FBIは公共サービスアナウンスメントを発表し、アカウント乗っ取り(ATO)詐欺の急増について警告しています。このタイミングは、Amazonが3億人の顧客にブランドなりすまし詐欺について大規模な警告を発したことと一致しています。
ATO詐欺の仕組み
アカウント乗っ取り詐欺は、その名の通りです。詐欺師があなたのアカウントを乗っ取り、自分たちの利益のために利用します。これはメールやソーシャルメディア、小売、旅行、銀行口座などあらゆるものに影響します。犯罪者は、あなたのコンピュータやスマートフォンにマルウェアを仕込んだり、「クレデンシャルスタッフィング」と呼ばれる、漏洩したパスワードを多数のサイトで試す手口など、さまざまな戦術を使います。
FBIの新たな警告は、銀行のカスタマーサポートやテクニカルサポートになりすます攻撃者に焦点を当てています。Amazonの警告もほぼ同じ手口を説明していますが、対象が銀行顧客ではなくAmazonの利用者になっています。
攻撃者は、あなたのユーザー名やパスワード、さらには多要素認証(MFA)コードを引き出すために、テキストメッセージやメール、電話を使って騙そうとします。一度アカウントに侵入すると、詐欺師はすぐにパスワードや他のアクセス制御をリセットし、あなた自身をアカウントから締め出します。
偽サイト、偽警告、偽カスタマーサポート
FBIは、同様の目的で使われるもう一つの手口、ウェブサイトを使ったフィッシングも強調しています。詐欺師は、あなたを銀行のログインページそっくりの偽サイトに誘導します。そこで情報を入力すると、犯罪者がそれを盗み、本物の銀行サイトで利用します。
Amazonも同じことが自社の顧客に起きていると述べています。11月24日に送信された警告メールでは、最も多く見られる攻撃例が挙げられています:
- 偽の配達通知やアカウント問題のメッセージ
- 信じられないほどお得な取引をうたう第三者広告
- 非公式なチャネルを通じてログイン情報や支払い情報を求めるメッセージ
- そっくりな偽サイトへのリンク
- 突然かかってくる「Amazonサポート」と称する電話
FBIが挙げている例の一つも、これとほぼ同じです。攻撃者は、あなたのアカウントで不正な活動があったと主張し、「修正」するためにリンクをクリックするよう促しますが、それはフィッシングサイトへ直行するものです。
詐欺師はどうやってあなたをこれらのサイトに誘導するのか?
検索エンジン最適化(SEO)ポイズニングが一般的な手法の一つだとFBIは述べています。詐欺師は検索エンジンで広告を購入し、ユーザーを悪意のあるサイトへ誘導します。多くは有名ブランド名にごく小さな違いを加え、急いでいると見落としやすくなっています。
Amazonの警告は、FortiGuard Labsの調査によって裏付けられています。同調査では、大手小売ブランドを模倣した新規ドメインが19,000件以上設立され、そのうち2,900件が悪意のあるものと判明しました。
このなりすまし攻撃の波は、検索広告や偽ドメインだけにとどまりません。研究者たちは、Matrix Push C2と呼ばれるシステムも発見しました。これはブラウザのプッシュ通知を悪用し、Netflix、PayPal、Cloudflareなど信頼できるブランドを装った偽の警告を配信します。クリックすると、被害者はフィッシングページやマルウェアに誘導され、攻撃者がログイン情報を盗んだりアカウントを乗っ取る新たな手段となっています。
拡大する流行
この種の詐欺は増加傾向にあります。TransUnionによると、デジタルアカウント乗っ取りは2024年上半期から2025年上半期にかけて21%増加し、2021年上半期からは141%増加しています。これは大きなビジネスであり、FBIは1月以降5,100件以上の苦情を受け取り、被害総額は2億6,200万ドルに達しています。
これは詐欺師にとって人気の時期であり、ATO詐欺が活発化します。Amazonの警告は、ブラックフライデーや年末商戦など、年間で最もオンラインショッピングが盛んな時期に発せられました。
また、MFA(多要素認証)は重要ですが、必ずしも救いにはなりません。Proofpointの調査では、侵害されたアカウントの65%がMFAを有効にしていました。しかし、あなたが詐欺師に秘密情報を渡してしまえば、彼らは「王国の鍵」を手に入れたも同然です。
パスキーなどのパスワードレス認証は、MFAコードを渡す必要がなく(生体認証やブラウザのプロンプトでログイン)、より安全性が高いとされています。しかし、パスワードに比べてまだ普及率が低く、存在していても利用者は少ないのが現状です。
自分を守るには
サイバー犯罪者は、脆弱で注意散漫な人々を狙います。ブランドなりすましが有効なのは、攻撃者が「緊急性」を強調するからです。アカウントが侵害された、大きな取引があった、配達が完了できないなどと主張します。
詐欺師は恐怖心を利用して、あなたの感情的な防御を突破するプロです。FBIが指摘した巧妙な手口の一つでは、被害者に「あなたの情報が銃器購入に使われた」と伝え、偽の「法執行機関」担当者に転送しました。恐怖心が働くと、人はすぐに行動してしまいます。
詐欺師がAmazon、銀行、宅配業者を名乗っていても、同じルールが当てはまります:
- 銀行や小売サイトのログインページはブックマークする。 検索で探すと、偽サイトが紛れ込む可能性があります。
- 公式アプリを使う。 銀行やAmazonのアプリは、公式リンクから直接ダウンロードし、検索エンジン経由では入手しないでください。
- 個人情報は慎重に。 ペットの名前、学校名、誕生日などは「セキュリティ質問」に使われる恐れがあります。
- 発信者番号表示を鵜呑みにしない。 偽装可能です。一度電話を切り、正規の番号でかけ直しましょう。
- パスキーが利用可能なら使う。 SMSコードが不要になり、フィッシング対策にもなります。
- ワンタイムコードは絶対に共有しない。 正規の企業が尋ねることはありません。
Amazonも利用者に次の点を注意喚起しています:
- 電話で支払い情報を絶対に求めることはありません。
- ログイン情報の確認を求めるメールを絶対に送信しません。
- アカウントの変更、追跡、返金は必ずAmazonアプリまたはウェブサイト経由で行ってください。
もしATO詐欺の被害にあったと思ったら、すぐに銀行に連絡し、不正取引の取り消しや返金を依頼しましょう。まだ間に合う可能性がありますが、一刻を争います。また、FBIのIC3オンライン犯罪ユニットに苦情を提出してください。
