偽のスパム架電による正当な金融機関の確認電話を阻止する電話利用型DOS攻撃の最新動向

　
　筆者は手元に届くFBIからの情報で、5月11日リリースで変わったサイバー犯罪(ホワイトカラー犯罪にも該当)の情報を読んでいた。
　わが国でこのような犯罪は考えられるのか良く分からない点もあり、そのままにしていたが約1ヶ月半後の6月21日にもFBIサイトで再度取り上げられていた。

　IT詐欺の多様化はとどまることを知らないのであり、犯罪手口を提供するというマイナス面は承知しつつもあえて正確な情報提供し、あわせて捜査関係機関の認識をあらたにしたいとの目的からまとめた。

　なお、FBIが述べている通り、このような犯罪行為が行われる背景にはまさにSNSの安易な利用と個人情報(とりわけ口座情報等)の提供があることは間違いない。また、わが国では自動ダイアリング・プログラムによるマーケティング活動といった迷惑電話の規制法制がないこともあり(筆者注1)、一方、振り込め詐欺もそうであるが「電話番号の非開示」も重要な安全対策の対象であり、またこれらを扱う事業者の認識も変えなくてはならない時代になったといえる。　

１．犯罪の手口
　この手口は電話型DOS攻撃(telephony denial-of-service：TDOS)として知られており、この数週間FBIと協同調査を行った電話会社によると、これらのDOS攻撃の急増が見られた。
　加害者は、自動ダイアリング・プログラムと複数の口座を対象として、被害者に向け数千回の電話により固定電話や携帯電話の利用を遮断、通話不可とする

　被害者が電話口に出ると、通話の中断(dead air:無言電話 )あったり無害な録音メッセージ(innocuous recorded message)や広告さらにはテレフォン・セックス・メニュー等多様である。このスパム電話の呼出し時間は通常短いが非常に頻繁であり、被害者はこの妨害電話に対処するため電話番号の変更を行わざるを得なかった。

　FBIは、この違法な呼出しが牽制的な機能を持つと判断した。すなわち、TDOSを行っている間、加害者は銀行とのオンライン取引や他の取引口座につき同口座から資金を引き出すためアクセスしているのである。

　加害者は何らかの方法で犠牲者の金融取引情報を入手すると、次にEメールアドレス、電話番号や銀行口座番号等被害者の個人識別情報を入手したり、取引内容の変更を行うため金融機関に連絡を取るため金融機関にコンタクトをとる。

　わが国でも同様であるが、このような場合、金融機関は預金者である被害者に確認電話する。その電話確認行為を阻止するため、加害者は口座を正式に管理している金融機関が直接本人に取引内容や口座内容の変更について電話確認しようとしても、その電話は話し中となり確認が出来ず、後日、金融機関や被害者が被害に気がついたときはすでに遅しである。

　FBIはこの犯罪手口について民間調査会社のサイトから同犯罪が行われていることを知っていた。2009年フロリダ州のセイント・オーガスティン(St.Augustine)に住む非常勤歯科はTDOSにより年金口座から40万ドル(約3,640万円)を失うという被害に遭った。

　連邦捜査機関は1分間に大量の架電呼出しを行うコンピュータで作成する自動ダイアリング・ツールと組合わせた1人のユーザーにより作られたVOIPアカウントを発見した。そのVOIPアカウントは廃止されたが、その手口の加害者は特定できなかった。FBIの捜査パートナーであるAT&TはニューアークのFBIサイバー犯罪チームの支援を得て調査を行った。

　AT&Tの世界的詐欺対策管理部副部長(Associate Director of Global Fraud Management)のアダム・パナギーア氏(Adam Panagia)は、2009年11月のこの手口が行われた後、最近米国全般にこの種の犯罪が増加していると述べている。

　5月に電気通信詐欺対策協議会(the Communication Fraud Control Association：CFCA)(筆者注2)はFBIに公式の法執行グループの連絡調整機関となるよう要請を行った。FBIとCFCAはTDOSを防御するためその傾向やパターンを分析し、他方で一般利用者を教育、また加害者を特定して司法の場に持ち込むことの協同作業を行っている。

２．本質的な問題
　頻繁に電話がかかってくること自体、通信事業会社の技術的な問題で犯罪の脅威ではないと考え、被害者は直ちに法執行機関に連絡しようとしない。米国PAETECのCIOであるロバート・ムーア氏はVOIPや電話サービスの最新技術の出現でこれらのプラットフォームを利用するビジネスをターゲットとする犯罪はますます専門化してきたと述べている。FBIは、この悪意ある電話呼出しに見る1つの傾向は受け手が電話口に出たとき被害者の多くが予め録音されたアジア訛りの米国の自動車広告を聞いている。また、もう1つの際立った特徴は受け手が電話口に出たとき「電話セックスメニュー」について聞かれることである。

３．被害者とならないための方法
　TDOS攻撃から自身を守るため消費者は詐欺師の行動の先回りすることである。
　FBIニューアークの特別捜査官のミシェル・B.ウォード氏(Michael B.Ward)は
「受け手が欲しない(unsolicited)電話は常に詐欺の現われであり、FBIはこの手口を広く一般に通知・助言することが重要であると信じる。」と述べている。「消費者は仮に自分がTDOS攻撃や類似の詐欺の目標となったと信じるときは、金融取引口座や主要な信用情報機関に対し注意を促すという強固な安全手続を引続き取るべきである。定期的かつ頻繁にオンラインバンキングやテレフォンバンキングのパスワードを変更すべきであり、また毎年送付される自らの信用情報を入手するとともに詐欺的な犯罪が行われていないかなどを検証すべきである。

　AT&T社のアダム・パナギーア氏は「我々はTDOSが行われていると疑わしいときは金融機関に通知した後、直ちに電話通信プロバイダーにも通知する。」と述べている。
　この通知は犠牲者が保有するオンライントレードのブローカーに対しても行うべきである。最近の事件で犠牲者が金融機関への通知を迅速に行った結果、口座の資金が盗まれる試みが阻止できた例がある。

　FBIは米国インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3 に通知された苦情や申立について直ちに行動を起こすものではなく、これらの情報は犯罪の傾向とパターンの分析に利用されるものであるが、もしパターンが特定されると更なる詳細な犯罪捜査のため、犠牲者は詳細情報が聴取されることになるであろう。


(筆者注1) 2010年3月23日、英国ビジネス・イノベーション・職業技能省( Department for Business, Innovation and Skills ：BIS)の 閣外大臣であるケビン・ブレナン議員(Kevin Brennan MP)はマーケティング会社等による自動化された呼出装置(ACS)を使用する電話呼出しのままで無言の状態が続き、オペレータが直ちに通話口に出ない呼出しによる消費者の迷惑と精神的苦悩対策として最高額(200万ポンド：約2億6,400万円)の罰金刑の引上げに関する省令改正を公表した。この件に電話セールスに関する法規制問題として別途本ブログを作成する予定である。

(筆者注2)わが国で「 電気通信詐欺対策協議会(the Communication Fraud Control Association)について紹介したサイトは見ない。その理由の1つは人権問題と微妙にかかわる問題であることかも知れない。同協会のHPで由来について解説しているので簡単に紹介する。なお、CFCAは2008年5月、中華人民共和国の北京で開催された世界通信会議(International Conference on Communication)のセキュリテイ・フォーラムの協同スポンサーである。CFACの設立の構想は1985年2月、長距離電気通信事業者の通信の安全性に関する専門家グループにより始まった。その中心となる目的は増加しつつあるコミュケーション詐欺と効果的に戦う方法・手段を見出すことであり、AT&T、ITT、MCI、Network One、Satellite Business System、Sprintの代表がCFACの土台を作るため会合を重ねた。数年間にわたり会員の資格はワールド・ワイドのネットワークに広がり、構内換機(PBX/PABX)所有者、ISP、ケーブル・衛星放送事業者(cable and satellite providers)、詐欺対策システム開発事業者(fraud system developers)、検察官、警察等法執行機関、通信分野のコンサルタント等にまで拡大した。
　CFCAの本部は米国ニュージャージー州ローズランド(Roseland)に置く。CFCAが支援する教育プログラムでは通信システムがいかなるかたちで詐欺師により用意される、それとどのように戦い、企業の資産をどのように守るか等について集中的に扱う。

［参照URL］
http://newark.fbi.gov/pressrel/pressrel10/nk051110.htm
http://www.fbi.gov/page2/june10/phone_062110.html

Copyright © 2006-2010 福田平冶．　All Rights Reserved．