サイバー犯罪の現状
どうも、WATAです。 TAZAWAです。
先に言っておくんですけど、今日は短尺で、
気軽に聞ける回って感じですか?
気軽に聞ける回にしようと思います。
最近、長々と話して、1時間の尺を超えて、視聴者の皆様にも負担をかけているという反省をしてまして、
もう20分になったら強制終了しますね、今日。
TAZAWAさんの回にも時間を残したいということで。
最近気になったというか、サイバーセキュリティとかサイバー犯罪が、やっぱり最近すごいヤバいんじゃないかなっていうのを思ってて、
個人投資家のテスタさんっていう人が、楽天証券で口座を持ってて、株を運用してたんですけど、
それが乗っ取られて、えらい額を失ったんですよね、確かね。
それが賠償補償が解決しているのかどうか謎なんですけど、そういう問題もあったりとか、
あとは最近、これ怖いなと思った事件というか、詐欺手口が注意喚起というかシェアしたいなと思ったんですけど、
ペイペイの詐欺が最近すごい横行しているの知ってます?
ノートとかで記事がまとまってて、これ後でリンク貼るんですけど、手口としてはペイペイカードってあるじゃないですか。
ペイペイのクレジットカード。それに入会している人向けに、ペイペイカードのカードが使われると、
自動で使われた履歴というか速報ベースで何に使われたかという連絡が来るようになってたりするじゃないですか。
すごい本物そっくりの通知メールが届くんですって。結構大きい金額。
だから10万とかが使われているみたいな金額の速報が流れてきて、みんなびっくりするじゃん。
使ってないこんな大金おかしいぞってなるから、結構慌ててそれを確認するみたいなのを助長するメールの内容になっているらしいんだけど、
メールのデザインとか内容自体が完全に本物と同じ内容なんですよ。
だから区別が正直つかなくて、メール上では。アドレスとか見るとわからないかもしれないですけど、
そのメールの中に内容を確認するためにログイン方法とか指示してあって、
そこが本当のメールと違うところなのかもしれないですけど、
QRコードでそれを読み取ると、ログイン画面に行って迷彩を確認できるみたいなステップが書いてあるの。
QRコードの読み込みがフィッシングになっているというところで、
これもなんでそんなことになっているのかというか、ペイペイガバガバ好きだろうというふうにちょっと思ったんですけど、
QRコードがWinTicketというオンラインギャンブルのサイトなのかな。
詳しくはわからないんだけど、WinTicketのペイペイ決済の認証フローで、
ペイペイのQRコードをWinTicketと連動させることで、連動には本人確認がいらないから、
要するにQRコードさえ手に入っちゃえば、ペイペイの本アカウント、本当に運用されているペイペイのアカウントのQRコードさえ手に入っちゃえば、
そのWinTicketにその決済を紐付けられると。要するに他人のQRコードを紐付けすることが簡単にできちゃうという、
めちゃくちゃしょうもないセキュリティホールがあったらしくて、その手口を使っているんですね。
WinTicket側のQRコードをペイペイと連動させるみたいな、そのQRコードがメールに貼ってあって、
そのQRコードが詐欺メールに貼ってあるから、それを慌てて何か確認しようとした人がそのQRコードを読み取っちゃって、
誰とも知らないWinTicketのアカウントと自分の口座が紐付けられて、しかもこれが恐ろしいのが、
オートチャージとかしてなくても銀行口座とかに紐付けられているとペイペイがもういくらでも引き落とせるらしいんですよね。
だからこの詐欺被害に遭った人、トータルで10万円ぐらいの引き落とし、WinTicketからの引き落としが7回ぐらいあって、
70万円をたった1時間ぐらいで損失したっていう恐ろしい内容が書いてあって、何人かというか結構いたのかな。
なんかそれが被害が結構出たらしくて、ペイペイ側も慌ててそのフローをできないように制限かけたんで、
そこはペイペイはね、ちゃんと速やかに対応して偉いなとは思ったんですけど、めちゃくちゃ怖くないですか、この話。
QRコードの危険性
すげえ怖いと思うの、これ。
いや、これ普通の人わかんないよ。
普通の、いわゆるこう、普通にペイペイ使って、なんかすごい情報リテラシーとか、セキュリティ意識が高い人ってこれ絶対見抜けない。
メールとしては迷惑メールなんですよね。
迷惑メール、そう、種類としてはね。
でも、最近Amazonの詐欺とかもさ、すごいメールの内容とかすごいリアルなんだよね。
だから、ほんと見分けがつかないとかって言いますけど。
あのHTMLメール、再認すること簡単ですからね。
簡単だよね、コピーしちゃえばね、そのままできるから。
ただやっぱ、ずるがしこさがどんどんレベルが上がってるし、やっぱこのペイペイの意外とセキュリティガバガバなところをうまく使って、こういう詐欺をする人が増えているので。
これほんとね、僕自身もいつ引っかかるかわかんないなっていう気もしたし。
だから、はっきり言って、QRコードっていうものが確かになと思ったのは、QRコードみんな簡単に読みすぎじゃないかなって説は。
前々から思ってはいたんだけど、ほんと確信に変わりましたね、これ。
あんまりダメだね、簡単にQRコード読み込む。
だからさ、飲食店とか行くと今QRコード読み込んでね、スマホから注文とかできたりするじゃないですか。
ああいうのもあったりとかするし、結構社会インフラとしてわりと浸透しているところがあるから、警戒感がないんですけど、意外と危ない行為だよね。
確かに、よくわからないURLはクリックしないように言ってはよく言われるけど、QRコードの場合ってあんまりそういう風に言われないですもんね。
言われないんですよ、そうそうそうそう。
要はQRコードだからすごい気軽さを生み出すために作られたアクセス方法みたいなところもあるから、だから結構バイアスが変にかかっちゃうのかわからないけど、僕もそうなんだけど、何も考えずにQRコード読み取ってるなっていう。
でも実際読み取っただけでは別に問題ないですよね。読み取った後に何かアクションするから支払っちゃったりとかしてるとかじゃなくて。
いや、この連動自体は要するにQRコードを読み取って、多分ウィンチケット側、詐欺を働いてる側の方がこのアカウントと紐付けていいかっていう確認をOKすれば、もうその紐付いちゃって。
それから要は紐付け確認されちゃうと、いくらでも決済が可能になっちゃうっていう。だからこのウィンチケットっていうサイトの構造もうまく利用している。
ログイン状態になっちゃってるってことですね。
ってことですね。ただこのノートでも指摘されてるんだけど、あまりにペイペイ側も二段階認証が入ってないとか、ガバガバすぎるだろう。QRコード読み取っただけで自由にそんな引き落とせる状態の。結構やばいじゃない、それは考えてみると。
そうですね、確かに確かに。
だってQRコード読み取られちゃったら何かされちゃうかもしれないっていうことだから、だから結構ペイペイ側も深刻に捉えたのかすぐ対処してたみたいですけどね。
意外とこのテスタさんとか、この前のSBI証券でしたっけとかもなんかあったんですけど、なんかそのね、やっぱり結構セキュリティーホールがあるっぽくて、そのSBI証券の話でいうと、
二段階認証を基本的にもう今やらないと、基本的にその口座の管理とかアクセスログインはできないんだけど、緊急回避用のサイトみたいなのがあって、そこに行くとパスワードだけで入れちゃうっていう、なんか謎の回避サイトがあったんですよ。
それがホールとして利用されて、で、アカウントを盗まれちゃってたみたいな事象が起きた。それもすぐ閉鎖されてたけど、結構ね、やっぱり日本のさ、これは前々から僕らずっと警鐘を鳴らしてますけど、セキュリティちょっとやばいじゃん。
基本的に会社、企業とか、あとは防衛の観点で言っても、海外からの攻撃に対して結構本当に無防備。だから、これね、怖いですよ、本当に。ちょっと安野さん、本当にどうにかしてくれないですか。
個人の防止策
僕ら個人としてできることとしてはあれですよね。でも僕はもう少なくとも二段階認証ができるサイトを全部二段階にしてますね。
そうですよね。
それは最大でみんなスルーできたと思う。
絶対やった方がいいですよね。
あと電話番号、確かYahooとかってログインの方式でパスワードじゃなくて電話番号のみの収集をしてますよね。
そうですね。今、セオリーであるそういう二ファクター的な、またオーセンティフィケーターじゃないですか、そういうパスコードのアプリとか使ったりとかすれば、多いそのことは防げるとは思うんだけどね。
ただそういう飼いくぐってやる方法が結構あるんだなっていうね。
サイト側の脆弱性に関してはもうこっちではコントロールできないもんね。
そうですね、本当に。
その上でQRコード気をつけた方がいいっていうのはちょっと、番組として言ってる。
そのケースに関しては、基本的に別にQRコードってURLを読み取ってるってわけだから、そのURLに普通にアクセスしたところで、基本的には別に言っても何もないはずですけど。
その先で承認を始める作業ね。
だからそこに何か承認コードがあったりとかセキュリティパスがあるわけではないわけだから、普通に使ってれば別にそんな意思がないものなんですけどね。
それに関しては別にQRコード自体がというよりは、その先のサイトの仕組みとかをうまく使ったということですね。
ただフィッシングに関しては、やっぱりQRで読み取って不法のサイトにっていうのは可能性としては結構高いというかあると思うんで、やっぱり気をつけなきゃいけない。
そうですね、それを相変わらず知らないURLにはアクセスしないっていう。
もう開かない、絶対開かないと思うんで。
確かに、ITとかリテラシーが高ければなんとなく匂いでわかるんですけどね。
なんとなくね。
迷惑メールのリンクってもう雰囲気があるから。
なんかあるじゃん。
だいぶ匂ってるから。
だいぶ匂ってるから。
だから慌てずに見れば大丈夫ですよ。
わかってればドメインを見れば、サブドメインも含めてドメインはちゃんと取らないといけないけど、要するにアットマークの前とかがAmazonとかになってたりするといくらでもできるじゃないですか。
いくらでもできるからね。
だからやっぱりそういうね、いきなり変な金額のメール来たらびっくりすると思うんだけど、だからこそやっぱりちょっと慎重にその辺を確認、メールアドレスを見たりとかね。
なんかどういうアテナできてるかとか、いろいろ見てみるとおかしいとこがたくさんあるんで。
でもなんかこうそういうのってこう何かしらアクションするために全部AIかませていけば全部わかると思うんですよね。
AIの活用とメールソフトの役割
そうなんですよ。
これを僕は一刻も早くやってほしいんですよ。
このフィルタリングとしてなぜAIを使わないのかという。
だからまあ普通にメーラーでもそうだしウェブサイトでもそうだし個人の端末でもそうなんだけど。
普通に検知かけてアラートを出すなんて容易だと思うんだよね。
もうAI使わなくてもできるんじゃないかぐらいのところね。
一応メーラーとかって迷惑メールの判断とか一応そういう感じで一応してはいるんじゃないですかね。
してはいるの?
あ、そうか最近でもあれだよね。Google、Gmailあれだよね。
なんかアラート出るよね。
迷惑メール判定とかも一応やってはいる。
その上で最終的になんかアクション起こすときになんかAIが間に入っていくようにするといいですよね。
支払い、だからケアコードって読み取って支払うときにそこでAIが一回考えてほしいですよね。
そうなんですよ。だからその人間の処理を車の自動運転じゃないけど
さすがにそっちの方行くと危ないぞっていうハンドルの切り方したら自動で切ってくれるわけじゃない?テスラとか。
そういうコンフィギュレーションをやっぱりAI側で軌道縫製をしてほしいというか。
そうですよね。だからAIが完璧じゃないっていうところをうまく使うのって間に保険としてかけるっていうのいい使い方ですよね。
いやめちゃくちゃいいと思いますね。
だからやっぱりこの人間が気づけない情報の判断ってあるじゃないですか。
判別がつかないところとか、あとは認知的にそういうことが大変なお年寄りとかは絶対見抜けないからこんなのね。
だからそういうとこにどうにかアンドさんに助けてほしいんですよね。
だからそれがどこに挟むかだと思うんですよね。
だって要するに最終的な決定をするのは人間が何かをしようとしてるわけじゃないですか。
そこに間に挟むっていうことはそのサービス側、プラットフォーム側ではできないというか。
OS側とかデバイス側とかになるとか。
そっち側でしょうね。端末っていう意味では一番マスターでコントロールできるのはそうですよね。
ただソフトアプリケーションとしてもそういうアシストは何て言うんだろうな。
でもあれか。もともとメールソフトはやっぱり一つタッチポイントとしてはあるよね。
メールソフト自体がより判別性がレベルが高くなっていくっていう。
あとATMの機械自体に入ってるとかね。
サイバー犯罪と日本のセキュリティ課題
入ってるとかね。本当それいいと思う。
ATはそうだよね。
ハードウェアとして要するに大体の口座番号とかもそうだしパターン。
この年齢お年寄りがこういう金額を振り込むときのパターン化されてるのって
一応振り込み詐欺とか不法なそういう入金とかマネーロンダリングとかもそうかもしれないけど
パターン化されてるわけじゃない。
それをやっぱり防ぐ段階は入れられるよね。そういうハードウェアとしても。
ATMがあったらパターン化どころじゃなくてもいろんなコンテキストでわかると思う。
わかるかな。
この雰囲気でこういう内容だったらみたいなね。
そうそうそうそう。
大体の場合、詐欺に引っかかっちゃう。やっぱり冷静さをみんな失ってるからだと思うんで。
普通にこうちょっと冷静に考えたらおかしいなっていうところに踏み込んじゃうから
カタンというか払っちゃったりするわけでしょ。
昔の核請求じゃないけどさ、すごいエロサイト見たっていう連絡が来て
これを払わなかったら家族にバラすぞみたいなこと書いてあってとか
焦るじゃない。あんなこと書かれたら脅迫だから。
でもああいうのも何が実際実現可能かどうかを僕らは何となくわかるじゃないですか。
だからもう笑っちゃうけど相手のこととか全くわからなかったら
何がわかられてるかわからないからね。
結構その辺をうまく精神状態をうまく隙をつく文章とかになってたりする気がするんで
結構わかってる人でも内容見るとちょっとドキッとするみたいなのあるじゃない。
だからIPアドレスとか出ちゃうけどIPアドレスっていうのはわかるんですよ。
わかるからね。それはそうなんですよ。
そもそもそういう識別紙を通信で使ってるんで誰でもわかるんですけど
そういうのが急に個人情報として
こっちは個人情報を持ってますからねとか再検情報を
こちらはあなたのそういう審判会社クレジット会社とかと称号して情報を持ってますからねとか
そういうカードとか止めることもできるんですからねとか
っていうことをすっごい書いてあるじゃない。
やっぱでもわからない人から相当怖いし
ここで5万とりあえず払っとけば解決するんだったら払っちゃおうってなると思うんですよね。
心理状態として。
でも一回落ち着いて別にこれをやんなくても
あなたがここで何か行動を仮に何か問題があったとして起こさなかったとしても
こういうふうに解決できるからちょっと一呼吸を置いて
私と会話しませんかって言ってAIが間に入ってくれて
弁護士じゃないけどさちょっと落ち着いてくださいと
一回ちょっと会話しましょうと
っていう感じでね入ってくれたら救われる人めちゃくちゃいっぱいいると思いますけどね
AIは割と合理化とか
ネガティブなふうに語られることが多いけど
インフラとしては多分いろいろ介入してくれることで
だいぶ救われる人たちが
特に情報リテラシーの部分はね
まさにこう情報の非対称性で
その被害があう人ってだいたいその詐欺の手口で
そういう情報を持ってない人が詐欺に遭っちゃうわけなんで
やっぱそこはもうAIの一番活躍すべきポイントなんじゃないかなっていうのはね
めちゃくちゃ思いますよね
こういうインフラをやっぱどんどん開発してる会社をね応援したいよねほんとね
でも庵野さんですよだから
チーム未来のチーム
チーム未来ね
そうチーム未来がありましたねだからこの間その
そうね話せなかったけど確かに
また比例とかチーム未来と入れてもいいのかもしれないですよね
ちょっとあんまり誘導しちゃうとあれですけど
だからそういうやっぱり日本の課題として
今これ喫緊の結構クリティカルなとこは
目先もちろん経済とか外国人の問題もあるけど
もうセキュリティの問題マジで防衛の観点から言って相当
庵野さんが言ってる通り相当僕やばいと思ってるんで
フェンタニールが入ってくるとか
なんかその人身売買があるとか
その辺もやっぱり情報源として
そういうこうセキュリティホールっていうのがあったりするから
それをこううまく穴を突かれて
物理的なその物理の要請になっちゃったりとかするわけで
だからそういうそもそも情報管理として
めちゃくちゃ徹底してる国に
そういうやっぱり入る隙がないわけです本来は
なんで今日本がそういう犯罪の恩賞として
狙われ始めてるかっていうと
まず情報観点で弱すぎるっていう
これは多分一番あれじゃない
サイバー犯罪の現状
日本の問題じゃない結構この
だからまあ脅すわけじゃないですけど
例えばですけど中国共産党が
情報戦争みたいなの仕掛けてきた時に
僕らの例えばその資産凍結みたいなことを
そのアカウント乗っ取られるとかもそうだし
それこそなんかそういうね情報資産みたいなものが
急にある日使えなくなるみたいな時に
もう立ち行かなくなるわ
国が大パニックになって
でえらい損失が出てみたいな
でそういうとこを外国に逆にグリップされちゃうと
もうそれこそ防衛どころ防衛云々とか
それ以外の話に生活がままらないみたいなことになる
着々と実は進んではいたりするから
すると思いますよ
電波飛ばす系の中国製品は本当に
実際あるんだ
だいぶ侵略されてる
だから日本系のそういうブランドが今弱い
メーカーとかも弱いけど
やっぱその辺囲い込まれちゃってるっていうのはね
ありますよね
本当でも中国のその辺って
みんな本当知らないけど
企業が知り得た情報は国に教える必要があるとか
っていうルールがあったりするわけだから
日本からしたら意味わかんないけど
でも向こうはね共産主義の国でそうなんだから
日本と全然常識が違うっていうのは
わかった上でちゃんと中国製品とかね
選ぶべきだと思いますよ
だからそのね
いわゆる日本で守られているそういう情報
個人情報の保護とかっていう概念が
全く違う世界観
むしろ国が管理するっていうね
それが共産主義っていう
スタイルだと思う
だからTikTokとかがアメリカがね
いろいろ敏感になってるのはそういう意味ですから
僕らの趣味趣向が全部中国を握っている
ってことになるわけだから
あとそのアメリカ由来のアプリケーションが
中国で使えないっていうのもそういうところですよね
統制できないから
そういうのに対して日本のリベラルっぽい人たちが
差別するなとかって
いろいろ騒ぐけど
僕結構大事なところだと思うんですよ
知らないがゆえにそんな言ってるけど
結構僕アメリカのやってることって
そんなに全然正しいからね
むしろだからね
本当にIT業界の人って
アメリカのTikTokに対するやり方って
すごい批判的ですよね
批判的ですよね
変な形でオープンソースっていうのを
リベラルテックと勘違いしているのか
わかんないけど
なんでその国で
アプリケーション制限しなきゃいけないんだみたいな
そういう変なあるじゃん
影響できないんだったら
インターネットの意味がないだろうみたいな
相手の人はユートピアの中に生きてるから
花畑だよ
だから国によって
訳が違うよっていうのを
みんなが
西欧諸国の
常識ではないってことはね
知っておかないと
逆に日本がどれだけガラパゴスかってことは
他の外国はみんな
情報防衛の必要性
警戒してるんだからね
そういう情報っていうのを
アメリカだけじゃなくて
欧州の国々もそうだし
ロシアもそういう意味でいうと
かなり危ない国なんで
ちょっと意識を置かなきゃいけないけど
ロシア中国間でも
そういう情報の
防衛戦っていうのは
あるでしょうから
同じブリックスとはいえ
そんな中で日本って
大変よ
はっきり言って
防衛機能がほぼないと思った方が
いいと思います
ないですもんね
情報防衛機能ってないですよね
アメリカが介入してるかもしれないですけど
基本的にはないと
考えるのが正しいと思うんで
そんな中で個人の
似たらしが
上がっていかないと
どんどん金をもしかしたら吸い取られて
破産しちゃう人がたくさん出るとかね
全然近い将来
あり得るかもしれないんで
なのでこの番組でそういう
サイバーセキュリティ
強化
防犯意識の啓蒙をしていきたいなって
思ってるところで
ごめんなさい20分過ぎてなんですけど
今日はこれで
おしまいにしますね
もう十分ですこれだけ話せれば
さよなら
ありがとうございました
