セキュリティ・ベンダーのセキュアブレインは7月18日,新たな手口のワンクリック詐欺が確認されたとして注意を呼びかけた。特徴は,ユーザーをだましてメールを送信させること。「退会方法を確認するため」と称したポップアップを表示してユーザーに「OK」をクリックさせることで,詐欺サイトへアクセスしたことを証明する情報を送信させるとともに,メール・アドレスを盗む。
ワンクリック詐欺(ワンクリック架空請求)とは,Webページの画像やリンクをクリックしただけで料金を請求するオンライン詐欺。2004年以降,被害が急増しているとして,情報処理推進機構セキュリティセンター(IPA/ISEC)などでは注意を呼びかけている(関連記事:「ワンクリック料金請求」について注意喚起)。
セキュアブレインが今回警告したワンクリック詐欺の手口は,以下の通り。舞台となるのは,多くのワンクリック詐欺と同じように,いわゆるアダルト・サイトである。ユーザーがそのサイトにアクセスすると,アダルト・コンテンツが含まれることを警告するダイアログと,利用料金と年齢制限を確認するダイアログが表示される(写真1)。
確認のダイアログで「OK」をクリックすると,パソコン内をスキャンして個人情報を収集しているように思わせる動画(アニメーションGIFやFlash)が表示される(写真2)。このような手口でユーザーをだまそうとするのはワンクリック詐欺の常套手段の一つ。(関連記事:「ネット詐欺は『ワンクリック』から『ツークリック』へ」)。この手口は,偽のセキュリティ・ソフトをインストールさせるWebサイトでもよく用いられる(関連記事:偽セキュリティ・ソフトのだましの手口)。
動画が終了すると,「登録完了」ページを表示する。同ページ上には,通常のWebアクセスで取得される情報(IPアドレスなど)を表示して,システムやユーザーを特定できているように思わせる。
ここまでは,従来のワンクリック詐欺とほぼ同じ。今回の詐欺が目新しい点は,「退会方法を確認するため」と称するポップアップ画面を表示して,ユーザーにメールを送信させること(写真3)。このポップアップ画面は,「登録完了」ページの表示後,自動的に表示される。
ポップアップ画面の指示に従って,表示される画面の「OK」を続けて押すと,Microsoft Outlookが起動し,ユーザーがそのWebサイトへアクセスしたことを証明する「ユーザーID」を件名にしたメールがサイト運営者に送信される(写真4)。これにより,ユーザーのメール・アドレスも取得される。
今回のケースに見られるように,ワンクリック詐欺はますます巧妙になっているとして,セキュアブレインでは改めて注意を呼びかけている。