米国旅行者を狙う“ESTA申請代行” グレーなトラブルにはどう対処すればいい？：半径300メートルのIT

コロナ禍も少し落ち着きを見せ、日本から海外に向かう旅行者が少しずつ増えていくかと思います。米国に行く人にとって、少し注意してほしいセキュリティ問題が発生しました。

[宮田健，ITmedia]

　筆者の周りで徐々に海外旅行に行く人が増えてきました。筆者自身も最近、何度か米国に出張しています。帰国時のPCR検査も不要となり、もう少し円高になればコロナ禍以前のような旅行ができるようになるのではないかと思っています。

　ただし気を付けてほしいのは、米国への入国に必要な「ESTA」（ビザ免除プログラムのための電子渡航認証システム）の申請で多くの旅行者がトラブルに巻き込まれているということです。

　ESTAは、ビジネスや観光目的などで米国に90日以内の短期旅行の際にビザなしで入国が可能なことを証明する電子渡航認証で、米国行きの航空機や旅客船に搭乗する前にWebサイト経由で申請しておく必要があります。

　初めて訪米する人はもちろん、コロナ禍で旅行に行けなかった多くの人は、ESTAの有効期限（2年間）が切れており、これを機に申請、再申請することになると思います。ただしこの申請において、筆者の周りの知人が次々と「ESTA取得代行業者」に引っ掛かっており、通常よりも高い費用を払っているのを見かけてしまいました。

　ESTA申請の代行業者問題については、国民生活センターからも注意喚起が出ています。この問題は本来21ドルの申請費用が8000円以上の支払いになっており、そのタイミングで初めて、正規のWebページ経由ではなく代行業者によるWebページ経由で申請していたことに気が付くというものです。

本来申請すべき窓口は上から4つ目のもの、なのだが……（出典：筆者使用のWebブラウザのキャプチャー）

　代行業者のWebサイトをみると、その多くは本物と似たデザインになっています。1度ESTAを申請したことがある方でも、前回の申請から約2年程度期間が空いていますし、ほとんどの人は本物のWebサイトをそもそも知らないわけですから、見分けるのは困難でしょう。

　これは、本人が気付いていないという意味では“広義のフィッシング”のようなものなのではないかと思います。しかし、申請自体は問題なく行われているため、泣き寝入りしてしまう方が多いのも事実でしょう。

ESTA代行問題では基本的なフィッシング詐欺対策がヒントになる

　多くのフィッシング詐欺は電子メールやSMSなどを起点としています。しかしESTAの場合、検索エンジンに代行業者のWebサイトが当たり前のようにリストアップされてくるため、相当身構えていなければなかなか気が付かないようです。知人の一人は代行業社と知った後に交渉して返金されたとのことでしたが、運がいいケースだと言えるでしょう。

　では、このトラブルに対して私たちはどう対処すべきでしょうか。全てのフィッシング詐欺対策に共通しているように、筆者としては普段利用している正規のWebサイトをあらかじめブックマークしておくことをお勧めします。今後米国旅行を計画していない方も、ESTA申請サイトだけでもブックマークしておくといいかもしれません。

　ブックマークしておけば、Webブラウザの検索エリアに“ESTA”を入力したときに、下記のようにブックマークやトップヒットとして登録済みのWebサイトがサジェストされます。もちろん、ブックマークしたことを覚えているのであればそこからアクセスする方がより安全でしょう。

ブックマークをしておけば検索結果を見る前にトップヒットに表示された（出典：筆者使用のWebブラウザのキャプチャー）

　ESTAに限らず金融機関や各種ポイント管理ページなど、フィッシング詐欺で狙われやすいWebサイトについては、事前にブックマークをしておくことをお勧めします。ESTAなどは見落としがちだと思うので、米国渡航を計画している方はぜひ今のうちに。

「パスワード」もフィッシング対策のヒントになる

　もう一つ、Webブラウザが記憶している「パスワード」もフィッシング詐欺対策に有効です。Webブラウザに内蔵されたパスワード保存機能は、ログイン時にIDとパスワードを自動入力してくれる大変便利な機能です。パスワード保存機能は、基本的にIDとパスワード、そして「ドメイン名」を含むURLをセットで保存しています。

　そのため、もしサイバー攻撃者が本物そっくりのWebサイトを作成しても、表示されているWebページが異なるドメインに存在していれば、URL文字列が異なるためWebブラウザはIDとパスワードを自動入力してくれません。もしログイン時に普段自動で入力されるはずのパスワードが空欄になっていたとしたら、フィッシングサイトだと気付くかもしれません。ちょっとした違和感があったら立ち止まってみてください。

　「フィッシングによる個人情報等の詐取」は、情報処理推進機構（IPA）が毎年公開する「情報セキュリティ10大脅威」でも上位にランクインしています。

「フィッシング」は情報セキュリティ10大脅威 2022年版の個人部門で1位となるほど危険な脅威だ（出典：IPAが公開する「情報セキュリティ10大脅威」2022年版から）

　フィッシング詐欺対策は、決して見分けることが最初に来るのではなく、この10大脅威においてもまずは「被害の予防（被害に備えた対策含む）」が推奨されています。特に今回のESTA申請代行やamazon.co.jpでの送料が相場よりも高い設定になっていることに気が付かない事例をはじめ、グレーゾーンのものもたくさんあります。なかなか完璧な対策はありません。

　そのため、まずはさまざまなヒントを仕込んでおき、フィッシングになるべく引っ掛からない状況を作ることが重要だと筆者は考えています。情報を蓄え、身構えることを知れば、金銭的な被害を最小限に抑えられるはずです。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。