オンラインスキャム：スキャム(Scam)とは？

周りにオンラインスキャム詐欺の被害者がいるだろうか？もしくは、本人がスキャムに遭いそうになったり、遭ったことがあるだろうか？本記事では、オンラインスキャムとは何かを調べ、現在どれだけ多くのスキャムが誰を対象としてどう接近し、どのような被害を与えるのか、その現況について紹介する。

本記事は、AhnLab が直接把握したデータと外部に公開された情報を参考にして作成した。外部情報を引用した場合は、その出どころを明示した。

内容

1. スキャム(Scam)とは？
   • スキャム vs. 詐欺 vs. フィッシング
2. どれほど深刻なのか
3. 目的は何なのか
4. 誰が被害に遭うのか
5. どう接近するのか
6. 何を誘導するのか
7. どのような種類があるか
8. なぜ被害に遭うしかないのか
9. 参考資料

スキャム(Scam)とは？

スキャムとは、モラルに反する方法で相手を騙し、金銭または知的財産を獲得したり、資産へ許諾なしに接近する詐欺犯罪行為である。オンラインスキャムは、デジタル上で発生するスキャムのことを言う。主な疎通手段がオンラインに変わった今、「スキャム」という表現の大半が「オンラインスキャム」を意味する。スキャムが他のサイバー犯罪と異なる核心的な特徴は、相手をあざむき、騙す詐欺だという点である。

スキャム vs. 詐欺 vs. フィッシング

スキャムと詐欺を区別する明確な基準はない。一般的にスキャムと詐欺は同じ意味で使われるため、オンラインスキャムとオンライン詐欺を同じ意味で解釈しても問題ない。しかし、国家や産業界または個人ごとに解釈の違いがあることもある。同じ国家文化圏内でも、スキャムと詐欺のカテゴリが異なることがある。スキャムと詐欺の被害を金銭損失領域に限定し、知的財産の窃取は含めないという認識も存在する。ログインアカウント情報、クレジットカード情報、携帯電話の連絡先などが知的財産に該当する。

大韓民国でのスキャムは主に、「ロマンススキャム」、「スキャムコイン」のように特定被害タイプに限定し、詐欺は現金や金品財産の損失と認識することが一般的だ。フィッシング、スミッシング、スキャムなどの関連用語が時には誤った文脈上で使われることもある。昨年、ポルトガルで開かれた Global Anti-Scam Summit 2023 では、スキャムと詐欺の定義について共通かつ合意された標準概念がないという事実を指摘した。^[1][2]

The conference also shed light on the challenge of defining what constitutes a “scam.” Different countries and industries often define scams in their own terms.

For instance, Singapore classifies various scenarios, including ATO (Account Takeover), malware, and romance scams, as scams. In contrast, the UK and the US categorize scams as authorized online fraud where the payment was made by the account owner. Other types of fraud are deemed not to be scams and are defined as unauthorized transactions.

The fundamental question that arises is whether the industry should work towards global cross-industry common standards or accept separate definitions. If common standards are to be established, the challenge lies in determining what these standards should be, especially considering the diversity of industries and countries.

AhnLab は、「スキャム」を詐称と脅迫、そして騙しの手口を使って相手の金銭または知的財産を獲得したり、資産に承諾なしに接近するすべてのサイバー犯罪と規定する。詐欺とスキャムを相互に代替できる類似した概念として扱うが、若干の違いがあると判断した。そして混在して使用されているの他の用語を以下の通りに定義した。この記事では、文脈によってスキャムと詐欺、両方の用語を使用する。フィッシング、スミッシングなど、スキャムの下位タイプについては、その特徴を明確に説明するために名称をそのまま使用する。

• スキャムと詐欺(Scam and Fraud)
  • 定義：法とモラルに反する方法で相手を騙し、金銭または知的財産を獲得したり、資産に認可なく接近する犯罪行為。
  • 違い：
    •  スキャム：直接的なチャンネル(音声通話、メール、電子メール、メッセンジャー、ソーシャルメディア、Web サイトなど)を利用し、被害者が自発的にスキャマー(犯罪者、攻撃者)が意図した通りに行動させる。
    • 詐欺： 金銭損失の被害にさらに焦点を当て、不当取引や名義盗用など、被害者が認知していない状況で発生する犯罪行為まで含む。

• フィッシング(Phishing)
  • 定義：被害者が信頼する組織や個人を詐称し、機密情報を窃取したり、資産に接近する犯罪行為。ログインアカウントの窃取、クレジットカード情報の窃取、マルウェアのインストールおよび実行などが該当する。社会工学手法を用いたスキャムの一種であるため、フィッシングスキャムとも呼ばれるが、一般的にフィッシングと呼ぶ。手段と方法によって様々な以下のタイプに分けられる。
  • いくつかのフィッシングタイプ：
    • スミッシング(Smishing、SMS Phishing)：モバイルテキストメッセージで接近するフィッシング。
    • ボイスフィッシング(Vishing、Voice Phishing)：音声通話で接近するフィッシング。
    • スピアフィッシング(Spear Phishing)：特定の個人または組織を標的にして実行確率を高めたターゲット型のフィッシング。
    • BEC(Business Email Compromise)：相互関係を信頼できる人間や組織に偽装し、財務管理担当者または意思決定者から金銭や機密情報を窃取するスピアフィッシング。

• スパム(Spam)
  • 定義：不特定多数に広告を目的として伝達される電子メール、音声通話またはテキストメッセージの通称。

どれほど深刻なのか

Global Anti-Scam Alliance(GASA)が発行した Global State of Scams Report 2023 レポートの内容によると、全世界人口の59%が月に1回以上スキャムにさらされており、その内78%以上は昨年の1年間、スキャム被害に遭った経験がある。スキャムによる全世界の金銭損失の総額は、1兆260億ドル(1,370兆ウォン)である。違法で非倫理的な詐欺犯罪金額が全世界 GDP の1%を越える状況である。金銭損失の規模は、国ごとに差が大きく、特にケニア、ベトナム、ブラジル、タイなど、発展途上国の損失が大きい。^[3]

このような深刻性は、米連邦取引委員会(FTC、Federal Trade Commission)で消費者の申告件数を基に発行した Consumer Sentinel Network 2023 レポートでも確認できる。この20年間、詐欺の申告件数が増え続けているが、昨年1年間で約2,600万件の詐欺申告があった。このうち、27%は実際に金銭損失の被害を受け、被害総額は100億ドル(13兆ウォン)を超えた。^[4]

大韓民国の警察庁が発行した2023年サイバー犯罪トレンドレポートによると、2022年に発生したオンラインサイバー犯罪詐欺が前年対比10%以上増加した。^[5] 韓国インターネット振興院が2023年の1年間で確認したモバイルスミッシングテキストメッセージは50万件を超える。^[6] 大韓民国国家情報院で確認した2023年のロマンススキャム申告件数は、2020年に比べ3倍に増え、被害金額は50億ウォンに近い。^[7] 未申告件数まで考慮すると、その被害規模はさらに大きいものと推定される。AhnLab の V3 Mobile Security 製品がスキャムと判断した携帯電話のテキストメッセージは、2024年1月の1ヶ月だけで4,300件以上である。^[8]

目的は何なのか

スキャムの目的は3つである。金銭と情報、そして権限だ。1つだけを狙うこともあれば、2つ以上を同時に狙うこともある。個人を対象とするスキャムの大半は金銭を目的とする。この時、金銭には現金と仮想通貨の両方を含む。スキャマーは被害者が自発的に金銭を支払ったり、送金するように仕向ける。または、何かを口実に被害者を脅迫し、強圧的に金銭を奪い取ることもある。

スキャマーが狙う情報は、ログインアカウント、クレジットカード情報、プロフィール、携帯電話の連絡先、企業ビジネスの機密情報などの知的財産である。情報収集そのものが目的である場合もあるが、クレジットカード情報のように最終目的が金銭であったり、情報を人質にして金銭を奪い取ることもある。ログインアカウントは以降、悪意のある振る舞いをするための準備物として悪用されることもある。

3つ目の目的は、被害者システムへのアクセス権限である。代表的なものとして不正なファイルがある。例えば、被害者がモバイルメッセンジャーや電子メールで伝達された内容を信頼してファイルを自発的に実行したが、これが実際にはスキャマーにシステムの遠隔操作権を与えたり、機密データを獲得させることになる。以降、金銭を奪い取る手段として悪用されたり、企業のビジネスに悪影響を与えることもある。

誰が被害に遭うのか

幼い青少年から高齢者まで、全年齢層がスキャムの被害者になる可能性がある。しかし、年齢によって被害の程度と特徴には差がある。Consumer Sentinel Network 2023 レポートによると、若年層が高齢層より頻繁に金銭被害に遭う。これは、スキャムが主にソーシャルメディアやオンライン Web サイト、モバイルアプリなど、若年層の利用頻度が高いチャンネルで接近することと関連がある。しかし、平均被害金額は高齢層の方が高い。^[9][10] 特定の性別がターゲットになることもある。ボディカムフィッシング(Sextortion)は、大韓民国の若い男性を対象とする特徴的なタイプのスキャムである。スキャマーは、女性を装ってモバイルメッセンジャーで被害者に接近する。被害者の男性と関係を形成し、男性の性的なわいせつ行為の写真または映像を人質にして金銭を送金するように脅迫する。

直接的な当事者の他にも被害者が存在する。スキャム過程の中に詐称があった場合、名前、顔、ブランドを盗用された個人や組織もまた別の被害者である。彼らは名誉毀損だけでなく、経済的被害に遭う恐れもある。

世界最大のオンラインショッピングモールである Amazon は、このような点を考慮し、フィッシング Web サイトを積極的に遮断して措置している。^{[11] [12]} 大韓民国でも、頻繁に詐称の対象になる政府機関や産業が注意勧告を続けている。

Reporting phishing emails

If you have received an email that you know is a forgery, or if you think you have been a victim of a phishing attack and you are concerned about your Amazon.com account, please let us know right away by reporting a phishing or spoofed email.

Guardians of Trust: Amazon’s Proactive Frontline Against Impersonation Scams:

In 2022, Amazon initiated takedowns of more than 20,000 phishing websites, 10,000 phone numbers being used as part of impersonation scams and referred hundreds of bad actors globally to local law enforcement authorities.

どう接近するのか

スキャム犯罪者は、私たちが日常生活で接する大半のコミュニケーションチャンネルを利用して接近する。チャネルは時間の経過とともに変化し続ける。モバイルメッセンジャーアプリは、数年前までは存在しなかった方式だ。QR コードで駐車料金を決済することも以前は存在しなかった。スキャマーは、これらすべてを利用して人々を騙す。

• モバイルメッセンジャーアプリ(WhatsApp、Telegram、WeChat、Facebook Messenger、LINE、KakaoTalkなど)
• モバイルマッチングアプリ(Tinder、MEEFF、WIPPYなど)
• ソーシャルメディア(Instagram、Facebookなど)
• モバイルテキストメッセージ
• 音声通話
• Web サイト(YouTube、NAVER、Googleなど)
• 電子メール(Gmail、Outlookなど)
• オンライン挿入広告
• オフライン(駐車場、店舗など)
• その他

国によってスキャムに利用される主な方法が異なる。デジタルアクセシビリティ文化や、主となる使用プラットフォームがすべて異なるためである。GASA の Asia Scam Report 2023 レポートによると、大韓民国の人々が最も多くさらされたスキャムチャンネルは、モバイルテキストメッセージ(78.8%)、音声通話(58.3%)、電子メール(27.0%)である。日本は電子メール(54.7%)、テキストメッセージ(44.1%)、音声通話(33.9%)の順だ。シンガポールは音声通話(70.5%)、テキストメッセージ(65.8%)、モバイルメッセンジャーアプリ(54.4%)が主なスキャムチャンネルだ。

デジタルプラットフォームでは、国による違いがさらに明確だ。大韓民国は Instagram(27.7%)、NAVER(24.0%)、KakaoTalk(20.0%)プラットフォームの順でスキャムの脅威にさらされる可能性がある。Instagram が1位のアジア国家は、大韓民国が唯一である。NAVER と KakaoTalk は、他の国ではランキングに入らなかった。その代わり、中国では WeChat(56.6%)、インドネシアでは WhatsApp(74.3%)、ベトナムでは Facebook(71.5%) が最もスキャムの危険性が高いプラットフォームである。

何を誘導するのか

スキャマーは、目的を達成するために様々な手段を利用して相手に特定の行動を誘導する。2つ以上の行動を誘導することもある。スキャムのシナリオは、状況と意図によっていくらでも変わることがある。

1. 目的：金銭
   • 投資
   • 加入
   • 商品購入
   • 副業または就職
   • 費用の納付または送金
   • 支払いの代行または代行購入
   • 脅迫による支払い
2. 目的：情報
   • ログインアカウント ID/パスワード入力
   • 金融情報の入力
   • 機密情報の伝達
3. 目的：非認可権限の獲得
   • 不正なアプリ/ファイルのインストールおよび実行
   • 不正な Web ページへのアクセス

どのような種類があるか

スキャムは、いくつかの基準で分類することができる。同じチャンネルを使用したとしても目的と誘導される行動が異なる。例えば、モバイルテキストメッセージを利用したスキャム、すなわちスミッシングを通して誰かは不正なアプリをインストールする。そして、携帯電話内の個人情報や 2FA(Two-Factor Authentication)情報が窃取される。また、他の誰かは Telegram のログインコードを入力してログインセッションを窃取される。とあるスミッシングは、株や仮想通貨への投資を勧める Web ページへのアクセスを誘導する。

電子メールを利用したスキャムは、単純な脅迫性の内容である可能性や、企業組織のログインアカウントを窃取するフィッシング Web ページリンクである可能性もある。また、ランサムウェアファイルが添付されている可能性もある。スキャムはとても複雑で範囲が広いため、単一の基準で分類することが難しい。個人を対象とするスキャムと企業ビジネスを対象とするスキャムは、その行動主体(スキャマー)とシナリオが全く異なる。

そのため、「オンラインスキャム」シリーズでは、スキャムタイプを一つの基準で分類せず、いくつかの共通する特徴をもつタイプ同士をまとめて説明する予定である。

なぜ被害に遭うしかないのか

認知の歪み
スキャマーは、主に社会工学の手法を用いて人々の心理的脆弱性を狙う。彼らは人々の認知を歪ませ、多様な方法で操作する。認知が歪んだ人々は頻繁に警告信号を無視したり状況を正当化するなど、スキャムに陥りやすくなる。

欲
スキャマーは、人々の金銭に対する欲望と欲を狙う。彼らは数億ウォンの車と高価な物、そして改ざんされた口座入金履歴の写真を見せる。そして確実に大きな利益を得ることができるという言葉で誘惑する。自宅で簡単にお金を稼げる副業という言葉に、多くの人々がスキャムに遭う。

信頼形成
スキャマーは、人の信頼を得るために様々な心理的関係形成技術を使用する。数日以上に渡り会話をして、信頼関係を築いたり小さな信頼を繰り返し築いたりもする。人々は、ある程度信頼が厚くなると疑わずに金銭を送金したり、個人情報を提供する。

心理的圧迫
スキャマーは度々、人々に緊急事態や緊急措置が必要だという圧迫感を与える。このような状況で被害者は判断力を喪失し、スキャマーが要求する条件を聞くことになる。

技術的発展
スキャマーは技術的なトリックを利用する。本物と非常によく似た画面とメッセージを作る。電子メールの送信元を変えることもこれに該当する。スキャマー本人が直接行わず、ダークウェブなどの違法な取引市場で作られた製作ツールを利用したり、依頼することもある。最近は簡単に使用できる外国語翻訳ツールを利用するため、海外のスキャマーも自然なフィッシングメッセージを作ることが可能である。

情報不足
そして、このすべての基底には人々の情報不足がある。人々は、スキャムの様々な最新技法についてよく知らない。忙しい日常により、毎回疑ったり確認できないこともある。深く考えずに情報を入力したり、ファイルを実行する行為もすべてスキャマーが意図したものである。

国家政府機関と産業界では、これに対抗するために自動化されたスキャムフィルターと遮断装置、犯罪者の検挙、セキュリティ製品など、多くの努力をしているが、残念ながら私たちはスキャムに遭う確率が高い。個人と組織は、私たちの日常の中にある様々なスキャム手法を知る必要がある。

参考資料

• Global Anti-Scam Alliance (GASA)
  • Research
  • Global State of Scams Report 2023
  • Asia Scam Report 2023
• 大韓民国警察庁
  • 2023年サイバー犯罪トレンド
• 大韓民国金融監督院
  • 2022年ボイスフィッシングの被害現況および主な特徴
  • 報道資料
• 韓国インターネット振興院(KISA) KrCERT/CC
  • セキュリティ告知
  • 報道資料
• 米連邦取引委員会(FTC、Federal Trade Commission)
  • Data Spotlight
  • Consumer Sentinel Network 2023
  • Consumer Advice Scams

関連記事

1. オンラインスキャム：あなたは詐称、脅迫、騙しの手口から安全ですか？
2. オンラインスキャム：スキャム(Scam)とは？
3. オンラインスキャム：携帯電話で遭遇した詐欺
4. オンラインスキャム：脅迫と企み、そして被害者
5. オンラインスキャム：ただ簡単に素早くお金を稼ぎたかった
6. オンラインスキャム：これが偽物だなんて？本物と偽物の区別方法
7. オンラインスキャム：誰であっても避けることが困難なスキャム
8. オンラインスキャム：では、私たちは何をどうすべきか？

[1] Global Anti-Scam Summit 2023
[2] GASA Global Anti-Scam Summit: Key Takeaways
[3] Global State of Scams Report 2023
[4] Consumer Sentinel Network 2023
[5] 2023年サイバー犯罪トレンドレポート
[6] 公共機関詐称スミッシング20倍爆増…私のボイスフィッシング「防御力」は？
[7] 昨年の「ロマンススキャム」被害額は55億ウォン…史上最大
[8] V3 Mobile Security 製品の Android ユーザーのうち、「スミッシング探知」機能を有効にしたユーザー対象
[9] 20歳～29歳44%、70歳～79歳25%
[10] 20歳～29歳の平均480ドル(64万ウォン)、70歳～79歳803ドル(107万ウォン)、80歳以上1,450ドル(193万ウォン)
[11] Internet scams and phishing
[12] Global State of Scams Report 2023