/

LINE乗っ取り事件の真相 新手詐欺、どう防ぐ

ラック 取締役最高技術責任者(CTO) 西本 逸郎

世界で10億人以上がダウンロードしたスマートフォン(スマホ)の対話アプリ「LINE」。家族や友人同士が安心して連絡を取り合えるとあってすっかり定着した。このサービスを舞台に6月、えげつない事件が立て続けに起こった。悪意を持った第三者にアカウントを乗っ取られる人が相次ぎ、自分の親友にウソの投稿を勝手に送信された。おまけに犯人は電子マネーの購入を持ちかけ、まんまとお金をかすめ取ったのである。

言ってみればこの事件は、息子や孫を装って高齢者から金をだまし取る「おれおれ詐欺」のサイバー犯罪版だ。善意で成り立つLINEのコミュニティーに潜り込み、知り合い同士が築き上げている交流関係を逆手に取った。卑劣な手口だが、今後信頼の輪で成り立つSNS(交流サイト)などさまざまなネットサービスが「サイバーおれおれ詐欺」の舞台になってもおかしくない。いま一度、この事件はなぜ起こり、利用者はどう対処すればいいのかを考えてみたい。

電子マネーの番号で犯人は買い物、すぐ現金化

6月以降、LINEのアカウントを乗っ取られる事件が相次いで起こった。画面はある利用者が実際に被害に会った際に犯人とやりとりした会話の履歴

「本来はここで書くべきではないですがLINEアカウントが乗っ取られたようです。絶対にウェブマネーは買わないでください!!取り急ぎ」。こんな注意喚起のメッセージを自身のブログに投稿したのは音楽プロデューサーのヒャダインさん。LINEの乗っ取り事件の被害者は、著名人から一般人まで幅広い。

今回アカウント乗っ取り被害を受けたAさんによると、犯人は次のようなメッセージを親友のBさんに対して勝手に送ったという。「忙しくて外出できないのでコンビニでウェブマネーを購入してくれない?」。ウェブマネーは電子マネーの一種で、コンビニエンスストアでプリペイドカードを入手し、そこに書かれた番号を使って電子商取引(EC)サイトで買い物ができるもの。Bさんはすっかりだまされてしまい、数万円分のウェブマネーを購入し番号を犯人に知らせてしまったという。

現在、警視庁サイバー犯罪対策課が実態解明に向けて情報収集などを行っているが、おそらく以下のような手口だったのではないか。

まず犯人は、どこかで手に入れたメールアドレスとパスワードのリストを使用して、アカウントを乗っ取れそうなLINE利用者を片っ端から調べ上げた。ウェブサイトに不正ログインを試みる犯罪でよく使われる「リスト型攻撃」と呼ばれる手法だ。次に実際になりすましてログインし、友人達に電子マネーの購入を持ちかける。運良く電子マネーを買った友人がいたら、プリペイドカードに書かれた番号を写真で撮影してもらって送信させる。最後にその番号を使ってすぐさまECサイトなどで商品を購入し、到着したら換金する――といった具合だろう。

この事件の最大の特徴は、なりすまされたAさんではなく、だまされたBさんが被害者だという点だ。従来の不正アクセスなどの攻撃ではAさんが被害者となり、誰かを巻き込むことはない。リスト型攻撃を使った乗っ取り事件では、Aさんのクレジットカードで勝手に買い物をされたりたまったポイントを換金されたりされるのにとどまっていた。

LINEは、無料でチャットや通話が楽しめることから幅広い年齢層に急速に普及した

ところが今回のケースはAさんは図らずもおれおれ詐欺に加担してしまい、被害を受けたBさんらに金銭的な損失を与えてしまった。無二の友人を失ってしまったかもしれないと考えると胸が痛む。LINEとは無関係の電子マネーサービスを正しい購入方法で手に入れ、正しい使い方で買い物に用いているだけに、どう補償すればよいのかなど話がややこしい。

もしBさんがAさんと直接会って話すなど確認するチャンスがあれば、だまされたことに気付き犯人より先にウェブマネーを使うなど被害を最小限に抑える手は打てるかもしれない。

今回の犯人は素人的かもしれないが、おいしいということが分かると、高度に組織化されていくに違いない。間髪入れずに買い物などをして現金化を行うなど、乗っ取りから現金の入手まで組織ぐるみでスピーディーな犯罪を完結させるスキームをつくり上げていく可能性が高い。オンラインバンキングの不正送金詐欺で口座から現金を引き出す「出し子」グループのように、ウェブマネーを瞬時かつ効率的に換金する体制をも敷いているに違いない。

今後、さらに凶悪化する可能性も

サイバー版おれおれ詐欺は今後、さらに手口が巧妙になり凶悪化していく可能性が高い。起こりうる犯罪シナリオとして、例えば次のようなものが考えられる。

1つ目は、拾ったか盗んだスマホで乗っ取りを仕掛けるケース。個人情報の宝庫であるスマホゆえに、LINEを問わずさまざまなSNSを駆使して片っ端から電子マネーなどの購入をあっせんできてしまう。疑った友人が電話をかけてきても、本物の本人のスマホだから通常のおれおれ詐欺のように口頭で相手を信じ込ませることもたやすい。

スタンプと呼ぶ大きな絵文字が潤沢に用意されており、従来にはない円滑で密なコミュニケーションが可能。犯人はその知り合い同士の交流の輪にまんまと潜り込み、犯罪を働いた

2つ目は、そもそも詐欺を目的に近づきLINE上でも交流関係を築いた上で、ある日突然豹変(ひょうへん)するケース。近づいた本人があっせんを企てるとは限らない。偽の交流関係をつくったアカウントを買い取る犯罪グループのアンダーグラウンドな商売が横行する危険もはらむ。彼らが企てる巨大な詐欺事件に巻き込まれるかもしれない。

3つ目は高齢者から金をだまし取る通常の「おれおれ詐欺」の一環にLINEなどが組み込まれ、信じ込ませる道具として使われるタイプ。現状のウェブマネーでは高くても数万円のプリペイドマネーしか買えないが、財産が目当てになれば被害額が数百万~数千万円に跳ね上がるかもしれない。

最後の4番目が、ビットコインのような匿名性が高い最新の個人間決済を送金手段として悪用するケース。国境を股にかけた送金が可能になり、外国の犯罪グループによる乗っ取り事件が頻発する可能性もある。

最近LINEは海外の利用者も増えており、同様の犯罪が国境を越えて広がってしまう可能性もある

では消費者はどうやってサイバー版おれおれ詐欺から身を守ればよいのか。まず被害者となるBさんは、そもそもネットだけを信用せず送金を依頼してきた親友に直接会って確かめるなど防御策を講じるしかない。SNSだけでつながっている相手なら、会ったこともない人にお金を貸すべきではないと断固拒否する強い姿勢を持つことだ。

友達関係を壊したくないと考える人間心理を巧みに突く犯罪者は、きっと緊急事態をアピールしてあの手この手で送金をせかすだろう。数千円ぐらいならと考えず、思い切ってサービス運営会社に似たようなトラブルに巻き込まれた利用者がいないか問い合わてほしい。

乗っ取られないためには、とにかく「パスワードを流用しない」

一方、そもそもアカウントを乗っ取られてしまったAさんに求められるのは、従来の不正ログインに対する対策と同じだ。交流サイトやECサイトのアカウントは厳重に管理し、「あるSNSのパスワードは他では流用しない」「利用手段となるスマホの管理をしっかり行う」など手間を惜しまずに安全性に配慮を欠かさないようにしたい。

今回の場合、初期設定のままではパソコンを併用してメッセージを送受信できてしまっていたが、LINE側が対策を講じたようである。さらに通常使用しているスマホ以外では利用ができないようにしておくことも可能なので、設定を見直しておこう。

昨年、オンラインバンキングを悪用した不正送金による被害額は14億円を超えた。ただ今年は4月までで既に14億円突破し、史上最悪だった昨年を上回るペースで犯罪が横行している。警察庁の発表によれば、振り込め詐欺など被害額は合計で486億円超。不正送金とは比較にならないほど大きい。

サイバー版おれおれ詐欺の登場は、サイバー犯罪の被害額が振り込め詐欺並みに膨らむきっかけになってしまうかもしれない。今まで以上に高いネットリテラシーで武装せざるを得ないことを、消費者はいま一度認識しておくべきである。

西本 逸郎(にしもと・いつろう) ラック 取締役CTO。北九州市出身。1986年ラック入社。2000年よりサイバーセキュリティー分野にて、新たな脅威に取り組んでいる。日本スマートフォンセキュリティ協会 事務局長、セキュリティ・キャンプ実施協議会 事務局長などを兼務。著書は「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)

初割ですべての記事が読み放題
今なら2カ月無料!

セレクション

トレンドウオッチ

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン