Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

楽なバイトに潜むリスク

つぶやいてみた。

大学生であっても引っかかる可能性があるのがリスクのある「楽なバイト」。簡単に稼げるという誘い文句に騙されると犯罪に加担される事もあるのですが、学校でこの手の啓蒙教育がされる事はあまり無いので、「自己責任」を狙った甘い誘いは脅威になりつつあります。

techtarget.itmedia.co.jp

 大学などの高等教育機関の学生が、マネーロンダリング資金洗浄)を目的とした詐欺の標的にされている。「手軽に稼げる」と持ち掛けて、学生を詐欺に加担させようとするメール攻撃の実態が、セキュリティベンダーMimecast Servicesの調査で浮き彫りになった。

(中略)

詐欺グループはそこからコンサルティング会社を装って、標的に対してアルバイトを持ち掛ける。標的がこのメールに返信すると、詐欺グループは個人情報を提出して手付金を受け取るよう標的に伝え、その金を詐欺グループがコントロールする口座に送金するよう(あるいは物品を購入して転送するよう)に指示する。標的は何も知らないまま、詐欺グループが盗んだ資金を米国外に移転するための運び屋としてマネーロンダリングに加担させられる

 このメール攻撃は高等教育機関にとって、学生を不正行為に加担させてしまうだけでなく、学生の詳細な個人情報を詐欺グループに渡してしまうため非常に危険だ。校内ネットワークに攻撃者が不正侵入し、校内システム全体がリスクにさらされる危険性もある。「学生が大量の情報を提供することで、さらに標的が広がる」とベンチュラ氏は話す。

 

キタきつねの所感

自分が学生だった頃にはこうした「旨い話」はほぼ無かったので、忘れがちになるのですが、海外旅行のついでにモノを持ってきてくださいと言う様な話は、以前から存在していた(ニュースで見聞きした)気がします。

 

”格安、あるいは無料で海外旅行が出来ます”という誘いで、例えば製品サンプルを現地から取り寄せなければならなくなったので、現地(旅行先)で”●●が目印の方からスーツケースを受け取って”、成田空港で社員に渡して下さいと言われて、その通りにスーツケースを運ぶと、スーツケース内に大量の高額製品が入っていた、あるいは麻薬が隠されていた・・・といった様な気づかない間に「運び屋」とされてしまい、逮捕されてしまうといった古典的な手法ですが、形を変えて今もこうした手法は”現役”の様です。

※例えば詐欺によって購入した新型スマートフォンや、その他換金性の高い物を、大量にスーツケースに詰めて旅行に見せかけて国外に持ち出す事もあるでしょうし、多額の持ち出しが禁止されている現金として運ばせる様な事も考えられるかと思います。

 

巨大掲示板や、SNSで個別に”楽な(高額な)バイト”の誘いがあったら、警戒する学生も多いかと思いますが、これが”サークルの先輩”といったルートで紹介されたとしたら、警戒が薄くなって「飛びついてしまう」学生も案外いるのではないでしょうか。

 

記事では、こうした学生が”詐欺”の一端を担いでしまう原因について、以下の2点を挙げています。

問題を大きくする原因について、ベンチュラ氏は以下の2点を挙げる。

・学生の注意力の欠如
・学生のメールセキュリティ対策に充てる教育機関のリソース欠如

TechTarget記事より引用)

 

教育機関(大学)での啓蒙に問題があると課題を挙げており、これは日本でも同じ状況の様な気がします。一般的なフィッシングメール対策の啓蒙だけでなく、バイト関係での”危ないポイント”を教育プログラムに入れていく事が必要かと思います。

※大学だけでなく、”副業”をする従業員(教職員)なども影響を受けてしまう場合も考えられます

 

こうした「簡単に稼げる」という誘いに関して、その攻撃パターンを学ぶ上では「マネーミュール」(お金の運び屋、口座貸し出し、振込代行・・・)の関する情報を参考にすると良いのかと思います。

 

マネーミュールをご存じですか?

※引用:Kaspersky記事

moneymule-02

上記は実際に届いたメールです。1週間に15時間の労働で1か月あたり3,500ドル(米ドル換算なら日本円で約35万円)、それに加えて取引ごとに送金額の5%を支払うと書いてあります。

試しにこの連絡先に「私は日本に住んでいて英語を話せるのですが、このお仕事について詳細を教えていただけますか」とメールを送信したところ、返事がきました。それによると、仕事内容はお金の受け取りおよび支払い。この仕事への応募要件は、コミュニケーションスキル、コンピューター知識、Microsoft Officeの知識があることだそうです。

 

少し古い記事が多いのですが、こうした”好条件の募集”が今やメールだけでなく、SNSや、ネット広告、(そしてセキュリティ意識の薄いサークルの先輩)などを経由して学生に情報が流れてくる訳ですが、文面などのパターンは大きくは変わらないと思いますので、こうした例をベースに、啓蒙コンテンツを考えると良いのかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ブラックバイトのイラスト

 

更新履歴

  • 2021年10月5日 AM