おれおれ詐欺にみる情報セキュリティの考え方
今日のニュースから。
おれおれ詐欺、弁護士も被害…息子と信じ40万円
「孫への思い逆手に…」 おれおれ詐欺
未だに被害者が絶えない「おれおれ詐欺」。なんでこんなにおれおれ詐欺に引っかかってしまうのかと思うのだ。
おれおれ詐欺の基本パターンは「電話がかかってくる」ところから始まる。被害者から電話をかけているわけじゃない。
自分から電話をかける場合、その番号が確かに正しい相手のものであると確認がとれていれば、その通話は確かに期待した相手と話していることになるだろう。(例外は、かけた番号が実は転送設定されていた場合だが、転送についてはとりあえず無視する。)
しかし、かかってきた電話は発信者番号通知(ナンバーディスプレイ)を伴わない限り、相手の声でしか判断ができない。この時点で相手は不明なのだから、信用してはダメなのだ。
そして2つめの事例では「不明な相手が伝えてきた、新しい携帯の電話番号」をそのまま信用しているが、これもダメ。正しいことが明らかな「古い番号」にかけてみて、その番号が無効となっていることを確認したり、あるいは「古い番号」を知っているはずの共通の知人(この場合は「孫」と名乗る人の親かな)に電話をかける、などの確認を行うべきであろう。
ここまでの部分をインターネット上の事例にあてはめてみる。
「おれおれ詐欺の最初の電話」 ≒ 「無差別に送られてくるDM」
「新しい電話番号」 ≒ 「クロスサイトスクリプティング脆弱性の踏み台」
「送金の依頼(詐欺)」 ≒ 「クロスサイトスクリプティング脆弱性等によって偽装されたウェブサイトのフォーム」
こんな感じだろうか。少し違うかもしれないけど、まあいいや。
詐欺の技法そのもは実社会でもインターネット上でもそれほど大差はない。
すべての「おれおれ詐欺」がこのとおりだとは思わないが、さまざまな情報について、その真偽を冷静に分析すれば、「おれおれ詐欺」程度ならたやすく見破れるような気がする。