止まらぬ架空請求メール――メディアリテラシーをどう啓蒙するかIT Business フロントライン(123)

» 2003年08月22日 12時00分 公開
[佐々木 俊尚,@IT]

 架空請求メールが、社会問題化している。アダルトコンテンツや出会い系のサイトの代金徴収代行業者をかたり、「サイト利用料を支払え」というメールを不特定多数のインターネットユーザーに送り付けるという違法行為だ。さまざまに工夫を凝らしたメールの文面は、脅迫的な文面のショーケースとでも呼べそうな内容だ。「速やかに入金していただけない場合は、各地の債権関連業者に個人情報を登録させていただきます」「集金専門担当員がご自宅を訪問し、集金します」「裁判・強制執行による給与の差し押さえを含めた、あらゆる回収手段を講じます」――。

トラブル回避的な被害者、ぬれ手で粟の加害者

 こんな手口に引っ掛かる人がいるのだろうかといぶかしがる人もいるだろう。しかしそう受け止める人は、メディアリテラシーの高い人だ。実態は深刻だ。例えば今年6月の読売新聞の報道によると、架空請求メールの振込先に指定された銀行口座に3000人以上から振り込みが殺到し、総額が3日間で9000万円に達する事件が起きたという。口座の名義人は埼玉県内の19歳の男性だが、銀行の問い合わせに「通帳もキャッシュカードもなくしており、そんな入金は知らない」と関与を否定していたという。

 銀行ではこの口座に振り込んだ全員に返金する異例の手続きを取ったが、振り込んでいた人の多くは「過去に出会い系サイトを利用したことがあり、その請求が来たのかと思った。金額もそれほど多くなかったので振り込んだ」と答えたというのだ。架空請求メールの請求額は、中には100万円近い高額のものもあるが、ほとんどは3万〜5万円程度。穏やかな社会生活を送っている人にとっては、「この程度で怖い目に遭わずに済むのであれば」という範囲の金額におさまっているのだろう。

 一昨年から昨年にかけて社会をにぎわせた携帯電話の迷惑メール業者が、雪崩を打ってこの非合法ビジネスに流れ込んでいるという話もある。実際、国民生活センターのまとめによると、電子メールや手紙、電話、電報などを使った架空請求への苦情や相談は2001年度には約1400件だったのが、昨年度は1万7500件と急増。今年度はまだ各都道府県からの統計がまとまっていないが、昨年並みの数字になりそうだという。ぬれ手で粟の商売というべきか。こんなことで数千万円が集まってしまうのであれば、裏社会の人たちがどんどん参入してくるのも当然だろう。何しろ、このビジネスはもうけの大きさに比べ、恐ろしいほどに低コストで運営できてしまうのだ。

架空請求メールの手口

 その具体例を見てみよう。茨城県警は6月12日、埼玉県志木市に住む27歳の無職男Aを詐欺の容疑で逮捕している。直接の容疑は今年3月上旬、「大至急連絡いたします」という表題の架空請求メールを茨城県つくば市内の36歳の男性に送り付け、架空の会社名で作った銀行口座に現金約4万3000円を振り込ませたというものだ。

 そのメールは、こんな内容だった。

 『この度は過去にあなた様が使用された電話回線から接続されたアダルトサイト利用料金について、運営業者様より未納利用料金に関する債権譲渡を受け、私どもが未納利用料金の回収作業を代行させていただくことになりましたので、ご連絡させて頂きます。


 現在、下記のとおり記載の利用料金が未納となっております。


 本件の遅延損害金および回収代行手数料も含めまして、本日より4銀行営業日以内、5月26日を御支払い期限として下記に記載の指定口座までご入金して頂けますようお願い申し上げます。


ご請求金額合計 :2万7642円

運営業者 :パラダイスネット

未納利用料金 :1万6800円

遅延損害金 :5842円

回収代行手数料 :5000円


 なお、速やかに御入金していただけない場合は、各地域の債権関連業者および関連事務所へ登録情報および個人情報を登録させていただくこととなります。結果、最終的に集金専門担当員がご自宅等を訪問、集金をさせていただくこととなります。その際には上記記載のご請求額に加え交通費、人件費等の集金に際してかかる諸費用も上乗せ加算させていただき、現状の数倍のご請求をさせて頂く場合がございますので、お忘れなく必ず御入金して下さいます様お願い申し上げます』



Aは、どのようにしてこの架空請求メールを送っていたのだろうか。

 まず、送信先のメールアドレスの収集。スパムの送信には、アドレス収集ソフトが使われるケースが多い。これは検索エンジンと同じようにロボットにWebをクロールさせ、HTMLファイルに含まれるメールアドレスをピックアップさせるというものだ。しかし捜査関係者によると、今回の事件でAが送っていたあて先にはinfoやwebmasterなどは含まれておらず、アドレス収集ソフトでは拾えないような個人の名前が入ったメールアドレスがほとんどだったという。警察の調べに対して、Aは「ネット上でメールアドレスのリスト数十万人分を数万円で購入した」と供述しているという。こうしたネット名簿業者はうんざりするほどたくさん存在している。

 最近は、DHA(Directory Harvest Attack)と呼ばれる手口もある。これは企業などのターゲットに対し、satoやsuzuki、hiroshi、kazuoといったいかにも存在しそうなメールアドレスを想定し、数万通ものメールをそのドメインに向けて送信する。エラーが返ってきたものを除外し、データベース化するという仕組みだ。これによって企業内の大量の個人メールアドレスを得ることができ、米国のスパム業界では主流になりつつあるという。ずる賢い手口にも腹が立つが、大量のエラーを企業が返した場合、送出元のISPに対してDOS(サービス拒否)攻撃のような大量のパケットが襲来してしまうという問題もある。極めて迷惑な存在だ。

送信手段、振込口座もカンタン

 次いで、メール送信のためのソフト。スパムではワンクリックで数万通のメールを送信できるようなソフトが一般的に使われている。しかも最近は、ISPのSMTPサーバを経由しないで直接メールを送出できるようなソフトも現れている。今回の事件で、Aの送ったメールのヘッダを見てみると、どれにも以下のような記述がある。

Received: from BAGGIO X-Library: Indy 8.0.22


 Recived fromは、受信側のHELO要求に対して送信側が送り出した文字列を意味している。送信側はBAGGIO(バッジョ)という文字列を送り出すソフトを使っていたことになる。またIndyは、オープンソースのインターネットコンポーネントだ。AはIndyを使って作られた、スパム送信ソフトを使っていたのだろう。警察の調べに対して、「今年2月から逮捕されるまでの4カ月の間に、計110万通のメールを送った」と供述している。

 架空請求メールを送るのに、もう1つ必要なのが、匿名性の高いインフラだ。ISPを使ったのでは、メールのヘッダやアクセスログなどからIPが割り出され、個人が特定されてしまう。そこでAは、インターネットカフェを使うことを思い付いた。Aが利用していたのは、東京・池袋と浅草の駅前繁華街にあるインターネットカフェ。捜査関係者によると、Aは月曜日から木曜日の午前10時ごろから11時ごろに送信を開始し、午後2時ごろには作業を終えていたという。自宅は志木市だから、毎日のように埼京線か東武東上線で都心に通い、地道に作業を進めていたようだ。

 インターネットカフェの多くは、パソコンが置かれているデスクをブースで仕切っており、隣同士でもお互いがどんなことをしているのかは分からない。事件現場になったネットカフェの従業員に話を聞いてみたが、「違法なことをしないようには指導しているが、実際に逐一監視するのは難しい」と言う。ハッキングツールなどが使えないようにマシンのCD-ROMやFDDをつぶしている店もあるが、インターネットからダウンロードしてインストールされることは防げない。

 そして最後に、振込先の銀行口座。これも最近では他人名義のものが簡単に入手できるという。ヤミ金融の餌食になっている多重債務者が、借金のカタとして銀行口座を作らされ、それが販売されているというひどい構図もあるようだ。

犯罪者のロジック

 今回の事件が摘発できたのは、インターネットカフェに回線を提供していたISP「ビットキャット」を運営するエッジが、捜査に協力したからだった。Aのメールのヘッダに記述されている送信元のIPアドレスから送信元をビットキャットと割り出したユーザーらが、同社に対応を求めるメールを送った。同社は送信元のIPアドレスがインターネットカフェに割り当てられていたことを確認すると同時に、警察に相談している。犯罪性の高い行為であっても、トラフィックの中身を見て外部に漏らすことは通信の秘密に抵触する可能性がある。それに、中身をフィルタリングせずに、常時接続されている回線上でスパムの送信をリアルタイムで監視することは難しい。このため同社は、ユーザーから架空請求メールの苦情メールが来るたびに警察にリアルタイムで連絡。この通報を受けた警察が現場のネットカフェを監視し、利用者を特定するという地道な捜査を続けた。その結果、Aの存在が浮かび上がってきたのだ。

 犯罪行為であるから、発覚して容疑者が特定されれば当然のように逮捕される。詐欺は10年以下の懲役だから、決して軽い罪ではない。しかし裏社会に生息している人々にとっては、刑法における罰則の重さはさほどの阻害要因にはなっていない。それよりも、いかに安い元手で、大きな利益を上げられるかという“収益性”の方が重要なのだ。「うまくもうけられて、警察が動く前に引き上げられれば吉。ヘタを打ったヤツはバカ」という、一般社会とは懸け離れた考え方を持っている。

 裏社会の枠組みの中で考えれば、架空請求メールの“ビジネスモデル”は極めて秀逸ということなのだろう。必要なツールはメールアドレスリストとスパム送信ソフト、通信インフラ、振込先の銀行口座の4種類。先に挙げたAのケースでいえば、メールアドレスの購入費用が数万円。ソフトははっきりしないが、せいぜい1万数千円。通信インフラはインターネットカフェだから、1時間500円程度。1日4時間を週に4回、2カ月通っても7〜8万円程度だ。それに銀行口座が数万円。たぶんコストは総計で15万円程度におさまったのではないか。このコストに対し、Aは逮捕されるまでの2カ月間で700万円を荒稼ぎしていたという。

 Aも逮捕されるまでは、笑いが止まらなかっただろう。この稼業に、裏社会からどんどん新規参入が相次いでいるのも、うなずける。実際、これほど社会問題化し、警察も動いているというのに、さまざまな架空請求メールに記載されている電話番号に電話をかけてみると、その大半は生きていた。いかにもヤクザといった強面の声で怒鳴る男、優しい口調だが押しの強い若い声。電話に出る面々はさまざまだが、真っ当な人間とはいい難い連中であるのは間違いない。

 こうした犯罪に、どのように対処していくのか。それはとても難しい問題だ。「だまされる方が悪い」と言ってしまうのは簡単。しかし違法行為を野放しにしておくわけにもいかないだろう。遠回りではあるが、インターネットに対するリテラシーを高める教育が最も正攻法ということになるのかもしれない。

Profile

佐々木 俊尚(ささき としなお)

元毎日新聞社会部記者。殺人事件や社会問題、テロなどの取材経験を積んだ後、突然思い立ってITメディア業界に転身。コンピュータ雑誌編集者を経て2003年からフリージャーナリストとして活動中


「IT Business フロントライン」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ