サポート詐欺と言えば個人が被害に遭うものという認識があるかと思います。実際、ニュースになる話と言えば「コンビニの店員が(サポート詐欺の攻撃者から求められた)電子マネーを購入するお年寄りに声を掛けて被害を食い止めた」という話ばかりです。しかしながら、実際には組織も被害に遭っているのです。サクッと検索をかけただけでも以下のような被害の報道やリリースが出てきます。

このように、実際の被害としては情報漏洩が多くなっています。しかしながら、1つめの事例のように遠隔サポートに伴いインターネットバンキングの操作をした際にアカウント情報を窃取され不正に送金されるという事例も発生しております。

個人が被害に遭う場合にはサポート料と称する料金を電子マネーで送付させる事例が多いのに対して、組織が被害に遭う場合には情報漏洩の事例が多いのは注意すべき点だと考えます。安易に個人情報をExcel等で管理し、パソコンの中(もしくはドライブとして接続されているファイルサーバーの中)に保存しておくと被害に遭うと思っておいた方が良いでしょう。

それにしても個人の場合だと相談する相手がいないので被害に遭いやすいのは想像に難くないのですが、組織の場合で被害に遭うのは納得できないものがあります。なぜなら、相談すべき情報システム部門がありそうな組織が多い印象があるからです。何故、情報システム部門に連絡しないのでしょうか?

実は、サポート詐欺サイトにアクセスすると判るのですが、一気に大量のウインドウが開いたように見える(そう見えるだけです)上に、慌ててウインドウを閉じようとアクションを起こすと大音量のアラーム音と音声が流れます。そのために、被害に遭った方は気が動転してしまい判断力を失ってしまう為に連絡や相談すべき相手がいることを失念してしまうわけですね。そのため、表示された電話番号に電話を掛け、サポートと称する遠隔操作を受けてしまうのです。

ちなみに「慌ててウインドウを閉じようと」しなければ実は何も起こりません。今のブラウザは人間が何らかのアクションを起こさないと音が出ない仕組みになっていて、自動的に音を出す行為に対して防御策が施されているため、何もしなければ沈黙が続くだけなのです。しかし、一気に大量のウインドウが開いたように見えるだけで焦ってしまい判断力が奪われてしまうために、慌ててアクションを起こしてしまいドツボにハマってしまうわけです。

では、サポート詐欺被害を防ぐにはどうしたら良いのでしょうか?

それは、情報セキュリティ教育をしっかり行うこと。そして、何らかの異常事態が発生した場合には速やかに連絡すべき先を明確にしておき、周知徹底しておくことが大事です。それしかありません。7年前の動画ではありますが、YouTubeのIPA Channelにある「その警告メッセージ、信じて大丈夫? ブラウザの“偽警告”にご用心!」が参考になりますし、現在も使える対応になります。動画を貼っておきますので興味がある方はご覧いただき、社内教育に御活用ください。