本日部長のメールを勝手に読んでいたら*1、モバイル担当が部長へ宛てたメールで、ここ数日SMSで受信した詐欺メールに関する相談件数が増えているというものがあった。内容からして全部フィッシングである。
なるほど。たしかに、SMSなら全11桁で頭3桁の数字は日本だと090、080で固定(070は遅れない可能性もあるがそれはおいといて)、残り8桁はランダムに生成して送りまくれば当たる、もしくは全通り試す勢いでやればイケるだろうと考えれば、桁数も不明な数字アルファベットの組み合わせで幾通りもあるアドレスと違い、確率的な話で言うと、標的に当たりやすい=釣りやすいのは確実だ。
Amazonだとか、契約キャリアを騙ったもんが多いようだが、そもそもAmazon公式からSMSで連絡来る事、アカウント作成認証時以外にあるっけか?と思ったので調べると、まあ普通にあった。
というか、こういうもんは番号なり内容なりをネットで調べれば、公式が明示している情報や注意喚起記事などを元に、詐欺かそうでないか大体の見当はつく。
それを、調べる前にURL踏んでリンク先にアクセスし、まあアクセスするまではまだ最悪の事態では無いのだが(すぐリンク踏む活き活きした番号として業者のリストに載る可能性はある。また、場合によってはトロイの木馬的に不正プログラムダウンロードに繋がることもあるがインストールしてないなら消すことで最悪を免れる事ができる)、その後に馬鹿正直に己の情報を打ち込んでしまう人間が引っかかる、わけである。
フィッシングの主な手法自体は、数年前のスタイルから特別巧妙になったわけでもないように感じる(翻訳精度のおかげか業者の真剣さの関係か日本語は格段に上達している)が、新たなサービス自体が多くなっているので(たとえばここ2、3年で登場したバーコード決済paypayとか)、詐欺業者側が騙りやすい企業名も、同時に標的も、増えたんじゃなかろうか=詐欺業者的に動きやすい環境になったんではないかと思う。
更に10年前ぐらいと比較すれば、スマホの登場は詐欺業者にとって朗報だったんだりうな。PCを持っておらずフィッシング耐性の無いようなユーザーが、どんどんネットの海を泳ぎ回るようになったわけだからな。経験値の少ない魚は釣られやすいのだ。
加えて今度は3G回線終了による高齢者増加だ。あちこちのキャリアでガラケーユーザーへのスマホ変更催促連絡が行われているだろうが、そこから乗り換えている高齢者ユーザーは実際に結構いる(乗り換えんと使えなくなるしな。我輩は面倒なので無視しているが)。仮に高齢者だからネットは使わんと言えど、SMSの送受信は切り離せないわけであるし、今後大変だな。これを考えるとやっぱSIMフリータブレット&ガラケースタイルマジで超堅牢セキュリティじゃん。スマホ乗り換えたくないなぁ。
それはさておき。
日本のSMS一斉送信サービス(NTTの空電だとか)なら、使用されている番号から契約会社に行き着くことは容易なはずである。
ということは詐欺師は日本の法律が適用される日本のサービスは使用できないのではなかろうか。
やっぱ海外のサービスを利用してるんかな(もちろん海外詐欺集団なら海外サービスだろうが日本にも詐欺業者はいるので)。
それとも、日本のSMS一斉送信サービス提供会社でもそこまでは関与しない、もしくはできないとか?そんなことある?
そんな感じのことがなんとなく気になったのでちょろっと調べてみたのだが(仕事中に)、まさかの謎しか生まれなかった。
※調べてみてはっきり分かったのはSMSでのフィッシング詐欺の事を、スミッシングとか言うらしいこと。なんかダサい。
まず、
・法律上「通信の秘密」として、SMS他の通信の内容物を検閲する事自体が違法になる。
のだとのこと。だが、通常の電子メールには迷惑メールフィルタリングがある。
あれは送信者アドレスや中身やらからパターンを検出してブロックしているはずであるが、それにおいての「通信の秘密」はどうなっているのか?
調べてみると、
・ウイルスチェックサービスやフィルタリングサービスは通信当事者の片方である受信者の同意を事前に得ているから問題ない。
らしい。
そんでもって、
・通信の秘密にも、正当防衛だとか緊急避難だとかで違法性阻却事由(見逃してやるわ)みたいな措置がある。
一応、
通信の秘密の関係で全メールを検閲して該当メールを絞りブロックという事は無理だが、大量送信だとかで帯域圧迫してたり法的なアレがあるもんなどのやむを得ない場合は、違法性阻却事由としてその限りで無いっぽいこと。
やはり、結局のところ業者が海外のSMS送信サービスを利用していることが多いっぽいこと。
コスト的にも安い上(不着分は料金発生しないことから)、SMS送信サービス会社側に利用停止されても他サービスに移ればOkな気軽さがあるので詐欺師歓喜っぽいこと。
などは分かったが、新たに生まれた疑問は解決しなかった。
というのも、
SMSフィッシング詐欺対策に関して、通信の秘密を理由に難しいといっている記事が多いのだ。
なんで(´・ω・`)?
それは電子メールと同じ理屈で乗り越えられるもんなんじゃないのか?フィルタリングの仕組みや同意などの関係含め、結局法的なもんは普通の電子メールと同じなはず(ちなみに2020〜2021年今年の記事で確認している)。※SMSは特定電子メール法の対象でもある。
単純に、ナメてて対策不足だったという方がしっくり行くんだが…。
なんだかよくわからんな…。
まあ法律関係は、JAIPA(一般社団法人日本インターネットプロバイダー協会)のPDF資料にすら最終ページで、法律の運用者にとってはますます分からない世界と書かれていたため、我輩が理解しようとするだけ無茶なのかもしれん。
*1:我が社の情シスがアホシステム作っただけで通信の秘密の侵害ではありません。