愛媛県四国中央市で、携帯電話の「ウイルス感染」や「サイバー攻撃」をでっち上げ、補償をうたう保険加入を持ちかけて現金をだまし取る手口により、1050万円の被害が報じられました。
典型的なテクニカルサポート詐欺に、「保険」というもっともらしい名目を掛け合わせ、支払いを高額化させるのが特徴です。
企業の情シス視点では、個人のスマホ被害に見えても、BYOD端末・業務用スマホ・個人メールの乗っ取りを起点に、社内アカウント侵害や送金詐欺へ波及するリスクがあります。
「不安と焦りを作り、相談させずに即断させる」構造は、従業員を狙う各種詐欺の共通点です。
今回の核は、マルウェアの高度さではなくソーシャルエンジニアリングです。「感染した」「このままだと口座が危ない」など、反証しにくい言葉で判断力を落とし、通話継続と支払いに誘導します。
よくある導線は、SMS・広告・SNS・偽警告画面から連絡させ、権威(サポートセンター、保険会社、公的機関)を名乗って信用させる流れです。
危険度が高いのは、遠隔操作アプリや画面共有の導入、ネットバンキング操作の「手伝い」です。本人操作に見せかけて送金を完了させたり、認証コードを聞き出したりします。
CVE悪用のような脆弱性起点ではないため、パッチ適用だけでは防げません。組織としては「通話・操作・送金」の行動を止めるルール化が最優先です。
被害は高額化しやすく、今回は「保険加入」を名目に現金が詐取されています。保険は生活者に馴染みがあるため、支払いの正当化に使われやすい点が要注意です。
企業では、従業員の個人端末が侵害された場合、メールやSMSの奪取、ID・パスワードの再利用、MFAの突破(認証コードの詐取)により、業務SaaSや社内メールに波及する恐れがあります。
さらに、経理・購買担当者が同様の心理誘導を受けると、社内の送金プロセスをすり抜ける「緊急」「内密」案件として処理され、ビジネスメール詐欺(BEC)に近い形で金銭被害が発生します。
二次被害として「返金手続き」「補償申請」を名目に追加送金を要求されるケースも多く、初動が遅れるほど回復が難しくなります。
明日からの実務として、まず社内向けに「ウイルス・保険・支払いが出たら通話を切る」を統一ルール化し、相談窓口(情シス/CSIRT/総務)への連絡導線を周知してください。
次に、送金・支払いの社内統制を見直し、「一定額以上は第三者承認」「電話やチャットで急がされる案件は停止」を手順に落とし込みます。加えて、MFAコードの共有禁止、遠隔操作アプリ導入禁止(業務端末)を明文化します。
モバイル管理(MDM/MAM)がある組織は、業務プロファイル外アプリの制限、画面共有・リモート操作アプリの検知、ブラウザ通知許可の抑制を検討してください。BYODの場合も、業務データ領域の分離と条件付きアクセスを優先します。
最後に、インシデント時の初動手順(通信遮断、アプリ削除、パスワード変更、金融機関連絡、証跡保全)を1枚にまとめ、定期訓練に組み込みます。本物のサポートは「急がせて払わせない」ことを合言葉に、行動を止める設計へ寄せるのが最も効果的です。
