先日、奇妙なCAPTCHAに出くわした。複数のチェックボックスをクリックしたり、ぐにゃぐにゃした文字を入力させられたりするアレだ。無害に見えるだろう? いや、大間違いだ。どうやら、これらのデジタル門番のいくつかは、実はあなたの知らないうちに携帯電話料金に国際SMS料金をかさ増しするために仕掛けられた、手の込んだ罠だというのだ。で、誰がその金で笑っているのか?
この国際収益分配詐欺(IRSF)という悪質な手口は、サイバーセキュリティ関係者の間でそう呼ばれているが、少なくとも2020年半ばから横行している。Infobloxの最新レポートは、一度きりの詐欺で終わらせず、欺瞞のシステム全体を構築している巧妙な手口の様相を描き出している。彼らが利用しているのは、商用トラフィック分散システム(TDS)と呼ばれるもの——これは、ウェブトラフィックをルーティングする怪しげな仲介業者だと考えてほしい。従来、これらのTDSシステムは、不注意なサーファーをマルウェアやフィッシングサイトに誘導するために使われていた。だが、この連中は? なんと、それをSMS詐欺に転用しているのだ。巧妙だ。そして巧妙というのは、腹立たしいほど効果的だということだ。
ここからが肝心なのだが、偽CAPTCHAは単なる一つのメッセージではない。いや、そうではない。これは多段階の拷問だ。各ステップで、あなたの携帯電話は12件以上のSMSメッセージを50を超える国際番号に大量送信するように設定される。つまり、あなたは自分がロボットではないことを証明しているつもりでいるが、実際にはかなりの費用がかかる大量のテキスト送信を許可しているのだ。さらに悪いことに、これらの料金は通常、すぐには請求されない。数週間後に現れるのだ。その頃には、あの厄介なCAPTCHAのことなど忘れている。その時になって初めて、あなたは奇妙な請求項目を見て、おそらく通信キャリアか、あるいは身に覚えのないアプリのせいにするだろう。
結局、誰が儲けているのか?
それが、まさに「100万ドルの質問」というやつだろう? 儲けているのは、国際終端料金の一部をピンハネする詐欺師たちだ。これは、携帯電話事業者同士がネットワーク間での通話やメッセージを完了するために支払う料金のことだ。詐欺師たちは、アゼルバイジャン、カザフスタン、あるいはヨーロッパの一部といった、終端料金が高い、あるいは規制が緩い国でプレミアムレートの電話番号を取得またはリースする。そして、これらの番号へのトラフィックを人為的に膨張させるのだ。通信事業者というのは、これを監視すべき立場にあるはずだが、共謀しているか、あるいは検挙が遅すぎるのだ。結局、個人が請求書を受け取り、事業者は顧客の異議申し立てやチャージバックの負担を強いられる。これは、通信チェーンの両端を詐欺にかける、なんとも小賢しい手口だ。
この手口の特に悪質な点は、どのようにしてあなたを閉じ込めるかだ。彼らはクッキーを使って、偽の認証プロセスにおけるあなたの進捗状況を追跡する。「適格でない」と判断された場合——それが何を意味するにせよ——彼らはあなたを別のCAPTCHAページに誘導する。おそらく、それは別の詐欺の一部だろう。だが、真の天才性、あるいは究極の悪辣さは、バックボタンハイジャックの使用にある。逃げようとしても? ダメだ。JavaScriptがあなたを偽CAPTCHAに強制的に戻す。ブラウザを強制終了するまで、あなたはループに閉じ込められる。まるで、あなたが常に「モグラ」となるデジタルの whack-a-moleゲームのようだ。
「この手口は、個人と電気通信事業者の両方を同時に詐欺にかける。個々の被害者は、予期せぬプレミアムSMS料金を請求され、そのような予期せぬ発生源からの詐欺を特定し、報告することが困難になる。」 - Infoblox
この一連の仕組みは、昔ながらの電話詐欺と現代のウェブトリックが完璧に組み合わさったものだ。合法的な広告トラッキングによく使われるが、容易に悪用されるKeitaro TDSへの依存は、いかに容易に入手可能なインフラが不正な目的にねじ曲げられるかを示している。これは、悪意のある攻撃者が既存の技術をどれほどの速さで適応させ、利用できるかという根本的な問題を浮き彫りにしている。我々は常に後手に回っており、その間に、あなたや私のような一般市民が、彼らのデジタルな創意工夫の代償を払っているのだ。
SMS詐欺の未来はこれか?
こうしたTDSシステムの構築への参入障壁の低さと、受動的な収入の可能性を考えれば、このような手口が増えることに驚きはしないだろう。これは、データ窃盗やランサムウェアといった、より高度な技術知識と検挙のリスクを伴うものに頼るのではなく、悪意のあるトラフィックを収益化するための比較的単純な方法なのだ。大企業を標的とするのではなく、個人を直接狙うという事実は、特に大胆に感じられる。これは、国家間の攻撃や大規模なデータ漏洩が支配的なサイバーセキュリティの議論では、しばしば見過ごされがちな、分散化された低レベルの個人財政の搾取なのだ。
しかし、私の見解はこうだ。これは単に、人々が少額を騙し取られるという問題ではない。これは、基本的なオンラインインタラクションにおける信頼の侵食なのだ。本来、単純なセキュリティ対策であるはずのCAPTCHAが、新たな落とし穴になりつつある。すべての利便性にもかかわらず、デジタル世界は依然として無法地帯であり、あなた自身のデジタル保安官になる責任があることを、常に思い出させるものだ。
🧬 関連インサイト
- さらに読む: Fed Frets Over Anthropic’s Mythos AI as Mac Stealers and Zero-Days Ignite Cyber Firestorm
- さらに読む: Your AI Assistant: The New, Silent Reconnaissance Squad for Hackers
よくある質問
IRSFとは何の略ですか?
IRSFはInternational Revenue Share Fraudの略です。これは、犯罪者が不正にプレミアムレートの国際電話番号を取得し、ユーザーを電話やテキストメッセージに誘導して、これらの通話/メッセージから生成された収益を分け取るという通信詐欺の一種です。
これらのSMS詐欺を回避するにはどうすればよいですか?
不審に思える、あるいはメッセージ送信を求めてくるCAPTCHAページには注意してください。常に携帯電話料金を確認し、特に国際SMS料金に予期せぬ請求がないか確認してください。不審な活動を見つけた場合は、すぐに通信キャリアに報告してください。
偽のCAPTCHAを見た場合、私の携帯電話は危険にさらされますか?
偽のCAPTCHAを見ただけでは、携帯電話がマルウェアに感染したとは限りません。しかし、SMSメッセージを送信して操作すると、携帯電話料金に不正な料金が発生する可能性があります。主なリスクは金銭的なものであり、通常は、さらなる悪意のあるリンクをクリックしない限り、直接的なマルウェア感染ではありません。
