電子渡航認証システム(ESTA)詐欺

ESTA詐欺

米政府は去年、ビザ免除プログラム対象国の全国民にオンライン登録を義務化する法律を通過させました。このビザ免除プログラムは、EU加盟国のほか、スイス、日本、韓国、シンガポールなどの国民が利用できるものです。登録は、米国に入国する72時間前までに行う必要があります。また、この登録は、米国土安全保障省公式Webサイトhttps://esta.cbp.dhs.govのオンラインフォームでしか行えません。現在、登録は無料で、一旦登録すれば渡米回数にかかわらず2年間有効です。この度、このシステムを利用したオンライン詐欺を確認しましたので、報告します。

旅行促進法(TPA: Tourism Promotion Act)の一貫として、2010年9月8日から、ビザ免除プログラムを利用するすべての旅行者に、入国審査用紙記入代として14ドルが課されます。このうち、10ドルが米国以外の地域に向けた米国観光推進キャンペーンに使用され、残り4ドルが管理手数料となります。

クレジットカードでの申請・支払がオンラインで行われるという点に目を付けたサイバー犯罪者は、早速このプログラム変更を悪用しました。過去には、グリーンカード申請に関して、同様の詐欺が確認されたことがあります。マカフィーの調査で、この2つの詐欺には関連性があり、同じグリーンカード詐欺組織がESTA(ESTA: Electronic System for Travel Authorization)料金詐欺を行っている可能性が高いことが判明しました。

McAfee Labsの調査によると、「ESTA」、「ESTA form(ESTA申請書)」、「ESTA online registration(ESTAオンライン登録)」で検索すると、ほとんどの検索結果は詐欺サイトに誘導される結果となりました。また、ほとんどのスポンサー広告も同様に、詐欺サイトに誘導されていたことも明らかになりました。

このようなWebサイトには、大きく3つ種類が確認されています。

1つ目は、申請書の記入代行サービスを提供するサイトです。ただし、30~250ドルと費用は高額です。それでも、ユーザーはオンライン登録を済ませられるため、このようなサービスは無害とも思えます。最大のリスクは、個人情報が第三者の手に渡ることです。スパムメールなど、要求していない接触方法を招きかねません。ユーザーが、住所や、家を留守にする時期という情報を提供していることから、最悪の場合、申請者本人の旅行日を伝えることで、なりすまし詐欺に陥る可能性もあります。

2つ目は、個人情報を取り込むよう最初から設定されているサイトがあげられます。この種のフィッシング詐欺は、よくある銀行関連のフィッシング詐欺と良く似ています。銀行情報やクレジットカード情報に次いで、ユーザーは生年月日、パスポート番号、連絡先などの個人情報を入力し、既往症、前科、スパイ活動や戦争犯罪に関する情報といった米国入国時に必須の質問に答えなければなりません。これらのサイトは、見方を変えれば、家族旅行の場合に家族全員の情報も入手するために作られたものであるといえるでしょう。

ESTA登録関連詐欺サイトの3つ目のタイプは、申請ガイドや用紙のダウンロードを提供するサイトです。こうしたダウンロード用フォームは、マルウェアといえるでしょう。このようなサイトからは、決してダウンロードしないで下さい。ESTA申請用紙はWebベースのアプリケーションであるため、申請書のダウンロードは不要です。

これらすべてのサイトに共通しているのは、いずれも公式の官庁サイトを偽装しているという点です。中には、日本語、ドイツ語、フランス語など各言語で利用できるものもあります。あるESTA関連のフィッシング詐欺サイトを調べたところ、12カ国語が用意されていました。こうしたWebサイトは、典型的なアイコンを使用したり、安全な官庁サイトへのリンクや、プライバシーとサービスに関する規約の権利放棄について長文の条項を掲載したりすることで、信憑性のあるサイトを偽装します。中には、個人情報を盗む詐欺サイトや、サービス利用にあたって大金を取る詐欺サイトに用心するようユーザーに警告しているサイトも存在しています。

警告:第三者Webサイトを介した申請は、ESTAに関する規則を順守していない可能性があります。あなたの個人情報を収集して申請を代行すると称する詐欺サイトに、ご注意ください。渡航認証の本人申請は、申請書が正しく提出されたことを完全に確認する唯一の方法です。ESTA渡航認証が無効な旅行者は、米国税関・国境警備局に入国を拒否されます。下の申請ガイドをダウンロードして、今すぐESTAの本人申請を行ってください。

ESTAを登録できるサイトは、米国土安全保障省公式サイトhttps://esta.cbp.dhs.govのみです。この安全な官庁サイトには、重要な情報が掲載されています。ビザ免除プログラム対象国の言語22カ国語も用意されています。この入国審査用紙のために、第三者のサービスを使う必要はありません。このようなサービスを提供している他のサイトはいずれも、高額費用請求、個人情報盗難、あるいはマルウェア拡散の詐欺といえるでしょう。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Fraud Strikes U.S. Travel Authorization Agency

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速