このページの本文へ

ESET/サイバーセキュリティ情報局

PayPalユーザーを狙った悪質な詐欺から身を守る方法・注意点

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「PayPalユーザーが悪質な詐欺から身を守る方法とは?」を再編集したものです。

 PayPalは、オンライン決済プロバイダーとしてメジャーであり、オンラインマーケットプレイスやオークション・サイト、あるいは小売店などの決済処理を担っている。マイクロソフト、Google Play、PlayStation Store、イケア等が、このプラットフォームを採用する企業として知られる。

 PayPalは極めて高い人気を誇り、3億6,100万人のアクティブ登録ユーザーが、年間で1アカウントあたり約40回の取引を行うほどだ。しかし、その人気の高さゆえに、手っ取り早く稼ぎたいと考えるサイバー攻撃者や詐欺師のターゲットになるリスクがある。

よくある被害事例

 決済ソリューションは、フィッシング攻撃によるなりすましの被害が最も多い分野である。なかでもPayPalを模した偽のWebサイトは、サイバー攻撃者が用いる一般的な手法の一つだ。例えば、攻撃者は、偽装したアカウントでユーザーにメールを送信し、アカウントで異常な操作がなされたことを警告する。そして、すぐにアカウントを保護するよう呼びかける。この偽のEメールには、PayPalを真似たフィッシングサイトへ誘導させるリンクが埋め込まれているという仕組みだ。

図1:フィッシングメールの例

 ↓↓↓↓↓↓↓↓↓ 図1の翻訳文 ↓↓↓↓↓↓↓↓↓

 件名:新しいデバイスからのログイン
 本文:
 あなたのPayPalアカウントで普段とは異なるアクティビティが検出されました。認証されていないアクセスがなされた可能性があります。

 あなたのPayPalアカウント(メールアドレス)に新しいWebブラウザーまたはデバイスからアクセスがありました。

 ログインの詳細
 Windows
 2019年12月15日
 Chrome 65.0

 PayPalアカウントにログインし、本人確認のステップを完了してください。アカウントを保護するため、必要なステップを完了するまでの間、アカウントは制限されます。

 PayPalは、あなたのアカウントにかかわるセキュリティを最優先に考え、保護するための対策を行っています。

 本人確認を進めるには、こちらをクリックしてください。

なぜ、このEメールが送信されたのか?

 私たちはセキュリティを重視しています。そのため、普段とは異なるデバイスやブラウザーからログインがあった場合、それを通知しています。今回のログインでは、あなたが以前に同様のデバイスやブラウザーを使った履歴があるかどうか、確認ができませんでした。今回の通知が届いたのは、新しいデバイスやブラウザーから初めてログインする場合、ブラウザーのプライベート・ブラウジング・モードからログインした場合、クッキーを消去した場合、他の誰かがアカウントにアクセスした場合などが考えられます。

 PayPalセキュリティチームより

 ↑↑↑↑↑↑↑↑↑ 図1の翻訳文 ↑↑↑↑↑↑↑↑↑

 サイバー攻撃者は、アカウントの認証情報を聞き出そうとするのに加えて、ターゲットから氏名、住所、クレジットカードやデビットカードの番号、さらには銀行口座の認証情報やEメールのログイン情報までだまし取ろうとする。言うまでもなく、これらの情報が盗まれると、なりすまし、振り込め詐欺、不正な取引、銀行口座からの金銭の引き出し、といった被害につながってしまう。

 しかし、フィッシングメールは、詐欺における氷山の一角に過ぎない。過去にはサイバー攻撃者が、慈善団体や救助団体になりすまして偽の請求書を送りつけるケースがあった。しかも、この偽の請求書には悪質な操作がなされている。被害者が受け取った通知はPayPalから送られており、その請求書は被害者のPayPalダッシュボードに表示されていたのだ。PayPalは問題の調査を開始し、報告された不正な請求書を削除したと報じられた。

 さらに、よく見られる詐欺の手法として、宝くじや賞金の当選を装った詐欺や先払い詐欺が挙げられる。宝くじを悪用した詐欺の場合、被害者はくじに当選した旨を通知されるが、賞金を受け取るには手数料を支払う必要があると伝えられる。しかし、被害者はくじを購入しておらず、したがって何も得られることはない。詐欺師だけが手数料を得られる仕組みだ。

 先払い詐欺も似ているが、被害者は賞品を獲得する代わりに、消息不明の親戚や償還を求める裕福な実業家からの遺言の受益者だと告げられる。これらの詐欺は、ナイジェリア詐欺または419事件として知られ、存在しない「相続」をするために、訴訟費用や税金、賄賂などの費用を送金するよう被害者に迫るものだ。

PayPal詐欺から身を守るには

 PayPalアカウントを守る方法はいくつかあるが、最も簡単で初めに行うべきものとして、公共のWi-Fiネットワークや信頼できないネットワークに接続している際は、アプリを一切使わないことが挙げられる。サイバー攻撃者は、保護されていない公共のネットワークを悪用し、機器に侵入して送信中のデータを改ざんする場合がある。

  また、複雑なパスワードやパスフレーズの効果を侮るべきではない。サイバー攻撃から身を守る防壁となってくれるからだ。パスワードを再利用したり、機器にテキストで保存したりといった、避けるべきよくある間違いは見直す必要がある。ゼロから複雑なパスワードを生成するのが手間に感じるなら、パスワードマネージャーが役に立つだろう。

 さらにセキュリティを強化するために、二要素認証(2FA)を導入するべきだ。PayPalは2つの選択肢を用意している。1つはPayPalセキュリティキーと呼ばれ、ログインの際に都度生成されるユニークなコードであるワンタイム・ピン(OTP)をテキストメッセージで送信して認証する方法だ。もう1つの方法は、機器に導入した二要素認証のアプリをPayPalのアカウントに接続する方法がある。二要素認証のアプリはいくつか公開されているので、自身の用途に応じて選択してほしい。

 スマートフォンからPayPalを利用しているなら、4~8桁のPINコードでアプリを保護したり、指紋などの生体認証を追加することでセキュリティを高める手段もある。忘れてはならないのが、十分な機能を備えたセキュリティ製品を利用しているデバイスにインストールしておくことだ。これらを導入することでさまざまな攻撃から機器を保護できる。製品によっては、金銭に関する操作を行う決済や銀行のアプリに対し、さらにセキュリティ強化が可能だ。

おわりに

 決済を行う上で、PayPalは安全な手段の1つであることは変わりがない。しかし、金銭を扱うプラットフォームを利用する際は、苦労して稼いだ金銭をだまし取ろうとする詐欺から身を守るため、特に注意する必要がある。適切にサイバーセキュリティ対策を講じ、セキュリティツールを導入しておけば、それらが悪質な詐欺やトラブルから身を守ってくれるだろう。

カテゴリートップへ