図1 セキュアブレイン プリンシパルセキュリティアナリスト 星澤裕二氏
図1 セキュアブレイン プリンシパルセキュリティアナリスト 星澤裕二氏
[画像のクリックで拡大表示]
図2 ワンクリック詐欺サイトが表示する確認画面の例(発表スライドから)
図2 ワンクリック詐欺サイトが表示する確認画面の例(発表スライドから)
[画像のクリックで拡大表示]
図3 個人情報を収集しているように思わせる動画の例(発表スライドから)
図3 個人情報を収集しているように思わせる動画の例(発表スライドから)
[画像のクリックで拡大表示]
図4 ワンクリック詐欺サイトが表示する手続き完了画面の例(発表スライドから)
図4 ワンクリック詐欺サイトが表示する手続き完了画面の例(発表スライドから)
[画像のクリックで拡大表示]

 「国内では『ワンクリック詐欺(ワンクリック不正請求)』が大きな問題になっている。最近では,ユーザーに2回クリックさせる,より“巧妙な”オンライン詐欺(ネット詐欺)が主流になりつつある」。セキュアブレインのプリンシパルセキュリティアナリストである星澤裕二氏は4月26日,セキュリティ会議/展示会である「RSA Conference Japan 2006」において,ネット詐欺の現状を解説した(写真1)。

 今まではワンクリック詐欺というと,その名の通り,Webページ中の画像などを1回クリックしただけで,画面上で「登録ありがとうございます。料金は××円です」などと表示して料金を不正請求するケースがほとんどだった(関連記事)。ところが最近では,ユーザーに2回クリックさせる詐欺が増えているという。

 具体的には次の通り。ユーザーがWebページ中の画像やリンクをクリックすると(1度目のクリック),利用料金や規約などを記載した確認画面が表示される(写真2)。その確認画面で「OK」や「はい」をクリックすると(2度目のクリック),パソコン内から個人情報を収集しているように思わせる動画が表示される(写真3)。「キャンセル」や「いいえ」をクリックしても,動画が表示される場合があるという。

 一見,何らかのプログラムが動作しているように思えるが,実体はアニメーションGIFやFlash。実際に情報が収集されているわけではない。コマンド・プロンプトに見せかけた黒い画面が背景の動画を表示して,何らかのコマンドが実行されているように思わせる場合もあるという。

 そしてその後,手続きが完了したことを知らせる画面が表示される(写真4)。画面には,IPアドレスや利用プロバイダ名などを表示して,個人を特定できているように思わせる。実際には,表示される情報は通信相手なら誰でも入手できるものであり,個人を特定できるものではない。星澤氏が“披露”した別のデモでは,「ユーザー名:取得済み(個人情報保護のために非表示)」などと記載された手続き完了画面が表示された。

 加えて星澤氏は,いわゆる「ワンクリウエア(ワンクリックウエア)」についても注意を呼びかけた。ワンクリックウエアとは,料金請求や“脅し”のメッセージなどをパソコン画面に表示するプログラムのこと(関連記事)。「30秒おきに料金請求のメッセージを画面に表示するワンクリウエアもある」(星澤氏)。

 パソコン内の情報を盗むものや,有料のアダルト・サイトに勝手に登録するものもあるという。通常は,画像やリンクをクリックした際に表示されるWebブラウザなどの警告メッセージに対して,「OK」や「はい」などを押さなければ,ワンクリウエアの被害に遭うことはない(関連記事)。

 ワンクリック詐欺やワンクリウエアの被害に遭わないためには,「とにかく,基本的な対策をきちんと施すこと」(星澤氏)。具体的には,「怪しいサイトにアクセスしない」「リンクを安易にクリックしない」「ブラウザやOSの警告を無視しない」「最新のパッチを適用してセキュリティ・ホールがない状態にする」「セキュリティ・ソフトを正しく使う」---ことなどを対策として挙げている。