14日に公開予定のレポートにも、過去数カ月間で、この種の問題が深刻化しつつあると記されている。

　Ciscoのセキュリティ研究者、パット・ピーターソン（Pat Peterson）氏は、「事態はきわめて深刻だ」と警告している。

　この詐欺の手口を具体的に見てみよう。犯罪者らはまずターゲットとする銀行を選ぶ。ここでは、オレゴン州メドフォードの信用金庫が標的になった例を挙げる。

　詐欺グループは、541個におよぶメドフォードの市外局番を持つ全電話番号にSMS（Short Message Service）経由で詐欺メッセージを送信し、さも地元の信用金庫が送ってきたものに見えるフリーダイヤル番号を記載して、被害者に電話をかけさせる。当該の地域の金融機関をねらえば、こうした詐欺行為に“免疫”がない本物の顧客をつかまえるチャンスが十分にあるわけだ。

　彼らは、オープンソース・ソフトウェアの「Asterisk」を利用して音声ガイダンス・システムを偽造し、顧客が身元認証のために入力した口座番号やパスワード、その他の個人情報を盗んでいる。これにより漏洩した情報が悪用され、顧客の金が第三者の口座に移された場合、損失は銀行側がかぶることになる。

　全米ホワイト・カラー犯罪センター（National White Collar Crime Center）のコンピュータ犯罪専門家、ニック・ニューマン（Nick Newman）氏は、地方銀行を標的とした詐欺は比較的簡単に実行できるうえ、あまり注目も集めずにすむと説明する。

　「大手銀行はこの手の詐欺を防止する強力なセキュリティ・チームを擁している。しかし、信用金庫のような地方の金融機関では、IT部門の全社員を合わせても5人程度しかいない場合が多い」（ニューマン氏）

　さらに同氏は、「こうした詐欺が蔓延すれば、顧客の意識を探るため、銀行やセキュリティ専門家が以前から頻繁に使用してきたコミュニケーション・ツールの1つが失われる」と指摘する。

　「これまでわれわれは、『何かわからないことがあれば銀行に電話をしてください。あるいはこちらから電話をかけるときもあります』と顧客に告げてきた。SMSを送るのも電話をかけるのも、同じような行為だ。今後の対応に本気で悩んでいる」（ニューマン氏）

　2009年6月末には、南カリフォルニアのWescom Credit UnionとFarmer's＆Merchants Bankが詐欺のターゲットになった。被害を受けた金融機関は、この他にも多数存在するという。

　ピーターソン氏も「詐欺グループは米国内のありとあらゆる信用金庫および銀行を攻撃目標に定めている」と警鐘を鳴らす。

　実際、同詐欺行為はかなりの確率で成功しているようだ。メドフォード警察署のケビン・ウォルラフ（Kevin Walruff）刑事部長によると、2009年5月にはメドフォードのBank of the Cascadesが詐欺の標的となり、犯人の元には予想以上の大金が転がり込んだという。

　「個人情報を漏らしてしまった人々に話を聞いたが、中にはBank of the Cascadesの顧客ではない者も含まれていた。同銀行と取引していないのに偽の番号に電話をかけ、情報を提供してしまったらしい」（ウォルラフ氏）

(Robert McMillan／IDG News Serviceサンフランシスコ支局)