大企業のセキュリティエンジニアなのに詐欺にだまされかけた話

大手決済サービス・Stripeでセキュリティエンジニアを務めているロバート・ヒートン氏が、詐欺について豊富な知識を持っているにもかかわらずクレジットカード詐欺にだまされかけてしまった経験談と、そこから得た教訓を語っています。

I'm a security engineer and I still almost got scammed | Robert Heaton
https://robertheaton.com/almost-scammed/

ヒートン氏が詐欺の被害にあう寸前に陥った事件のきっかけは、ヒートン氏の携帯電話に知らない電話番号からの不在着信が2件入っていたことです。電話番号を検索すると、口座を持っている銀行の番号だったことから、「きっと私のクレジットカードが詐欺に使われたというような連絡だろう」と考えたヒートン氏は、家に帰ってからクレジットカード会社に確認しようと考えました。

その10分後、また匿名の電話がヒートン氏の携帯電話にかかってきたので、「おそらく銀行の電話だから、ここでこの話を片付けてしまおう」と考えてヒートン氏は電話を取りました。このことをヒートン氏は、「これは間違いでした。無視するべきだったのです」と振り返っています。

電話を取ったヒートン氏に、相手は「私は銀行の詐欺部門のバリーです。あなたの口座に不審な動きがあったのでお電話しました」と切り出しました。本来なら、この電話を切ってクレジットカード会社にかけ直していたヒートン氏ですが、面倒な話をさっさと片付けたいという誘惑に負けて話を続けてしまいました。

その後、15分間以上話してバリーのさまざまな質問に答えたり、バリーが送ってきた確認コードや自分の身元を証明するためのテキストメールを確認したりする中で、ヒートン氏は「引っかかるところがある」と感じましたが、詐欺だとの確信には至りませんでした。

そんなヒートン氏が詐欺を見抜くことができたのは、Apple Payのコードを求められた時です。元からApple Payを利用していなかったヒートン氏は、クレジットカードとApple Payの紐付けを外すとの説明に従い確認コードを読み上げようとしましたが、そのコードは「Apple Payからクレジットカードを削除するコード」ではなく「クレジットカードを追加するコード」でした。このことから、相手がヒートン氏のクレジットカードを自分のApple Payアカウントに登録しようとしていることを見抜き、ヒートン氏は間一髪のところで詐欺の被害を回避しました。

バリーを名乗った詐欺師の手口について、ヒートン氏は「バリーはハッカーから私の名前、住所、電話番号、カード番号を買い取りましたが、私のカードは買い物の度に認証コードが必要なように設定してあったので、バリーは私に電話をよこしたのでしょう。そして、長々と偽の質疑応答をして私の警戒心を解き、『もうこんな面倒は早く終わらせたい』と思わせ、確認コードを読み上げるのに慣れさせたのです」と分析しました。

その上で、危うく詐欺にだまされかけた経験から得た教訓について「途中で気づくチャンスがありましたが、私はプレッシャーと怠慢からミスを重ねてしまいました。ミスに強いシステムを設計するのはセキュリティエンジニアの仕事ですが、それでも最初の防衛線として、初歩的な対策を怠らないことが重要です。つまり、銀行やクレジットカード会社を名乗る怪しい電話はいったん切って、クレジットカードの裏面に書いてあるような正しい問い合わせ先にかけ直すべきだということです」とまとめました。