「退会確認」ボタンにご用心、ワンクリック詐欺に新たな手口

[ITmedia]

　「退会方法確認」ボタンに注意を――セキュアブレインは7月18日、新たなワンクリック詐欺の手口について警告を発した。

　ワンクリック詐欺は2005年後半から増加してきたオンライン詐欺の一種だ。アダルトサイトなどで画像やリンクをクリックしただけで料金を請求するという手口で、IPAなどが注意を呼びかけてきた（関連記事参照）。料金請求時に、本来は個人の特定にはつながらないIPアドレスなどの情報を示し、あたかも個人情報を盗み取ったかのように見せかけてユーザーを脅し、料金の支払いを強要する手口も珍しくない。

　セキュアブレインによると、こうした常套手段に加え、「解約・問い合わせに関するボタン」を悪用してユーザーのメールアドレスなどを収集する手口が登場している。

　セキュアブレインが例に挙げている詐欺サイトでは、アクセスし、利用料金と年齢制限を確認するダイアログで「OK」をクリックすると、利用者の個人情報（といってもせいぜいIPアドレスとリモートホスト、アクセス日時のみ）と請求金額を示す「登録完了」画面が表示される。この登録完了画面の下部には、「退会方法を確認する」というボタンが用意されている。

　しかし、このボタンをクリックすると、下記のようなポップアップ画面が表示される。

　さらにこの指示に従ってここでも「OK」ボタンをクリックすると、Microsoft Outlookが起動し、メールを送信しようとする。

　この結果、詐欺師が用意したアドレスにメールが自動的に送信されてしまう。ユーザーは「退会方法を確認しているだけ」と思っているのに、メールアドレス情報まで相手に把握されてしまうことになる。

　セキュアブレインでは、こうした手口により「ワンクリック詐欺の成功率が上がると見られている」とし、注意が必要だとしている。

　迷惑メールではしばしば、「不必要な場合はメールの返信を」「退会したければこのURLにアクセスを」という文面が見られる。しかしその通りに振る舞うと、自分のメールアドレスが確かに存在していることを相手に知らせることになり、かえって迷惑メールを増やす結果になるため、無視するのが得策だ。同様に、こうしたワンクリック詐欺サイトにアクセスし、「強制登録」された場合も、「退会」ボタンに惑わされずにそのままアクセスを中断すべきという。