フィッシング
身近にある投資詐欺の落とし穴 ‐SNSから架空取引サイトへ誘導する手口を調査
トレンドマイクロでは日常的な監視の中で、SNS上の広告やメッセージから当選詐欺や不審な投資話、アルバイト話などに誘導される事例を観測しています。今回はこのようなSNSからの不審な誘導の中でも、投資に関する誘導についての調査結果について報告いたします。調査の中では、トレンドマイクロが占有する住所を詐称するサイトを発見するなど、明らかに不正な取引サイトが多数確認できました。
トレンドマイクロでは、SNS上の広告やメッセージから不審な投資話に誘導される事例を確認しています。また、そこで紹介される暗号資産やFX(外国為替証拠金取引)の取引サイトは、架空の疑いがある不審なサイトであることも確認しています。折しも、このような架空の疑いがある不審な取引サイトを使った投資詐欺について、海外では新たに「Pig Butchering Scam」という呼称で警告が行われています。日本語では「養豚式投資詐欺」とも「食肉解体詐欺」、「屠殺詐欺」とも訳されるこの詐欺は、実体のない取引サイトや取引アプリ上であたかも被害者が儲かっているように見せかけ、さらに多くの資金を投入させて最終的にすべてを巻き上げるという手の込んだ詐欺です。これまで国内ではロマンス詐欺(出会い系詐欺)などから投資詐欺に誘導されるような事例が報告されていますが、SNS上の不審な投資話からもこの「Pig Butchering Scam」のような巧妙な投資詐欺に誘導される危険性があります。今回の調査では、以下のような実在の証券会社や銀行を偽装したFacebook広告を確認し、これを起点として調査を進めました。
※本記事内で言及しているFacebook、LINE及びアプリなどに関する調査は、当社サイバーセキュリティリサーチの専門家が行っています。調査にあるような不審なサイトなどへのアクセスはお控えください。
FacebookからLINEへの誘導
このような広告では、主にLINE経由で情報が配信されるとされています。紹介されたLINEアカウントを友達登録すると、次に投資に関するLINEグループに参加するよう持ち掛けられます。
勧誘されたLINEグループ上では、指南役の人物やそのアシスタントなどと称する人物などを中心に、実際に投資に関する話題がやり取りされているように見えます。
ただし、調査のため複数の同様な投資グループ上のやり取りを注視すると、異なるグループの別々のアカウントからほぼ同じ内容の投稿が行われているなど、不審な点が確認できました。
LINEグループから取引サイトへの誘導
投資のLINEグループに参加した当初は特に不審な勧誘などはありませんが、数週間が経過したころに取引サイトを紹介するような投稿が見られるようになります。
今回の調査の中で、LINEグループから紹介された取引サイトはいずれもFXの取引サイトでした。これらのFX取引サイトは、金融庁の金融商品取引業者一覧に記載がない、米国NFA(National Futures Association、全米先物取引協会)のライセンスを持つと自称しているが実際にはNFAメンバーではない、サイト上に記載されている会社住所が明らかに詐称であるなど、すべてどこかに虚偽や詐称の疑いが持たれるサイトであることを確認しました。
※「会社所在地」が「東京都渋谷区代々木2-1-1新宿マインズタワー33階」となっているが、この住所は以前から弊社トレンドマイクロが占有しており、明らかに詐称であると断定できるまたこれに対してトレンドマイクロでは7月18日時点で注意喚起を出している.。
また、これらの取引サイトに関しては、PCやスマートフォン用のアプリが用意されており、LINEグループ上でインストールを促されることがあります。スマートフォン用アプリに関しては正規マーケットであるGoogle PlayやAppStoreから入手可能となっていました。
不審な取引サイトに対する調査
トレンドマイクロのクラウド型セキュリティ技術基盤であるSPN(Smart Protection Network)の統計から、トレンドマイクロの住所を詐称するFX取引サイトに対するアクセス数を確認したところ、6月11日にテスト的な1件のアクセスを確認した後の6月12日以降、2か月経過時点の8月11日までの間に1日平均で20人弱の日本国内からのアクセス(最大50件、最小7件)を継続してブロックしていることが分かりました。
このアクセス数自体はそれほど多くないように感じられます。しかし、調査で垣間見えたように特定のLINEグループから数週間かけて誘導されている状況と考えると、誘導される利用者が継続して発生してしまっていることがうかがえます。
また、トレンドマイクロの住所を詐称する「fultonfx<.>com」に対し調査を進めたところ、なぜかサイト内に「GOTLON INVESTMENT LTD」という別の名称の業者についてのNFA IDを示す画像が蔵置されているのが確認できました。
この「GOTLON INVESTMENT LTD」ついては、NFA IDは登録のみであり実際にはNFAのメンバーでないこと、また、昨年3月の段階で財務省関東財務局から無登録業者である旨の警告が行われている事を確認しています。これらのことから「fultonfx<.>com」は以前から活動しているサイバー犯罪者が業者の名前を変えながら継続している詐欺サイトである疑いが持たれます。
調査結果から考える国内における投資詐欺状況
今回の調査では、SNS広告を起点に虚偽の疑いが強い取引サイトが確認できました。この「fultonfx<.>com」と同じ特徴を持つ取引サイトについて調査したところ、この7~8月に稼働していたものだけでも、多数の類似取引サイトを確認することができました。
- fultonfx.com
- spresfx.com
- gatortops.com
- gatorglos.com
- cofcoffx.com
- cofcoffxs.com
- cofcofx.com
- cofcofxs.com
- cofcorp.jp
- coffxs.com
- caponefx.com
- c1fx.com
ただし、今回確認した不審な取引サイトはあくまでも一部であるものと言えます。またフィッシングなど他の詐欺サイトと同様に、古いサイトの閉鎖と新たなサイトの立ち上げを繰り返しながら活動を継続しているものと考えられます。今回の調査の中では、以前の「GOTLON INVESTMENT LTD」から現在の「FULTON FX」という取引サイトの遷移が垣間見えました。また、今回の調査の中で確認できた状況証拠からは、現在の「FULTON FX」と8月に入り立ち上がった「CAPITAL ONE FX」という別の取引サイトには、背後のサイバー犯罪者が同一など何らかの関係があるものとトレンドマイクロでは推測しています。このようにサイバー犯罪者はその姿を変化させてくることを認識し、継続した注意が必要です。
今回の調査で把握した不審な取引サイトに関して、トレンドマイクロでは具体的な詐欺被害を把握できていません。ただし状況の一端として「ネットで閲覧した広告からLINE登録したところ、アドバイザーを名乗る人物から架空のFX投資を持ちかけられた」とする今回調査した図式に近しい詐欺被害の報道や、個人の詐欺被害を訴えるWebページ、FX取引サイトの真偽を検証するWebサイトなどをインターネット上で確認しています。また占有する住所を詐称されたトレンドマイクロにも、封書や来社など利用者から取引サイト宛てと考えられるコンタクトが入っていたことを確認しています。これらの事実から、SNS上の広告から誘導される不審な取引サイトによって、国内でも相当数の被害が出ているものと推測されます。
ネット上の投資詐欺に遭わないためには
サイバー犯罪者は、ネット上のやり取りにおいて利用者を誤解させ、操ろうとします。このような投資詐欺に誘導される可能性のある手口を認識し、注意してください。投資に関するやり取りの中で取引サイトを紹介された場合は以下の点を確認してください。
- 金融庁の金融商品取引業者一覧を参照し、国内で認められた取引業者であるかを確認する
- 取引サイトがNFA IDを持つことをうたっている場合はNFAのサイトで登録を調べ、実際にメンバーであるかどうかを確認する
また、このような取引サイトを評価する一般サイトの中には、今回確認したような明らかに不審点のある取引サイトを正当なサイトであるかのように評価している例が確認できました。取引サイトの正当性を確認しようとする場合、このような不正確な評価により逆に騙されてしまう可能性もあります。まずは公的機関からの情報を参照するようにするべきでしょう。
実際にこのような不審な取引サイトに入金してしまったなどの場合には、警察の「#9110」番、金融庁の「金融サービス利用者相談室」や消費者庁の「消費者ホットライン」などに相談することをお勧めします。
またこのような詐欺被害者が、「被害を取り戻す」などと言って近づく別の業者に騙される例もあり、東京弁護士会からは弁護士を名乗る広告についての注意喚起が出ています。二重三重の被害に遭う可能性もありますので、トラブルの解決をサポートするための機関についてはインターネット上の広告ではなく、前述の金融サービス利用者相談室などで紹介してもらうことをお勧めします。