怖っ、ペイパルでお金を盗まれた!犯行の手口と防衛策を緊急レポート。ネットバンクユーザーも要注意!
ネットバンクやペイパルを使っている人は特に要注意です。
ネットを多用する職業柄、セキュリティへの意識は高いと思ってましたが、ただの思い上がりでした。まんまとペイパルのアカウントに不正ログインされたあと、お金を使われました。
ペイパルから送られてきた見覚えのない支払通知をきっかけに、ペイパルのサービスデスクに問い合わせると、被害に遭った日からさかのぼり数日間、中国と日本からアカウントに対して怪しげなアクセスが何度もあったことがわかりました。
僕はいまどちらの国にもいないので、すべてのアクセスがアカウントを乗っ取るためだったと考えられます。そして、その1人がログインに成功したってことになりますね。ちなみに日本からの犯行でした。
パスワードを桁数の少ない半角英数字の組み合わせにしていたため、割り出しが簡単だったのでしょう。ペイパルのアカウントは、IDがメールアドレスです。人の手によるものか、機械的にかは分かりませんが、メールアドレスと適当な英数字を組み合わせればログインできた、というのが事実だったと思います。
被害額はわずか1,800円で、最終的に支払をキャンセルできたので、大きな声で騒ぐことではないかもしれません。でも、更に大きな被害に遭う人を出さないためにも、事の顛末と、不正ログイン&フィッシング詐欺(後述します)を防ぐ、誰でも簡単にできるけど効果が高いセキュリティ対策をまとめておきます。
きっかけはこのメール
これが被害に気付くきっかけとなったペイパルからのメールです。
メールには、ある商品をペイパル経由で購入したことが記されてます。金額は17.98ドル。日本円では1816円。支払先は、実存する会社で、会社名や商品名を特定する情報は、ぼかしてあります。
こんな支払にはまったく身に覚えがなかったので、メールを見た瞬間、本当なら焦ってもいいはずですが、危うく無視してそのまま放置してしまうところでした。なぜなら、最初はこのメールを「ペイパルを名乗った偽装メール」だと勘違いしてしまったからです。
ペイパルを偽装したメール
これが、ペイパルを騙った偽装メールです。最初に見せた本物のメールとの違いは英語なだけで、あとは全く一緒ですね。(記載された情報は全てでっちあげなので公開しても構わないでしょう)
このようなメールは「フィッシングメール」と呼ばれ、一般に広く知られた信頼性の高い有名ブランドや会社を名乗ることで、あなたを信じ込ませ、大切な個人情報を奪うために送られてきます。まあ一言でいえば「詐欺メール」ですね。
フィッシングメールとは?
フィッシングメールが、あなたを騙す仕組みはこうです。
ある日、利用している銀行からメールが来ます。メールには、「数日前に銀行からお金が引き落とされましたよ」と書かれています。しかし、本人は身に覚えがありません。ことの真相を確かめようと、メールに記載されたリンクをクリックして、銀行のサイトを開きます。
銀行のサイトを開くと、いつもの見慣れた画面で、支払の履歴を確認するためのIDとパスワードの入力を求められます。もちろん確認したいので入力しますよね。しかし、次の画面が現れません。なぜなら、この一連の流れ全てが、仕組まれた詐欺だったからです。
最初に送られてきたメールも銀行のサイトも、あなたのIDとパスワードを盗むための偽物です。盗んだIDとパスワードで、犯人は今ごろ本物のサイトでログインし、お金を自由に使っていることでしょう。
このような罠にハマらずに済む方法は、「怪しいメールをすべて無視することです」といいたいところですが、実はそうでもありません。なぜなら、不正ログインによる支払を通知している本物のメールが、怪しいメールに紛れていることもあるからです。それが今回の件です。
一番最初に見せたメールは、本物のペイパルから送られてきたメールです。通知された支払には一切身に覚えがありません。しかし、支払は実際に行われていました。ペイパルは通知から45日以内であれば、不正な支払をキャンセルできます。もし、怪しいメールだと無視していたら、45日を過ぎてしまい、お金は戻ってこなかったかもしれません。
つまり、怪しいメールを無視しているうちに、リアルなメールをも無視し、不正な支払に気付かない恐れがあるということです。
このジレンマを解決するには、「フィッシングメールを見破る方法を知る」、「不正ログインを避けるためのパスワード強化を行う」という二つが重要になってきます。
フィッシングメールを見破る方法
フィッシングメールかどうかを見破るには、まず「差出人の名前とメールアドレスが一致しているか」、もしくは、「どちらも実在するものか」をチェックします。
メールの一覧を見て表示されているのが差出人の名前です。今回の例でいうと、「service@paypal.jp」です。いかにも本物から送られてきたかのように見えますが、メールを開き詳細を見てみると、メールアドレスは「diegop6@prenotazionealberghi.net」になっています。実在するペイパルのドメインとは全く関わりがありません。このように、差出人の名前とメールアドレスが一致せずに、しかも、アドレスがよく分からないものなら、100%フィッシングメールです。
- 差出人の名前はいかにも本物っぽいが
- 差出人のメールアドレスは明らかに偽物
メールに記載されているリンクを疑ってみるのも、フィッシングメールに騙されずに済む方法です。
フィッシングメールの目的は偽サイトに誘い込むことです。必ずメール本文にクリックできるリンクが含まれています。そのリンクにマウスを近づけると、開かれるサイトのURLが見えます。もし、それが記載されたURLと一致しなかったり、本物のサイトのURLと異なる場合は、フィッシングメールだと判断していいでしょう。
- リンク先がいかにも怪しい
全く知らないURL。ペイパルと関わりのないサイトへ連れて行こうとしているのが分かります。
※以上はMACのメールソフトによるものです。他のメールソフトを利用している場合と表示の仕方が異なります。
SSL通信について
このようにメールから分かる情報をヒントする方法を紹介しましたが、最近は偽装がますます巧妙になり、疑う余地なくいつの間にか偽サイトに誘い込まれていることもあります。
偽サイトを見破るには「SSL通信」に注目します。
SSL通信は、会員サービスへのログインやショッピングカートの決済などで利用される通信方法で、アカウントのIDやパスワード、そしてクレジットカードなどの重要な個人情報を盗まれないための工夫が施されています。
多くのフィッシングサイトは、このSSL通信に対応していないので、それをヒントにすれば判断できます。
ブラウザに表示されるURLを見て「https://〜」で始まっているか、もしくは、鍵マークが表示されていればSSL通信の中にいます。鍵マークをクリックすると、証明書や接続方法の詳細を調べられます。もし、少しでも疑う余地があれば、絶対に入力してはいけません。
- ブラウザに表示されるSSL通信の証拠
- 鍵マークをクリックして接続状況を詳しくチェック
※以上はChromeによる方法です。他のブラウザとは表示・挙動が異なります。
パスワードを強化する!
さて、これからは不正ログインを防ぐ方法です。
結局のところ、不正ログインを防ぐには、パスワードを推測されにくいものにするのが、簡単ながらも一番効果的な方法です。
具体的にいえば、パスワードを必ず「長く」「意味不明」「別々」なものにします。
「長く」は、桁数の多さです。多ければ多いほど、英数字を組み合わせるパターンも多くなり、犯人にとって割り出しが難しくなります。
「意味不明」は、パスワードに使う半角英数字を、「password」のような英単語や自分の名前、ニックネーム、誕生日など推測しやすいものにせず、できるだけランダムな組み合わせにすることです。アルファベットと数字の両方を複雑に組み合わせた方がいいですね。
特に、誕生日の数字を並べ替えたパスワードなんて、スラム街で財布を見せながら裸で歩くようなものです。facebookのようなSNSのプロフィールを見れば、誕生日なんて簡単に盗めるからです。SNSの面白さが半減するかもしれませんが、プロフィールの公開設定もできるだけ制限した方がいいでしょう。パスワードのヒントになる情報を与えないためです。
また、それぞれ利用するサービスごとで「別々に」異なるパスワードを設定することも重要です。共通のパスワードを使っていると、一つのアカウントをきっかけに、例えば「ペイパル→facebook→ネットバンク」のように、芋づる式に全てを乗っ取っていくことが可能になります。確かに、たくさんのパスワードを管理するのは面倒ですが、「1Password」のような便利なアプリもあります。(→1Password)検討してみるといいでしょう。
さてさて、こうしてまとめてきましたが、今回1800円の被害で済んだのはラッキーだったことに気付きました。ペイパルは簡単に送金やネットビジネスに利用できるだけに、皆さんも気をつけてくださいね!