有名ブランドが”無料”で商品を提供する、と謳う魅力的なオファーを目にしたことはありませんか?
数ドルの商品の送料を支払って、短いアンケートへの回答をお願いされるだけで、一見すると無害に見えますが、実は、これ危険なフィッシング攻撃です。
KnowBe4 Threat Labは、偽のアンケートを使って金融情報を盗み取るフィッシングキャンペーンを追跡しています。最初の損失は商品送料の数ドルに見えるかもしれませんが、実際の被害ははるかに大きくなるおそれがあります。
攻撃の始まり
上の例は、AAAになりすまし、受信者に「無料」の緊急車載キットを進呈すると謳うアンケートです。メール内のリンクをクリックすると偽サイトに誘導され、短いアンケートへの回答と少額の送料の支払いを求められ、「報酬」を受け取れる、となっています。
以下はUnitedHealthcareとCostcoを装った事例です。UnitedHealthcareの例は、初回のフィッシングメール内のリンクをクリックした受信者が遷移するWebページのスクリーンショットです。
数ドルの手数料が大きな被害へ
少額の手数料を支払うためにクレジットカード情報を入力すると、数ドルを失うだけでは済みません。攻撃者に、支払い情報、氏名、住所などの個人情報をそのまま渡してしまうことになります。この情報は次のように悪用されます。
・不正請求:カードが不正に利用されます。最初の「送料」よりはるかに高額な請求や、身に覚えのない定期課金が発生することがあります
・なりすまし被害:提供した個人情報と決済データを組み合わせて、新たなクレジット枠の開設、アカウントへの不正アクセスなどなりすましに悪用されます
・情報の転売:情報がダークウェブで商品として売買され、将来の攻撃や不正に次々と利用される可能性があります
この攻撃が人間心理につけ込む理由
この手口は技術的に巧妙なだけでなく、人の心理を巧妙に突いています。これは”Foot-in-the-door” (フット・イン・ザ・ドア)手法と呼ばれ、「たった2ドルだから大したことはないだろう」と考えてしまい、通常なら働くはずの警戒心が弱まる人間の心理的な仕組みを利用しています。一度小さな取引を行うと、最後まで完了し、情報を差し出してしまいやすくなります。
アンケート自体にも、ユーザーを離れさせない工夫が仕込まれています。
・緊急性と希少性:カウントダウンや「残りわずか!」などの表示で焦らせ、考える前に行動を取るように促します
・信頼と権威:人は信頼できる権威やブランドの主張を、十分に吟味せず鵜呑みにしがちであるため、有名ブランド名を悪用し、権威バイアスを誘発します
・投下労力:いくつかのプロセスを必要とすることで「ここまできたから最後まで」という感覚を与えます
自分を守るために
たとえ信頼しているブランド名が使われていても、”うますぎる”話には慎重になってください。本当に無料の特典であれば、クレジットカード情報の入力を求めることはほとんどありません。メール内のリンクは開かず、企業の公式サイトで真偽を確認しましょう。いわゆる「無料」ギフトの代償は、送料よりはるかに高くつくことがあります。
原典:Bex Bailey著 2025年8月22日発信 https://blog.knowbe4.com/the-hidden-cost-of-free-gifts-how-survey-scams-are-evolving-to-steal-financial-data