HOME情報セキュリティ2015年4月の呼びかけ

本文を印刷する

情報セキュリティ

2015年4月の呼びかけ

「今月の呼びかけ」一覧を見る
第15-04-330号
掲載日:2015年 4月 1日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

「 スマートフォンでのワンクリック請求の新しい手口にご用心 」
~ 業者への電話、メールは絶対NG ~

IPAの安心相談窓口に寄せられるスマートフォンのワンクリック請求に関する相談件数は、2014年の4月に急増後、高止まりの状況が続いています(図1)。


図1:スマートフォンのワンクリック請求に関する相談件数推移

図1:スマートフォンのワンクリック請求に関する相談件数推移

しかし、2014年12月から相談内容に変化が見られました。それまでは「請求画面が表示された」という相談でしたが「請求画面の表示と同時に写真を撮られてしまったようだ」という相談が寄せられるようになりました。従来とは異なる手口で請求画面を表示するウェブサイトが出現しているようです。

4月からの新生活を機に、スマートフォンをはじめて手にする利用者も少なくないと考えられます。そこで2015年4月となる今月の呼びかけでは、いまだ多くの相談が寄せられるスマートフォンのワンクリック請求についての対処方法を、新しく確認された手口の解説と共に紹介します。


(1)新しい手口1:請求画面が表示された時にシャッター音が聞こえる

2014年6月の呼びかけ※1で紹介しているように、スマートフォンで表示される請求画面は、パソコンのように不正プログラムによって請求画面を繰り返し表示しているわけではなく、ブラウザに請求画面が表示、保存されているだけです。

前述の相談者の話では、「請求画面が表示された時にシャッター音が聞こえた」ため、写真が撮られてしまったのではないかと不安を覚えたとのことでした。

過去にも、シャッター音を鳴らしたり、スマートフォンを振動させたりする不正アプリ※2はありましたが、ブラウザによるウェブサイト閲覧だけではスマートフォンのカメラ機能を制御したり、撮影した写真をネットワーク経由で送信したりすることはできません。

ただし、利用者の操作をきっかけにブラウザ上で音楽ファイルを再生させることは可能です。そこで前述の相談内容から、請求画面を表示させる際にシャッター音の音楽データを再生させ、利用者に自分の写真が撮影、送信されたと誤認させることを狙ったと考えられます。

図2:シャッター音を鳴らして自分の写真が撮影、送信されたと誤認させるイメージ

図2:シャッター音を鳴らして自分の写真が撮影、送信されたと誤認させるイメージ

これは業者に個人に関する情報が伝わってしまったと利用者に誤認させ、慌ててメールや電話で業者へ連絡を取らせる意図があると考えられます。従来からある、請求画面上にお客様情報と称して端末のOSバージョン、閲覧ブラウザの種類、IPアドレスなどを表示させて誤認させる手口と類似しています。つまり、シャッター音を鳴らす以外は従来の手口と変わらないと言えます。

※1
2014年6月の呼びかけ 「 登録完了画面が現れても、あわてないで! 」

 
https://www.ipa.go.jp/security/txt/2014/06outline.html

※2
トレンドマイクロ株式会社:スマホを狙うワンクリウェアに新たな手口 - カメラ撮影音の鳴動や位置情報の送信も

 
http://blog.trendmicro.co.jp/archives/4853


(2)新しい手口2:自動的に電話を発信させる

シャッター音を鳴らす手口とは別に、登録完了画面が表示された後、自動的に電話を発信させるウェブサイトの存在も確認されています。

このウェブサイトにアクセスすると、登録完了画面の出現後、登録に関する情報が記載されたポップアップメッセージが自動的に現れます(図3 ②)。このメッセージのOKボタンをタップすると電話発信を確認するポップアップが表示(図3 ③)され、このとき、うっかり電話発信の操作をしてしまうと電話がかかってしまいます。

なお、電話の発信先はポップアップメッセージ(図3 ②)に記載されている問い合わせ先で、確実に利用者の電話番号を取得するため発信先の番号の先頭には186が追加されています。利用者が非通知設定にしていても、電話番号が相手に通知されてしまいますので、注意が必要です。

図3:登録完了画面の出現から電話発信確認のポップアップ表示までの流れ (イメージ画面をIPAにて作成)

図3:登録完了画面の出現から電話発信確認のポップアップ表示までの流れ
(イメージ画面をIPAにて作成)

この手口の悪質なところは、電話発信をキャンセルしても(図3 ③)、登録完了画面(図3 ①)に戻り、再び自動的にポップアップメッセージが現れ(図3 ②)、①から③がループ状態となることです。また利用者に“③で発信を押さない限り、元のようにブラウザが使えない”と思い込ませ、結果的に電話発信を促す点が巧妙です。

ここで紹介している手口については、YouTubeのIPA Channel(https://www.youtube.com/user/ipajp)にて映像コンテンツ※3としても確認ができます。

※3
IPA Channel情報セキュリティ普及啓発映像コンテンツ「検証!スマートフォンのワンクリック請求」を参照

 
https://www.youtube.com/watch?v=f7DbLwEGX-Q

(3)請求画面が表示されても慌てずに対処を

今回の手口への対処は、ブラウザの表示から請求画面を消す※4ため、タブの削除や閲覧履歴の消去を行うこと、そして業者には絶対に連絡を取らないことです。

ただし、新しい手口2については、ブラウザのタブの削除は誤操作により電話発信をしてしまう可能性があるため、ブラウザの閲覧履歴を消去する方法(図4)を推奨します。

図4:請求画面が表示された場合の対処例(ブラウザの閲覧履歴の削除)

図4:請求画面が表示された場合の対処例(ブラウザの閲覧履歴の削除)
※画像をクリックすると拡大します。

従来の手口も含めて、ワンクリック請求の基本的な手口は、利用者に対して心理的に不安や焦燥感を与えることでメールや電話をさせ、その連絡先に様々な理由で高額な支払いを要求するといったものです。

そのため、請求画面が表示されても慌てずにブラウザに表示された請求画面を消すこと、そして決して業者に連絡を取らないことが重要です。もし業者に連絡をしてしまった場合や契約の成立に関して不安を感じる場合には、最寄りの消費生活センター※5へ相談してください。

なお、ワンクリック請求への画面には、有名人ゴシップサイトや動画投稿サイトなど、アダルトサイトとは異なるウェブサイト内のリンクから誘導されてしまうケースもあります。4月からの新生活のスタートがワンクリック請求に悩まされることのないよう、ワンクリック請求の手口と対処方法を把握しておくことをお勧めします。

※4
脚注1の 2014年6月の呼びかけ 内に記載している(3)解決策を参照のこと。

※5
独立行政法人国民生活センター 全国の消費生活センター等

 
http://www.kokusen.go.jp/map/

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 技術本部 セキュリティセンター 加賀谷/野澤

更新履歴

2015年 4月 1日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。

情報セキュリティ