本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
「ツークリック詐欺」ってなんだ!?

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回のテーマは「ツークリック詐欺」。ワンクリック詐欺が進化した新手の詐欺が横行しています。その手口はますます巧妙化して、人の心理を突く仕掛けに満ちています。くれぐれもご注意を!

ツークリック詐欺とは

「ワンクリック詐欺」なら知っているという読者は多いだろう。これはホームページ中のサンプル画像やリンクを1回クリックしただけで契約が正当に成立したかのような画面が突然表示され、不当な料金を請求されるインターネット上の詐欺手口の1つだ。1回クリックしただけで詐欺の被害に遭うことから「ワンクリック」という枕詞が使われるようになったが、複数回クリックすることで同様の詐欺に遭う被害も次第に多くなってきたことから、「ツークリック詐欺」「スリークリック詐欺」、あるいは「フォークリック詐欺」といった言葉も使われるようになった。
 最近ではクリックする回数に関係なく、クリックすることで不当な料金請求画面が表示される詐欺手口のことを総称して「ワンクリック詐欺」と呼ぶこともあるが、最初に登場したワンクリック詐欺と複数回クリックさせる詐欺では、その仕組みとねらいに違いがあることから、本稿では複数回クリックさせる詐欺のことを総称して「ツークリック詐欺」と定義している。 従来のワンクリック詐欺とツークリック詐欺との最大の違いは、ツークリック詐欺の場合、画像などをクリックすると一旦「確認画面」が表示されるという点だ。そして、注意事項の中に紛れ込むように料金を掲示しておいて同意ボタンなどをクリックさせた上で、料金請求画面を表示する仕組みになっている。

以下に、ツークリック詐欺の表示例を紹介しよう。まず、ツークリック詐欺が仕掛けられているホームページの中の画面やリンクをクリックすると、紛れるように利用料金が掲示されている確認画面が表示される(図1)。つまり、利用者に「よく読めばちゃんと書いてあった。これは自分の落ち度かもしれない。」と思わせる仕掛けになっているのである。

図1 ツークリック詐欺の確認画面表示例      図2 個人情報の取得を装う表示例1

Windowsのダイアログボックスに似た表示だが、実は利用料金などを表示している プログレスバーを表示して、いかにも個人情報が取得されているかのように見せている

(左)Windowsのダイアログボックスに似た表示だが、実は利用料金などを表示している (右)プログレスバーを表示して、いかにも個人情報が取得されているかのように見せている(資料提供:セキュアブレイン)

図3 個人情報の取得を装う表示例2        図4 ツークリック詐欺の登録完了画面例

こちらも同様にプログレスバーを表示して、いかにも個人情報が取得されているかのように見せている アプリケーションのインストール時の表示を真似て、個人情報の取得が完了したかのように見せかけている

(左)こちらも同様にプログレスバーを表示して、いかにも個人情報が取得されているかのように見せている (右)アプリケーションのインストール時の表示を真似て、個人情報の取得が完了したかのように見せかけている(資料提供:セキュアブレイン)

そして、追い打ちをかけるように、個人情報が取得されたような印象を与える画面(実際には個人情報は取得されていない)が表示され(図2、図3)、利用者を不安に陥れる仕掛けになっている。

最後に、登録完了を思わせる画面(図4)が表示され、不正請求されるようになる。悪質なものでは、30秒おきに料金請求のメッセージ画面が表示されるケースもある。

ツークリック詐欺が出現した背景

複数回クリックさせる詐欺手口が横行するようになった背景には、電子消費者契約法(正式名称:電子消費者契約及び電子承諾通知に関する民法の特例に関する法律)により、ワンクリックでは契約が無効であることがすぐに相手に知られてしまうという犯罪者側の意識があるといわれている。
 インターネットによる電子商取引では、消費者はマウスやキーボードの操作ミスにより意図しない申込みをしてしまった場合、民法によりその契約を無効にすることができる。ただし、従来の民法では、消費者に「重大な過失」がある場合、事業者は契約の有効を主張することができるので、B2Cの電子商取引では、消費者に「重大な過失」があったか否かを巡ってトラブルが発生する危険性は高い。

電子消費者契約法による消費者の保護

そこで、B2Cの電子商取引では、事業者側が、消費者の申込み内容などの意思を確認するための適切な措置を設けていない場合には、原則として、操作ミスによる契約を無効にする法律(電子消費者契約法)を別途定めて、消費者を守ることにしたのである。
 例えば、詐欺行為ではなく通常の電子契約においても、操作ミスによって誤って申込みボタンをクリックしてしまったり、あるいは申込み内容を入力する画面で1個と入力するところをうっかり11個と入力してしまい、そのまま申込みを行ってしまったりするケースが考えられる。民法では、こうした間違いのことを「錯誤」と呼んでいるが、こうしたインターネット上の錯誤は、一般の契約における「言い間違い」「書き間違い」に該当すると判断される。したがって、この法律の存在が広く知られるようになれば、ワンクリックだけで契約が成立するとは到底考えられず、詐欺の被害に遭う人は少なくなる。

複数回クリックさせることで契約の有効性を装う

こうした消費者保護の動きに対し、犯罪者側では、ワンクリックではなく複数回クリックさせることで、消費者自身に「錯誤ではない」と思い込ませるための悪質な細工を施すようになったのである。また、実際に消費者が何回もクリックした場合、それが「錯誤」と認められるか否かは、最終的には裁判所によって判断されることになる。つまり、クリックした回数が増えることで、契約が無効になるかどうかの判断が非常に難しくなる可能性も出てきてしまうのである。
 もちろん、詐欺は犯罪行為であることには間違いないが、不正請求画面が表示されるまでのクリック回数を増やすことで、正当な契約と詐欺行為との区別がつかなくなるようにすることが詐欺師たちの狙いなのである。

ツークリック詐欺対策、教えます

それでは、こうしたツークリック詐欺の被害に遭わないようにするためには一体どうすればいいのだろうか。

●その1:怪しいサイト、よく知らないサイト上では不用意にクリックしないこと。

ツークリック詐欺ではとにかくクリックしたくなるような仕掛けが施されているので、そうした「誘い」に乗らないことだ。たとえ「キャンセル」ボタンが表示されても、それが罠の1つである可能性もある。様子がおかしいと思ったらブラウザを閉じてしまうのが一番だ。

●その2:もっともらしい請求画面が表示されても決してうろたえないこと。

たとえば、不正請求画面に自分のIPアドレスや契約しているISPの名前を表示して、個人を特定できているように装うケースも多いが、こうした情報は個人情報ではなく、誰でもわかるインターネット情報の1つにすぎない。ブラウザでホームページを閲覧しているだけでは個人を特定されることはないので、こうした脅しの手口に騙されてはならない。

●その3:みずから個人情報を入力しないこと。

「キャンセルするにはあなたの住所が必要です」などと、個人情報を要求してくるケースも目立つが、絶対に個人情報を入力したり送信したりしてはいけない。また、指定された連絡先に非通知設定で苦情の電話をかけたにも関わらず、「あなたの電話番号から住所がわかりました」などと脅しをかけてくるケースもあるが、これも個人を特定できたように装う手口の1つである。

●その4:こうした心構えを持った上で「セキュリティ対策ツール」を活用しよう。

図5 オンライン詐欺対策ソフトの画面

疑わしいサイトを検知すると警告を発し、被害を未然に防ぐことができる

疑わしいサイトを検知すると警告を発し、被害を未然に防ぐことができる(資料提供:セキュアブレイン)

スパイウェアなどに感染しないように、コンピュータウイルス対策ツールなどをインストールしておくことは当然だが、それ以外の対策として、ワンクリック詐欺やツークリック詐欺を瞬時に検知して自動的にブロックしてくれるオンライン詐欺対策ソフトを導入するという方法もある。このタイプのソフトを導入すると、危険なWebサイトで個人情報の入力操作を行う前に、また、料金請求の詐欺画面が出る前に、画面を遮断して警告画面を表示してくれるようになり(図5)、被害に遭う危険を回避できるようになる。






取材協力 : 株式会社セキュアブレイン

掲載日:2009年4月 1日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2007年09月05日掲載分

検索

このページの先頭へ