「詐欺メールに騙されたふり作戦」で犯人の顔写真をゲット

牧野武文

March 13, 2018 08:00
by 牧野武文

社内の上司や業務関係者を装い、高額のお金を騙し取る「ビジネスメール詐欺」(BEC=Business Email Compromise)。欧米、日本だけでなく、もちろん中国でも横行している。このBECに騙されかけたセキュリティエンジニアが、騙されたふりをして、相手のPCにマルウェアを送り込み、犯人の写真を撮ることに成功した。その顛末を『新京報』が取材した。

上司からのショートメッセージ

セキュリティエンジニア李鐘原(仮名)は、BECの被害を受けそうになった。しかし、すぐに気づき騙されたふりをして、犯人のPCにマルウェアを送り込み、犯人の顔写真を撮影することに成功した。李鐘原はすぐに公安に通報し、さらに顔写真などをSNSウェイボーで公開した。この記事が爆発的に転載され、大きな話題となった。

犯人は、李鐘原の上司の名前で突然、彼の携帯電話にショートメッセージを送ってきた。携帯電話を変えたので番号が変わったのだという。そして、経営者の一人にお金を送りたいのだが、いろいろ規制が厳しい昨今、李鐘原個人の銀行口座を経由させてくれないかというのだ。そこで李鐘原は騙されたふりをした。
 
記者:どの時点で詐欺だと気がついたのでしょうか?
李鐘原:犯人は、携帯電話の番号が変わったとショートメッセージで知らせてきました。名前は確かに上司のものでしたが、すぐにこれは詐欺ではないかと疑いました。なぜなら、今は携帯電話の番号を変える人はとても少ないからです。変えたとしても、WeChatのようなSNSで知人に新しい番号を伝えるのが普通で、いきなりショートメッセージで連絡する人はまずいません。

李鐘原は、以前から同様のBECメールを何度も受け取っていた。セキュリティエンジニアである李鐘原は、騙されるようなこともなく、無視をしてすぐに削除していた。しかし仕事の性質上、そして本人の興味から犯人を追跡してみたいと思うようになり、準備を進めていた。そこにこのメールが飛び込んできたのだ。

存在しない口座の振り込み写真

李鐘原は返信をする時に、自分が経理担当の仕事もしていることを臭わせる文面にした。詐欺師は一般に大量に詐欺メールを送り、返信の文面から、騙しやすそうな相手、大金が稼げそうな相手を選んで、次の詐欺シナリオの実行に移る。経理業務を担当していると知れば、必ず相手が反応してくると考えたのだ。
 
記者:相手からの反応はありましたか?
李鐘原:ありませんでした。私が本当に騙されているかどうか、相手も疑心暗鬼になっているのです。そこで、私は相手の電話番号に電話をかけました。もちろん出ません。しかし、私が電話したことは、相手にとって「私はもう信用している。詐欺が行える」という信号になるのです。
果たして、相手から再度ショートメッセージが送られてきました。今、外出中で電話がしづらい状況にあると言います。相手は、カモを捕まえたと思っているのでしょうが、私も相手を罠に追い込むことができたと感じました。
 
記者:それで、相手は詐欺のシナリオを実行し始めたのですね?
李鐘原:詐欺のシナリオは翌日の朝から始まりました。朝8時過ぎ、ショートメッセージがきて、私の銀行口座を経由して、経営陣の一人に送金したいというのです。そこで私は架空の銀行口座の番号を伝えました。するとすぐに、本来は存在するはずのない銀行口座に入金したいう振込記録の写真を送ってきました。彼らはあらゆる銀行の振込記録のフォーマットを持っていて、PCで合成して、どのような記録でもプリントできるのです。
その振込記録を見せて、同じ金額を指定した口座に入金してれくと言うのです。もちろん、自分のお金が振り込まれてしまうだけで、お金を騙し取られてしまうことになります。

「架空の振込記録を見せても、本人が銀行口座の残高を確認したら、偽造がすぐにバレてしまうのではないか?」と思われる方もいるだろう。その通りなのだ。バレたら、詐欺師は「入金の時間がかかっているのでは?」ぐらいの言い訳はするかもしれないが、基本、逃げてしまう。

ネット詐欺は、膨大な数のカモにメールを投げ、その中から騙せそうな相手を絞り込んで行くというやり方をする。途中で相手が不信感を持ったと感じたら、さっさとそのカモを放棄して、別のカモに集中するだけ。そのため、ネット詐欺のシナリオは巧妙である必要はない。大胆である必要がある。芸術的な詐欺は必要ない、効率的な詐欺が求められている。

詐欺師に口座番号とパスワードを伝える

李鐘原は、この詐欺師に大胆な手法で対抗をした。問題の銀行口座は、振り込む額の上限が設定されているので、別のネット銀行の口座から入金すると伝え、しかも自分は手が離せないので、詐欺師(上司だという設定になっている)の方で振り込み操作をしてほしいと、口座番号とパスワードを教えたのだ。
 
記者:相手は信用しましたか?
李鐘原:詐欺師というのは、最初は慎重にことを運びますが、あと一歩のところで利益が得られるとなると、そのことで頭がいっぱいになって、つまらない過ちをしてしまうものです。相手は、喜んで私のネット銀行口座にアクセスしたようです。
記者:伝えたネット銀行の口座は本物だったのですか?
李鐘原:まさか。送ったURLは、ネット銀行のものではなく、私が用意したフィッシングサイトで、ネット銀行そっくりに見えますが、口座を操作しようとすると、マルウェアに感染します。
皮肉なことだと思います。このマルウェアは、サイバー犯罪者が被害者の個人情報を入手するために使っているものです。私はいつかこのマルウェアを、サイバー犯罪者の個人情報を取得して公安に通報することに使ってやろうと、以前から用意していました。

こうして、李鐘原は、詐欺師のPCにマルウェアを送り込むことに成功し、詐欺師のPCの動きのすべてをモニターできるようになった。さらに、PCの内蔵カメラを操作して、詐欺師の顔写真まで撮影している。

この情報は、整理をし、公安当局に提出をしたが、そのうちの数枚をSNS「ウェイボー」でも公開をした。これがネットでの大きな反響を呼んだ。


李鐘原と犯人のショートメッセージのやりとり。李鐘原が架空のネット銀行の口座URLとパスワードを教えている。サイバー犯罪者がフィッシングサイトからマルウェアを感染させる手法をそのまま使って、犯人の個人情報を取得した。


撮影された犯人の映像。李鐘原は犯人のPCを支配下に置いて、犯人の個人情報を手に入れ、公安に情報提供した。

BEC詐欺に引っかからないために

 
李鐘原:ウェイボーで何枚かの写真を公開すると、ものすごい勢いで拡散していきました。数百万件の転載が行われたのです。さらに、公的機関の公式アカウントも転載を始め、各地方公安の公式アカウントまで転載をしました。
記者:反響の大きさに驚いたのではないですか?
李鐘原:かなり慌てました。私のやっていることは、違法ギリギリのことなのですから。でも法律の専門家が、利益を得ようとして相手の個人情報を取得したのではなく、公安に情報提供するための証拠を収集しているのだから、法的にも問題はない※と発言してくれました。それでようやく安心できたのです。
(※編集部注:これは中国の法律の場合です)

この犯人はまだ逮捕されていない。しかし、顔写真と個人情報が情報提供されていることから、公安はすでに犯人を特定しているので、逮捕は時間の問題だと見られている。

李鐘原は、読者に対して、BEC詐欺に引っかからないために、2つのことを守るべきだという忠告をした。

ひとつは、目先の利益にとらわれないこと。詐欺師の中には、あなたの口座を経由させてもらう、企業の法人口座を操作してもらう代わりに、一部をあなたの個人口座に還流させると誘ってくる例もある。「どのみち会社のお金だから」「自分も得をする」ということから、簡単に詐欺師の口車に乗ってしまう例があるのだ。

ふたつ目は、必ず複数の方法で相手に確認を取ることだ。特に電話をすることは重要で、こちらから電話をすれば、多くの場合、声や話し方で本人かどうか確認できる。詐欺師は、それがわかっているので、何かと理由をつけて電話に出ない。そこで詐欺だとわかる。
また、公安や税務署など公的機関を騙るBECも増えている。この場合も、自分で電話番号を調べて、代表電話番号から相手に連絡を入れてみる。これを守るだけで、多くのBECは回避できる。

ネット詐欺BECは大量のカモにメールをばらまいて、少しでも違和感のあるカモをどんどん切り捨てて、騙せそうなカモを絞り込んでいく。そのため、ちょっと注意力を使うだけで、詐欺師はあなたを放棄し、別のカモのところに行く。ある意味、防ぎやすい詐欺でもあるのだ。

ニュースで学ぶ中国語

 
安全工程師(anquan gongchengshi):セキュリティエンジニア。ネット詐欺の多い中国では、セキュリティエンジニアが不足しており、今、最も高収入を得やすい職業のひとつになっている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…