Pocket

※任意団体SPREAD当時に公開されたコラムです。

IPA セキュリティセンター 調査役 加賀谷 伸一郎氏

SPREADの特別会員IPA(独立行政法人 情報処理推進機構)セキュリティセンター加賀谷さんのセキュリティコラム連載2回目です!
加賀谷さんのおもしろセキュリティ話は次回も続きます!お楽しみに! happy02

あなたは大丈夫?「ワンクリック請求」の実態

皆さんこんにちは。コラム連載2回目の今回は、連載1回目でチラっとネタ出しした「ワンクリック請求」について、詳しくツッコんで行きたいと思います! 「ワンクリック請求」とは、「パソコンでアダルト(動画)サイトを見ていて、無料だと思って先へ先へとクリックして進んで行った末に、いつの間にか有料サイトに登録されたことになってしまい、高額の料金を請求される」というものです。この手口の歴史は古く、2004年頃には「登録しますか? はい」のボタンを1回クリック(ワンクリック)しただけでその後の再確認もなく、いきなりアダルトサイトに会員登録された、との事例が報告されていました。その後、年齢確認・登録確認・登録最終確認、といったように、複数回クリックさせる手口が常套化しましたが、IPAではそのルーツである「ワンクリック」という呼び名を継続して使用しています。パソコンだけでなく、従来型の携帯電話(いわゆるガラケー)でも、同様の手口に引っ掛かってしまう利用者もいました。

2005年になると、ウイルスを悪用する手口が出現しました。ワンクリック請求サイトを見ていてウイルスに感染してしまうと、なんと、数分おきにパソコン上に「有料アダルトサイトのご利用ありがとうございます」などというウィンドウが出現し、何度消しても出現し続けることになります。最近の例では、「支払期日まであと○○時間△△分□□秒」などとカウントダウン表示も出て来るため、当事者としては焦りまくってしまうようです。そして、無視しようにも無視できなくなり、泣く泣く料金を支払ってしまうことになるようです。IPAに寄せられた相談の中には、一家の大黒柱であるお父さんが家族で共用しているパソコンでワンクリック請求サイトの罠に引っ掛かってしまい、家族にバレるのを恐れるあまり、すぐにお金で解決した・・というものもありました。他の事例では、お父さんが仕事を終え帰宅後、家族が寝静まった後にワンクリック請求の罠に引っ掛かってしまいそのまま放置、翌朝、奥さんがパソコンを起動したらアダルトサイトの料金請求画面が出て来てびっくり!というものもありました。

「ワンクリック請求」の被害は、かれこれ10年近く続いており、今もなお多くの相談がIPAに寄せられます。一頃よりも少なくなったとは言え、2013年は合計3287件の相談がありました。なぜ、被害は無くならないのでしょうか。その謎に迫りたいと思います。

colum2014apr001-thumb-500x333-524

ワンクリック請求サイトに行ってしまう原因としては、IPAに寄せられる相談から推測するに、Yahoo!やGoogleなどの検索サイトで「アダルト」などという単語で検索し、その検索結果からクリックしてたどり着くケースが多いものと思われます。悪質なアダルトサイトばかりではありませんが、残念ながら悪者はこうした利用者の行動を先読みして罠を用意しています。サイト運営業者側では、検索結果の上位にランクされるように、SEO対策などを実施しているようです。よって、検索結果を上から順にクリックしていくような人は、引っ掛かってしまう可能性が高まります。ただ、アダルトサイトに行ってしまったら、即登録完了になる訳ではありません。

検索結果の上位に並ぶワンクリック請求サイトは、いわゆるポータルサイトとなっており、様々なワンクリック請求サイトへの入口になっています。そこには、「無料」の文字があり、小さなサムネイル画像とともに、たくさんのサイトが紹介されています。中には、エッチなアニメーションGIF画像が貼り付けられているため、より強く視覚的刺激を受けてしまい、思わずクリックしたくなることでしょう・・ サムネイル画像をクリックすると、ワンクリック請求サイトにジャンプします。そこには、YouTube風の動画再生ページが表示されていることがほとんどであり、もはや「無料」の文字はありません。再生ボタンをクリックすれば、アダルト動画が再生される・・と思いきや、まだやることがあります。そう簡単には、アダルト動画は観られないのです! 多くの場合、「20歳以上ですか?」「利用規約を読みましたか?」という設問とともに、大きく「はい」「いいえ」ボタンがあります。実は、利用規約をよく読むと、そこには「有料サイトである」旨が書かれています。このように、サイト運営業者側ではあたかも「詐欺サイトではないよ」と主張しているようです。こうして正しいサイトであると装うやり方が、ワンクリック請求サイトが駆逐されない理由の一つではないかと思われます。なぜなら、違法性があると判断し得る材料がほとんど無いからです。利用者としては、利用規約をよく読めば被害を未然に防ぐことができますが、残念なことに、ほとんどの利用者は読まずに、安易に「はい」をクリックして先に進んでしまうようです。そりゃぁ、皆さん、早くアダルト動画を観たいからですね!

colum2014apr002-thumb-400x266-527

「はい」をクリックした結果、何かファイルをダウンロードする画面になります。実はこれはウイルスをダウンロードしようとしている「セキュリティの警告」画面なのですが、ほとんどの利用者は、あれこれ焦らされてようやく出てきた画面に、「やっとアダルト動画キタ━━(゜∀゜)━━!!!!」とばかりに、何の迷いもなく「実行」ボタンをクリックしてしまうようです。この「焦らし」も、利用者の注意を散漫にするためのテクニックではないかと推測します。「実行」ボタンをクリックした結果、ウイルスによってパソコンの設定を勝手に変えられ、数分おきに料金請求画面が出現することになってしまいます。しかしながら、この後、実際にアダルト動画が観られるようになるのです! つまり、お金だけ取って何も観られない詐欺サイトではないよ!ということです。ここまで来ると、まんまと罠にハマってしまった利用者は、自分がたどって来た道を初めから再度確認するようです。その結果、「あ、利用規約読めって書いてる」「あぁ、ここに有料って書いてあるじゃん」と、考えれば考えるほど自分が悪いように思えてくるのではないでしょうか。そのため、観念してお金を払ってしまう利用者が後を絶たない、という仕掛けです。お金を払うと、料金請求画面が出て来なくなる、という、相談者からの声もありました。IPAでは詳細まで調査していませんが、サーバー側で、何らかの形でしっかりと利用者管理をしているようです。

10年経ってなお無くならないこの手口。理由について、まとめてみます。

・こうした手口があるということについて、周知がいまいち行き届いていない
・利用者がたどるであろう道に先回りされて罠が仕掛けられている
・当該アダルトサイトについて、明らかな違法性を問うだけの材料に欠ける
・アダルトのネタである上、利用者が焦らされて注意散漫にさせられる
・お金を払ってしまう人がいる

サイトが閉鎖されない限り、利用者側で防衛する必要があります。IPAに寄せられる相談では、圧倒的に「こんな手口があるとは知らなかった」というものが多いです。中には「長年勤めた会社を定年退職し、退職金で念願の自分専用のパソコンを買った。インターネット回線も新規で契約。自宅でインターネットにつないだ初日に、『アダルト』と検索して・・料金請求画面が消えなくなりました」という、笑うに笑えないものも珍しくありません。引っ掛かってしまうのは、永遠の初心者。そういった人たちに、被害に遭う前に注意喚起情報を伝えたい。IPAでは、継続してワンクリック請求問題に向き合っていきます。

※SPREADサポーター向けメールマガジンのコラムとして書かれたものをWebに掲載しています。

SPREAD事務局より
アダルトサイトをめぐる被害はまだまだ多いという実態がよくわかりましたね。もちろんワンクリック請求はアダルトに限らないので、女性であっても注意が必要です!もしワンクリック請求にひっかかってしまったら。まずは近くの情報セキュリティサポーターに相談してみてください!happy01