インターネット犯罪に加担させ、だます手口に注意せよ：RSAが解説

最近のインターネット犯罪ではクレジットカード情報を狙われる。犯罪者は盗んだ情報を現金化する際に一般人を加担させようとするばかりではなく、金銭もだまし取るといい、注意が必要だ。

[國谷武史，ITmedia]

　フィッシング詐欺に代表される最近のインターネット犯罪は、個人のクレジットカード情報を標的にしている場合が多い。盗んだクレジットカード情報を現金化するために、犯罪者が一般の人を勧誘し、さらには金銭をだまし取るという。RSAセキュリティが犯罪の手口と事例を解説し、こうした犯罪に巻き込まれないよう呼び掛けている。

　犯罪者がクレジットカード情報を盗む手口には幾つかあり、実在するサイトに見せかけた詐欺サイトにユーザーを誘導して個人情報を入力させるフィッシング詐欺や、ユーザーをキーロガーなどのマルウェアに感染させて入力した情報を外部に送信するといったケースが多い。

　入手したクレジットカード情報は、犯罪者が別の人間に売り渡したり、「リシッピング詐欺」という手口で現金化したりする。リシッピング詐欺では、現金化するために犯罪者が一般人を雇って犯罪に加担させるだけなく、金銭をだまし取るケースもある。

　リシッピング詐欺は、盗んだクレジットカードで通信販売事業者などから商品（PCや携帯電話、カメラなど）を不正購入（カーディング）し、その商品を第三者に転売して現金化する。仕組みは、まずクレジットカード情報を盗んだ犯罪者（カーディング実行者）が、「スキャマー」という現金化のプロセスを提供する人物に協力を求める。スキャマーは現金化のキーパーソンになる「ドロップ」という役割を担う一般人を犯罪とは意識させずに雇う。

リシッピング詐欺の仕組み

　ドロップとなる人物を確保すると、カーディング実行者はクレジットカード情報にある住所などの内容をドロップの人物のものに変更し、通信販売事業者に怪しまれないよう商品を購入してドロップの住所に送付させる。ドロップは届いた商品をスキャマーに転送し、スキャマーが現金化する。最後にスキャマーは、手数料を差し引いてカーディング実行者に利益を渡し、ドロップに報酬を渡す。

　RSAセキュリティの宮園充氏によれば、リシッピング詐欺ではドロップがポイントであり、犯罪ではないかと疑わず、スキャマーの指示に忠実な人物が理想だという。「通信販売事業者に疑われないよう米国内に住所を持つ人物が特に好まれ、疑うことを知らない人が望ましいようだ」（同氏）

　スキャマーは、都合のいい人物を多数確保することを重要視しており、ドロップをインターネットで募集しているケースもある。「自宅に届いた商品を指定先に送り直すだけで高額収入を得られる」といったメッセージで呼び掛けるケースや、「通信担当マネジャー」といった正規の職種に見せかけるものもある。

ドロップの募集サイトの例

　「スキャマーの手数料やドロップの報酬が実際にどの程度になるかは分からない」と宮園氏は話す。最近、米国ではドロップになった人物から金銭を搾取する事件があった。

　この事件ではスキャマーがドロップを10万円ほどで雇ったが、小切手で30万円分の報酬がドロップに送られた。事前の約束より20万円ほど多く、ドロップが返金のために小切手を換金しようとしたところ、偽物であることが分かった。スキャマーはドロップへ執ように返金を求め、ドロップは犯罪に加担したのが明るみなるのを恐れ、現金を支払ってしまった。

　金融危機が発生して以降、急なリストラなどで失業した人も多く、こうした人物を犯罪に加担させる目的で、安易に高収入が得られるなどとうたった広告が増えているという。リシッピング詐欺は2009年に入って増加しており、米国では手口や巻き込まれた人物の被害例を公開するなどして、注意を呼び掛けている。

過去のセキュリティニュース一覧はこちら