米国全土のドライバーが、「E-ZPass」などの通行料金徴収システムを装った詐欺メッセージの標的となっています。
これらのメッセージは、未払いの通行料金に対する罰金を警告し、個人情報や金融情報を詐取することを目的としています。セキュリティ専門家は、中国で開発・販売されている新しいフィッシングツールによって、これらの詐欺がより高度化していると警告しています。
最近、マサチューセッツ州運輸局(MassDOT)は、「EZDriveMA」通行料金プログラムを標的としたスミッシングキャンペーンに関する警告を発表しました。被害者がメッセージ内のリンクをクリックすると、クレジットカード情報の入力を求められるほか、場合によってはSMSや認証アプリ経由で送信されるワンタイムパスワード(OTP)の確認を求められることもあります。
MassDOTのEZDriveシステムを装ったフィッシングツールは、2025年1月10日に中国を拠点とするSMSフィッシングサービス「Lighthouse」によって提供されました。
同様の詐欺が、フロリダ州(SunPassユーザーを標的)、テキサス州(North Texas Toll Authorityを標的)、カリフォルニア州、コロラド州、コネチカット州、ミネソタ州、ワシントン州など、他の州でも報告されています。これらのフィッシング攻撃では、公式の通行料金サイトに酷似した偽のWebサイトが多く使用されています。さらに、これらのサイトはモバイルデバイス専用に設計されており、スマートフォンの小さな画面ではURLが確認しづらいため、警戒心の薄いユーザーほど、本物と信じてしまう可能性が高くなります。
SecAllianceのセキュリティリサーチャーであるFord Merrill氏によると、年明け以降、通行料金を装ったフィッシング攻撃の件数が急増しています。この増加は、中国のサイバー犯罪グループが開発した商用フィッシングキットの更新時期と一致しています。これらのキットには現在、複数の州の有料道路事業者になりすますために設計されたテンプレートが含まれています。
Merrill氏は、こうしたフィッシングキットはアンダーグラウンドマーケットで広く販売されており、より大きな詐欺トレンドの一部であると指摘しています。攻撃者は、同様の手口で、運送会社、税務署、入国管理局になりすまし、その国に来たばかりの人や、社会的に弱い立場の人を標的にするケースが多く見られます。最終的な目的は、クレジットカード情報を詐取し、それをモバイルウォレットに追加して不正な購入を行ったり、ダミー会社を通じてマネーロンダリングをしたりすることです。
これらの詐欺の被害に遭わないために、以下の対策を心がけましょう。
- 送信元を確認する:不審なメッセージ内のリンクは開かず、必ず公式の通行料金サービスのWebサイトに直接アクセスしてください。
- 多要素認証(MFA)を有効にする:オンラインアカウントにはMFAを設定し、セキュリティを強化してください。
- 口座を定期的に確認する:不正な取引がないか、銀行やクレジットカードの明細書を定期的にチェックしてください。
- 詐欺を報告する:不審なメッセージを受け取った場合は、地元の通行料金管理機関に連絡し、米連邦取引委員会(FTC)に報告してください。
これらの詐欺はますます巧妙化しているため、警戒を怠らないことが重要です。フィッシング詐欺の手口を理解し、適切な対策を取ることで、自分自身と個人情報を守ることができます。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Krebsonsecurityの記事を参照してください。
原典:Stu Sjouwerman著 2025年1月27日発信 https://blog.knowbe4.com/beware-of-toll-scam-texts-how-cybercriminals-are-targeting-u.s.-drivers