詐欺に遭った話

Pluralistic

詐欺られちまった。

正確に言うと、銀行を装った電話詐欺師にだまされ、クレジットカード番号を教えてしまった。その後、詐欺に気づくまでに8,000ドル以上を不正利用された。その1週間後、詐欺師は再び同じ詐欺をふっかけてきたのだ！

事の顛末を話そう。私はクリスマス休暇にニューオーリンズ旅行に行った。到着した日、フレンチクォーターにあるChaseのATMで現金を下ろそうとしたが、取引を拒否された。その日の暮れ、小さなクレジットユニオンのATMを見つけ、そちらを使った（私は1支店のクレジットユニオンを利用しており、他のクレジットユニオンのATMを使っても手数料はかからないことが多い）。

数日後、クレジットユニオンから電話があった。週末の休日ということで、電話をかけてきたのは、私の小さなクレジットユニオンの時間外詐欺対策請負業者だった。この業者はクレジットユニオンにさまざまなサービスを提供しているため、以前にも何度かやりとりしたことがあった。通話品質は良くなく、私のクレジットユニオンの名前の発音を間違えることもザラにある、そんな業者だった。

今回もそうだった。電話の向こうの男性の音声ははひどい音質で、マイクを調整してもらわないとまともには聞き取れないほどだった。彼は私の銀行の名前の発音を間違え、その日にニューヨークのApple Storeで1,000ドルを使おうとしたかを尋ねてきた。「いいえ」と私は答え、内心でうめいた。面倒なことになった……。どうやらATMカードがスキミングされていたらしい。ChaseのATMでスキミングされたのか（だからあの時取引が失敗したのか）、それとも他のクレジットユニオンのATMだったのか（だいぶ安っぽいシステムだったしなぁ）。

私はカードを停止するよう伝え、最近の取引履歴を確認したり、本人確認をしたりと、面倒な作業を始めた。それは延々と続いた。これはニューオーリンズでの最後の数時間のことで、私は家族を残して、マルディグラ前のクルー（訳注：マルディグラのパレードに参加する団体）のお祝いを見たり、マファラータ（訳注：ニューオーリンズ名物のサンドイッチ）を食べるために出かけていたのだが、この男性と通話を続けていたら時間がなくなっちまう。

「いいですか」と私は言った。「あなたは私の詳細をすべて把握し、カードを凍結しました。私は戻って家族と会い、空港に向かわなければなりません。セキュリティチェックを通過したら、時間外の電話番号に折り返し電話します。いいですね？」

彼はいらだっていたが、それは彼の問題だ。私は電話を切り、サンドイッチを買って空港に向かった。チェックインは大混雑だった。アラスカ航空の737 Maxが機内のドアプラグを空中で紛失したばかりで、各航空会社の737 Maxが全て運航停止になったため、チェックインカウンターは予約変更しようとする人でごった返していた。なんとかゲートを通過し、私はクレジットユニオンの時間外窓口に電話をかけた。電話口の人物は、この番号は紛失・盗難の対応しかできない、詐欺の対応はしていないと言った。すでにカードを停止しているのだから、月曜に支店に行って新しいカードを受け取るだけでいいと。

私たちは帰宅し、翌日遅くに私はアカウントにログインし、不正取引のリストを作成して印刷した。そして月曜の朝、銀行に行って手続きをした。クレジットユニオンの人たちは、私以上に腹を立てていた。詐欺による被害は8,000ドル以上に上り、Visaがカードが使われた加盟店からの支払いを拒否した場合、この小さなクレジットユニオンがその損失を負担しなければならない。

私は彼らに同情した。そして、クレジットユニオンの外部委託の時間外詐欺対策センターにも責任があると指摘した。土曜日にカードをキャンセルしたのに、詐欺の大半は日曜日に行われていたのだ。何かがおかしい。

小さなクレジットユニオンで銀行取引をする利点は、実際の権限と責任を持った人と話ができることだ。詐欺の書類を処理していた女性は副頭取で、彼女はこの件を調査してくれた。数分後、彼女は戻ってきて、詐欺対策センターには土曜日に私に電話をした記録がないと告げた。

「あれが詐欺師だったんですね」と彼女は言った。

ああ、くそっ。必死にあの会話を思い出そうとした。それが事実だとしたら、私は詐欺師に何を与えてしまったのだろうか。私は住んでいる都市名（これはWikipediaに載っている）、生年月日（同上）など、ごく一般的な情報以外は何も教えていない。あとカードの下4桁も。

いや、ちょっと待てよ。

下4桁じゃない。下7桁を聞いてきたのだ。その時はひどくいらだたしく感じただけだったが、冷静に考えてみると……。私は副頭取に尋ねた。「最初の9桁は発行するすべてのカードで共通ですよね？」

私は自分のカード番号全体を彼に教えてしまったのだ。

ちくしょう。

私は詐欺をよく知っている。この手の詐欺を扱った小説を書いているところなのだ。

https://us.macmillan.com/books/9781250865878/thebezzle

そして毎年夏にはDefconに行き、必ず「ソーシャルエンジニアリング」コンペティションに参加する。そこでは、防音ブースの中にいるハッカーが業者（オーナーの許可を得て）にコールドコール（訳注：飛び込み電話）をし、電話に出た人をだまして重要な情報を引き出そうとするのを、観客が聞いている。

それでも、私はだまされたのだ。

だまされる可能性があることは分かっていた。13年前にもだまされたことがあって、そのときはTwitterのワームに、DMでパスワードを引き出された。

https://locusmag.com/2010/05/cory-doctorow-persistence-pays-parasites/

あの詐欺は奇跡的なタイミングを必要としていた。前日、私は携帯電話を工場出荷時の設定に初期化し、すべてのアプリを再インストールしていた。同じ日、大いに話題になったオンライン記事2本を公開していた。翌朝、家を出るのが遅れたため、妻と私が子供を保育園に送りコーヒーショップに寄った時には長蛇の列ができていた。妻は私と一緒に列に並ばず、新聞を読むために座った。列に並んだ私は携帯電話を取り出し、友人からのDMを見つけた。「これ、あなた？」とURLが添えてあった。

前日に公開した記事のことだと思い、私はリンクをクリックした。するとTwitterのログイン画面が再び表示された。前日にモバイルを初期化し、保存されていたパスワードがすべて消えていたため、その日はずっとこの調子だった。パスワードを入力したのだが、ページはタイムアウトした。そうこうするうちにコーヒーができあがった。私たちはしばらくおしゃべりをして、それぞれの用事に向かった。

オフィスに向かう途中、私は再び携帯電話をチェックした。他の友人からもDMが何通か来ていた。どれも「これ、あなた？」とURLが書かれていた。

ああ、くそ、フィッシングに引っかかっちまった。

前日にモバイルOSを再インストールしていなかったら。前日にあの2本の大きな記事を公開していなかったら。家を出るのが遅れていなかったら。あるいは、もう少し遅れていたら（そうすれば複数のDMを見て、何かがおかしいと気づいていただろう）。

セキュリティ業界ではこれを「スイスチーズ・セキュリティ」と呼ぶ。何枚ものスイスチーズのスライスを重ね、1枚のスライスの穴が下のスライスで塞がれている状態を想像してほしい。それらのスライス少しずつ動かすと、時折、穴がすべてのスライスを貫通する瞬間がある。ザップ！

私からクレジットカード番号を盗み出した詐欺師は、このスイスチーズ・セキュリティに助けられたのだ。確かに、彼は私の銀行の発信者番号を偽装したが、私が休暇中で、怪しいATMを2台使ったばかりで、急いでいて気が散っていなければ、私を騙すことはできなかっただろう。737 Maxの事故がその日でなかったら、ゲートが混雑していなかったら、銀行に折り返し電話をしていただろう。私の銀行がお粗末な外部委託の時間外詐欺対策センターを使っていなかったら。もしも、もしも、もしも。

翌週の金曜日の午後5時半、詐欺師は再び、銀行の時間外センターを装って電話をかけてきた。また私のカードが危険にさらされたと言う。しかし、私は再発行されたカードを一度も財布から取り出していなかった。それに、銀行業務終了から30分後の、翌日から3連休という、詐欺に絶好のタイミングだった。私が折り返し電話すると言って時間外詐欺対策センターの番号を尋ねると、彼はとても脅すような口調で、この手続きを完了せずに電話を切れば、銀行が被る詐欺被害は私に請求されることになると警告した。私は彼に電話を切った。彼はすぐに電話をかけ直してきた。私は再び電話を切り、携帯電話を着信拒否モードにした。

次の火曜日、私は銀行に電話をし、リスク管理責任者と話をした。詐欺師について私が把握したことをすべて説明すると、彼女は全米のクレジットユニオンがこの手の詐欺の被害に遭っていると教えてくれた。詐欺師は何らかの方法で、クレジットユニオンの顧客の電話番号と名前、そしてどのクレジットユニオンを利用しているかを知っているというのだ。これが重要なポイントだった。私の電話番号はそれなりに秘密にしている。Equifaxやその他の同意なしに個人情報を晒すDoxing大企業にお金を払えば入手できるが、ググったり無料のサービスでは入手できない。詐欺師が私の銀行を知っていて、私の名前を知っていて、私の電話番号を知っていたことで、私は警戒心を解いてしまったのだ。

リスク管理担当者と私は、クレジットユニオンがこの攻撃をどのように軽減できるかについて話し合った。例えば、時間外のカード紛失担当者に、カード詐欺の連絡を受けた人からの電話に気を配るようにもっと訓練すること。あるいは、電話をかけてきた時に間違った部署につながるような紛らわしい音声メニューを見直し、メニューシステムの言い回しを明確にする方法を考えた（小さなクレジットユニオンで銀行取引をすることの最大の利点だ。責任者と直接話をして、生産的な議論ができる！）。私は彼女を説得して、来年の夏のDefconのソーシャルエンジニアリングのコンペティションに参加するチケットを買ってもらうことさえできた。

クレジットユニオンのシステムのサプライチェーンのどこかに情報漏えいがある。Zelleかもしれないし、クレジットユニオンがSWIFT取引で頼る少数の提携銀行かもしれない。あるいは、時間外詐欺対策センターかもしれない。いずれにせよ、全米のクレジットユニオンの顧客が、登録された電話番号と銀行名を知る詐欺師から、発信者番号を偽装した電話を受けている。

私はこの1ヶ月ほど、このことについて考えてきたが、1つのことが本当に心に引っかかっている。AIがこの種の問題をさらに悪化させるのではないかということだ。

AIが詐欺を働くからではない。

AIについて私が知る最大の真実の1つは、「ボットがあなたの仕事を奪うところまではまだ遠いが、ボスがだまされてあなたを解雇し、あなたの仕事をできないボットに置き換えるところまでは確実に来ている」ということだ。

https://pluralistic.net/2024/01/15/passive-income-brainworms/#four-hour-work-week

私がこの詐欺師を信用したのは、私の銀行が雇った外部委託の時間外請負業者がひどいヘッドセットを使っていて、私の銀行の名前の発音の仕方を知らず、詐欺の報告のために長ったらしく退屈で無意味な定型の質問をすることを知っていたからだ。これらすべてが詐欺師に隠れ蓑を提供し、彼の話の荒々しささえもが逆に信憑性を高めたのだ。このどれもが赤信号を灯さなかった。

この種の詐欺報告や詐欺対応がAIにアウトソーシングされるようになると、銀行の顧客は、愚かな間違いをし、同じことを繰り返させ、答えを知っているはずの質問をする、半自動化されたシステムとのやりとりに慣らされていく。つまり、AIは銀行の顧客をフィッシング詐欺の被害者になるように仕向けていくのだ。

これは金融セクターが繰り返し犯している間違いだ。15年前、ベン・ローリーは、クレジットカード取引を検証するために、ユーザーを第三者のサイトに誘導し、そこでパスワードの一部を再入力させる英国の銀行の「Verified By Visa」システムを非難した。

https://web.archive.org/web/20090331094020/http://www.links.org/?p=591

これはまさにフィッシング攻撃の手口だ。ローリーが指摘したように、銀行が顧客をフィッシング詐欺に引っかかるように訓練しているようなものだ。

実は今日も、私はフィッシング詐欺に引っかかりそうになった。金曜にベルリンから帰ってきたところ、スーツケースが輸送中に破損していた。航空会社に連絡を取っているが、実際に対応するのは第三者の外部委託手荷物破損サービスだ。彼らのウェブサイトはひどく、メールの内容は支離滅裂で、お役所仕事のように何度も同じ情報を要求してくる。

今朝、壊れた手荷物の請求を完了するためにさらに情報を求めるフィッシングメールが届いた。noreply@からの雑なメールで、内容は曖昧で、お役所仕事で、がっかりするほど官僚的だった。ほんの一瞬、私の指はフィッシングリンクの上で止まったが、よく見てみるとすぐにわかった。

普段なら、こんなメールに引っかかることはない。今日は、スーツケースが壊れたばかりで、まだ時差ボケが残っていて、航空会社のひどい外部委託パートナーとのやりとりが数日続いた直後だった。その意味では、この詐欺はあと一歩のところまではきていたのだ。

多くの詐欺はスイスチーズ攻撃である。企業はすべての穴を塞ぐことはできないにしても、新しい穴を増やさないようにはできるだろう。

その間、私は詐欺に遭ったらいつでも投稿し続ける。詐欺の内部構造に魅了されているというのもあるが、誰もが時に脆弱になる。そして詐欺師は攻撃が適切な場所で、適切なタイミングに、適切な方法で成功するまで、無限のパターンを試行し続けることを厭わない。自分は絶対に詐欺に引っかからないと思っているなら、その考えこそが落とし穴だ。

https://pluralistic.net/2023/02/24/passive-income/#swiss-cheese-security

(Image: Cryteria, CC BY 3.0, modified)

Pluralistic: How I got scammed (05 Feb 2024) – Pluralistic: Daily links from Cory Doctorow