携帯電話のIDやパスワードなどを盗むために電話番号を宛先とするショートメッセージ(SMS)を送りつけ、実在する企業の偽サイトに誘導する「フィッシング」の手口に遭ったという相談が4月以降、県警に相次いでいる。勝手にネットショッピングで高額商品を購入されたり、携帯電話番号をフィッシングメールの発信元として悪用されたりする二次的被害も発生している。
■警察官まさか
「お荷物のお届けにあがりましたが不在の為持ち帰りました」
5月10日。長崎県内の50代の男性警察官は、携帯電話に登録していない番号からショートメッセージを受け取った。心当たりはなかったが、迷わず記載されたURLを開いた。すると、携帯の画面には特に何も表示されなかった。「おかしいな」。そう思ったが、フィッシングのメールとは気付かなかった。
翌日。別の登録していない番号から電話が掛かった。「宅配便屋さんですか?」。電話口の相手はそう尋ねてきた。「違います」と言って電話を切ると、また別の番号から同様の電話があった。「電話番号が悪用されている」。そのとき初めて被害に気付いた。それ以降、一日に電話が50件、ショートメッセージは100件も来るようになった。電話は夜中でもかまわず鳴った。
15日に携帯電話会社から連絡があり、不正に6万円分使われていた。URLを開いた際にIDやパスワードは入力していないが、開いただけで個人情報を盗まれた可能性が高い。実際に支払うことには至らなかったが、携帯電話会社からは、一時的に電話番号の利用を休止するか、別の番号に変えるか求められた。警察官は「フィッシングの仕組みは知っていたが、まさか自分がひっかかるとは」と肩を落とした。
■勝手に買い物
長崎県警サイバー犯罪対策課によると、フィッシングに関する相談は4月に4件、5月は27件に急増した。被害額が20万円を超えたケースもある。長崎県警は不正アクセス禁止法違反で捜査している。
フィッシングに遭い、携帯電話会社に登録しているIDやパスワードなどを盗まれると、本人でなくても携帯電話会社の個人アカウントにログインすることが可能になり、ネット通販サイトなどで勝手に商品を購入されてしまう。
4月上旬、長崎県内の40代女性は携帯電話会社を名乗る相手から「キャリア決済が不正利用された可能性がある」とショートメッセージを受信した。不安に感じた女性は記載されたURLを開き、個人情報を入力。約1週間後、携帯電話料金と合算で精算できるネット通販サイトから身に覚えのない約15万円の請求が届いた。長崎県警が捜査すると、犯人が注文したとみられる商品は宅配便の転送サービスで県外に送られていた。
一般的に、フィッシングによる被害金額は弁済されないケースが多いとされる。大手携帯電話会社は「会社も被害者の立場。正式なIDやパスワードを入力して成立した決済で、会社側に商品が戻らない以上は、被害金額の補償は難しい」と説明する。
被害をどう防ぐのか。長崎県警は「ショートメッセージに添付されたURLをむやみに開かないでほしい」と注意喚起する。フィッシングへの対応を支援するフィッシング対策協議会(東京)は「アカウントを乗っ取られた場合は、電話番号やパスワードを早急に変更してほしい」と呼び掛けている。
