事件の概要
オートバックスのダイレクトメール(DM)に掲載された「新しいオートバックス会員制度リニューアル」のQRコードをスキャンしたユーザーが、不正なカード情報入力画面に誘導されました。
これにより、ユーザーのクレジットカード情報が海外のサイトに登録され、無断で決済される被害が発生しました。
不正利用された短縮URLサービス:Google検索結果のトップに
このサイトは運営者情報や利用規約が不在で、安価なレンタルサーバー「ロリポップ」とムームードメインで取得されたドメインを使用しています。
Googleで「短縮URL」と検索すると、このサイトがトップ付近に表示されます。
このことから、「検索結果で見つけたサービス」として多くのユーザーが利用している可能性があり、オートバックスの担当者も利用した可能性が高いと考えられます。
短縮URLサービスは、文字列を圧縮するのではなく、入力されたURLを別のアドレスに「転送」する機能です。
運営者が意図的に操作する場合、ユーザーが入力したURLとは異なるページにリダイレクトすることも可能です。
事実、このサービスを利用したフィッシング攻撃では、短縮URLのアクセス数をモニタリングし、一定数に達した後に転送先を詐欺サイトに変更した可能性があります。
国内スーパーマーケットのチラシにも、同様のQRコードを介したフィッシング詐欺が報じられています。
出所が不明瞭なツールの使用を避け、特に短縮URLを含むQRコードをスキャンした場合には、ユーザーは高い警戒心を持つことが求められます。
被害者が取るべき対応の改善案
被害者は自衛する他対処法はなく、自らの対応によって不正行為の被害を最小限に抑えることが求められます。
また、これらの対応は、将来的に同様の被害に遭う可能性がある他の消費者への警告としても機能します。
クレジットカードの即時ロック
フィッシングサイトに誘導された場合、被害者はまずクレジットカード会社に連絡し、カードを即座にロックする必要があります。
これにより、追加の不正利用を防ぐことができます。
カードの無効化と再発行
続いて、カードの無効化と再発行の手続きを行うべきです。
カード情報が漏洩した際に、将来的な不正利用のリスクを排除するために重要な対応となります。
不正サイトへの返金要求
被害者は、不正な取引が行われたと思われる海外サイトに対して、メールで返金を要求することも一つの手です。
ただし、このようなサイトが返金に応じるかどうかは保証されません。
オートバックスへの問い合わせ
さらに、オートバックスに対して問い合わせを行い、DMに掲載されたQRコードが不正なサイトに誘導していた事実を報告することが重要です。
企業側にも調査と対応の責任があります。
警察への届出
最後に、警察に被害届を出すことも検討すべきです。
特に、大きな金額の不正利用があった場合や、同様の被害が多数発生している可能性がある場合には、この手続きが重要になります。
店舗の信頼性とIT技術のリスク
日常的に利用している信頼できる実店舗であっても、その店舗のIT技術に関しても同様の信頼を寄せることは必ずしも安全ではありません。
特に、十分な予算が割り当てられていない担当者が手軽な無料サービスを用いてITサービスを提供する場合、そのセキュリティは脆弱になる可能性があります。
消費者は、店舗が提供するデジタルサービスに対して、常に警戒心を持ち、自衛の意識を高めることが求められます。
コメント