フィッシング詐欺の仕組み

 シャープが4月27日実施した自社サイトでの個人向けマスクの抽選販売には、470万件もの申し込みが寄せられた。120倍近くの競争率を勝ち抜いた4万人の当選者にはメールで29日も個別に連絡したが、新型コロナウイルス感染拡大に便乗した詐欺メールが出回っており、注意を呼び掛けている。

 シャープがマスク販売を始めたのは21日だった。先着順で受け付けたところアクセスが殺到し、システムがサイバー攻撃と誤認して障害が発生。急きょ抽選に切り替えた。ただ、応募リクエストがエラーになるトラブルが相次いでおり、10回以上もリクエストがエラーとなるケースもあった。

 抽選販売自体は珍しくないものの、シャープが落選者に結果を通知していないことから、セキュリティーの技術者は「フィッシング詐欺」が起きかねないと危惧する。

 フィッシング詐欺は、第三者が運営者に成り済まして利用者へメールを送信。本物に似せた偽サイトに誘導し、クレジットカード番号などを盗み見る犯罪の手口だ。新型コロナ流行後は偽のマスク販売サイトへの接続を促すなど不審なメールが相次ぎ確認されている。

 シャープの場合、購入手続きを進めるためのサイトのURLを記載したメールを当選者に送信。未登録の利用者は当選後に住所やカード番号などを入力する仕組みだった。技術者は「偽の当選メールが来ても不信に思われにくく、自然に自分の情報を入れてしまう人もいるだろう」と話す。

⇒シルクのマスク生んだ浴衣帯会社の窮地と意地

 一方、シャープにとっては全員に一斉メールを送るには手間と費用がかさむという事情があった。システム障害の再発を防ぐためにサーバーを増強しようにも時間がかかることも考えられ、マスク不足に悩む人を待たせてしまう。偽メールが出てくる可能性が否定できない中で、当選者に送る正規のメールアドレスを自社サイトに載せて注意喚起することを決めた。

 立命館大の上原哲太郎教授(サイバーセキュリティー)は「届いたときに本当に正しいメールかどうかアドレスを1文字ずつ慎重に確認する必要がある」と述べ、利用者に自衛を促した。詐欺被害防止のため、シャープに対しては「当選サイトの正しいURLも事前に伝えるべきではないか」と求めた。

 シャープは今後もマスクの販売を続けるため、セキュリティー対策の強化を検討する。

関連記事