はじめに
去年、情報処理安全支援士を取得したばかりなのですが、母親がフィッシング詐欺の被害にあってしまいました。(被害額は50万円弱)
本当に情けないです。何が情報処理安全支援士だ、何がセキュリティスペシャリストだ、身近な人も救えないようじゃ資格取った意味ないじゃないかと。
身内が被害に合うというのは予想以上にショックが大きく、母親も身内から何をやってるんだと責められまくって意気消沈しまっております。
警察や弁護士、銀行にも相談しましたが、返金はほぼ絶望的な状況(詳細は後述)です。
やはり情報セキュリティいうのは、自分だけが気を付けておけばいいものではなく、家族や身の回りの人達への啓蒙的な活動も重要だと実感しまして、覚えているうちに記事に纏めようと思い立ちました。
知識があっても引っかかってしまう最新の手口
母親が引っかかったのは、フィッシング詐欺の中でもサポート詐欺というものでした。
https://www.npa.go.jp/bureau/cyber/countermeasures/support-fraud.html
イメージ図(警視庁サイトから転記)
一連の流れは下記の通りです。
- ウイルスに感染しました。〇〇〇〇に電話してください。というメッセージの画面が表示される。
- 爆音で警報音が鳴り、警告画面も普通には消せない。(たぶんAlt+F4とか押せば消える)
- 警告画面がメジャーなウイルス対策ソフトのデザインになっている(ウイルスバスターやNorton、ESET等)
- 電話をかけると、Microsoft社を名乗る人物が出て、パソコンの修理についての話をされる。
- 数十分後、マイクロソフト社の白人の経歴が画面に自動で表示される。(おそらく時間契機で切り替わる。切り替わるまで電話で時間を稼ぐ運用になっている模様)
- その後「遠隔操作で復旧するので、触らないでください」と言われ、画面の表示がいろいろと切り替わる。(実際は遠隔操作とかしてなくて、自動で切り替わる仕様と思われる)
- しばらくすると「口座情報、カード情報が抜かれるので、銀行口座のお金を指定の口座に送金してください」といわれる
- 送金する The END
- その後、「私は詐欺なので、警察に連絡してください」って表示された らしい。
この流れを聞いた後、「どこに引っかかる要素ある!?!?!?!???!!??!」と思いましたが。。。
中途半端に知識があるユーザにとっては、引っかかりやすい要素が組み込まれてて良く考えられてる手口だなと思いました。
上記の手口で良く考えられているポイントは下記だと思いました。
後ろめたいサイト閲覧時に、爆音で警報音を鳴らし、やってしまった!と思わせ、判断力を失わせる。
悪いことをしているときに、大声で「コラ!!」っていわれると、ヤバい!!となりますよね。
しかも、画面が消せないとなると焦って正常な判断ができなくなることも容易に考えられます。
警告画面がセキュリティソフトのデザインを模している
自分が導入しているセキュリティソフトの警告が表示されると、知識があったとしても信じてしまう可能性は十分あります。
ウイルス対策ソフトの機能なんて、エンジニアぐらいしか把握してないですし、自分が選んで導入したウイルス対策ソフトがウイルスに感染しましたなんて警告してきたら信じちゃいますよね。
電話をかけた後、詐欺師側を信じさせるための様々な仕組み
特に項番6の下記なんかは、インフラエンジニアの私からすると、
「遠隔操作wwwwWindowsFWでRDP許可してないのにできるわけないやんwwww大草原不可避wwww」
ってなりますけど、素人だと「ありがとうございます!」ってなっちゃうと思います。
「遠隔操作で復旧するので、触らないでください」と言われ、画面の表示がいろいろと切り替わる。(実際は遠隔操作とかしてなくて、自動で切り替わる仕様と思われる)
小一時間話して十分に信じさせた後に振り込ませる。
私の母は、実際1時間半程度電話で話していたと言いますが、最終的に振込指示の時点では信じ切ってしまっているので抗う術がないのかなと思います。
なので、素人が電話をかけてしまった時点でほぼアウトな手口な気がします。
最後振込終わった後に「私は詐欺です、警察に電話してください」これが表示される意図は分かりませんが、振り込んだ時点で詐欺師的にはもう勝ち確定なので、警察への手続きとかで更に心のダメージを与えるための悪質なメッセージなのかなと。。。
そんなこんなで、50万円もの大金をだまし取られました。
被害後の返金手続きと振り込め詐欺救済法について
母親は被害後、すぐ警察に電話したそうですが、やったことは下記です。
- 振り込み元口座の凍結(私の母親の口座)
- 振り込み先銀行に対して振込先口座の凍結依頼
振り込み元口座の凍結は二次被害防止のためですね。
ただし、返金に重要な振り込み先口座の凍結は、被害後すぐにとはいかず、警察から連絡があって銀行が調査し、詐欺に利用されている口座だと判断されてからの凍結になるそうです。
すぐに凍結しないと意味ないですよね!?
銀行も警察も加害者にやさしいですよね。(ガチギレ)
そして返金についてですが、私が調べた限りだと返金してもらう手段としては下記3パターンあります。
- 銀行で振り込み処理自体を無効にしてもらう
- 振り込め詐欺救済法による返金
- 弁護士を使って、民事訴訟し、差し押さえ or 賠償金をもらう
「1. 銀行で振り込み処理自体を無効にしてもらう」
これが出来ればベストなのですが、振り込み処理が確定する前に銀行に連絡する必要があります。
ただ、皆さんご存じの通り銀行の窓口は9時~17時しか開いてませんし、電話してもすぐつながりません。
そして、近年は振り込み処理自体も簡単で、振込が確定して相手口座に入金される期間も短くなっています。
警察もこの方法を把握していない人も多くてモタモタしてます。
被害者本人も、被害にあって同様しており、頭が回っていない可能性も高いです。
つまりベストな方法ですが、実現性が低いです。
「2. 振り込め詐欺救済法による返金」
振り込め詐欺救済法は、振り込め詐欺被害者救済のための法で、相手先の口座にお金が残っている場合、そのお金をそれぞれの被害者の被害額に応じて返金するという法律です。
振り込み先の銀行に対して被害を伝えて、相手先の口座が詐欺口座だと認められた場合、口座が凍結され、その後、数か月後に申請書類が届いて手続きになります。
返金は半年程度後らしいです。
現実問題、被害者はこの法律に頼るしかない場合がほとんどです。
ただ、先ほど申し上げた通り、こんな法律があって口座が凍結されるリスクもあるんですから、犯人もすぐ出金しますよね。
そして口座が凍結されるのも遅い。
つまり、意味がない抜け穴だらけのクソ法律です。
もうちょっと良く考えたら?!
と思います。
救済法という名前ですが、手続きが非常にめんどくさいので、振り込め詐欺被害者追い打ち法 に名前変えればいいと思います。
「3.弁護士を使って、民事訴訟し、差し押さえ or 賠償金をもらう」
前述の1,2が期待できないのは分かったと思いますが、最後に弁護士を使う方法です。
相手の個人情報が分かれば、かなり労力も使いますが高い確率で振り込んだお金が戻ってきます。(2の振り込め詐欺救済法に頼るしかないって言ってくる無能弁護士、司法書士もいます。)
ただし、弁護士を使う場合下記のお金が必要です
- 着手金 20万円台が多い
- 成功報酬(10%~20%が多い?)
もうわかりますよね。50万円弱の被害で弁護士を使うメリットは低く、むしろ着手金を払ってお金が返ってこなければ、着手金分損します。
私は今回、警察や銀行に電話してだめで、最後の頼みで弁護士に電話してみましたが、無慈悲にも着手金22万円っすね~と言われ絶望しました。
つまり、今回の被害額50万円弱というのは、弁護士に頼むことでデメリットのほうが大きい金額を絶妙に設定しているということになります。
最近の振り込め詐欺はここまで考えつくされています。
まとめ
この記事を見ているエンジニア諸君
自分だけがセキュリティの勉強をして、知識を持っていても、家族が被害に合ったら何の意味もありません。
あなたの家族(特に両親)を守るのはあなただ!
そして、私はこの記事を身内に広めるとともに、今後も返金に向けて尽力します。