電子契約サービスを使っている人は注意！ 「Googleドライブ」悪用で検知回避するネット詐欺の手口

　最近、電子契約サービス「DocuSign」をかたり、オンラインストレージ「Googleドライブ」を悪用したフィッシングメールが増えています。業務上の取引を装ってビジネスパーソンを狙う「スピアフィッシング詐欺」にも利用されているネット詐欺です。

　筆者宛に届いたメールの件名は「You received invoice from DocuSign Electronic Service」となっており、「請求書にサインしてください。このメールは自動送信されています」と書かれています。

　メール内にある「VIEW INVOICE」というボタンにフィッシングサイトのURLのリンクが貼られているなら、セキュリティ機能が検知して警告を発してくれるかもしれません。しかし、今回のネット詐欺では、このURLにはGoogleドライブのファイルにリンクされているのです。そのため、迷惑メール除去機能で検知されないことがあります。

請求書を確認してサインを要求してくるメールが届きます。これはフィッシングメールの画面です

こちらが、日本語版の正式メールです。見た目で判別するのは難しいでしょう

　このファイルはGoogleドキュメントになっており、フィッシングサイトへのリンクが貼られています。DocuSignを普段から利用している場合はクリックしてしまう可能性が高く、フィッシングサイトの画面にIDとパスワードを入力してしまうことでしょう。

　これは特定の企業をターゲットにするスピアフィッシング詐欺として有効な手口です。サイバー犯罪者は、セキュリティ機能をすり抜けて、従業員へフィッシングメールを送ります。電子契約業務を行っている担当者であればだまされる恐れもあります。

　もし、仕事で使っている電子契約サービスのアカウント情報が漏えいしてしまえば、大きな被害を被る可能性があります。管理画面から過去の契約書や契約相手を確認できるので、ネット詐欺を仕掛けようとすればいくらでも方法が考えられます。契約書が外部に漏えいしたら、契約相手から訴えられてしまうこともあるでしょう。

　なお、今回送られてきたメールのリンク先ですが、さほど時間を開けずに開いてみたものの、ファイルが削除されていたり、利用規約違反でGoogleにアカウントがロックされていました。

メールのリンク先はGoogleドライブ上のGoogleドキュメントでした。このメールの場合はすでにGoogleが対処済みでアクセスできない状態になっていました

　DocuSignでは自社サイトのサポートページでフィッシング詐欺を見破る方法を公開しています。

　DocuSignをかたる不審なメールにセキュリティコードが記載されている場合、自分で検索してアクセスしたDocuSignのウェブサイトで同コードを入力して確認する方法が紹介されています。

　実際に筆者宛に届いたフィッシングメールに記載されていたセキュリティコードを入力したところ、無効と表示されました。当然でたらめなわけです。

　セキュリティコードが記載されていない場合は、メールに記載されたリンクやボタンを押さないように注意してください。

フィッシングメールに書いてあるセキュリティコードをコピーしてみます……

正規のウェブサイトでセキュリティコードを入力して検索すると、でたらめであることが分かりました

　この事例を肝に銘じて、電子契約に関するメールには注意するように心掛けましょう。とはいえ、この手のメールをネット詐欺だと決めつけてスルーしていると、正規のメールを見逃すこともあります。筆者も一度、正規の電子契約のメールを迷惑メールとして反射的に登録してしまい、イギリスでウイスキーの樽を買い付けた契約が期限切れになってしまったことがあります。

　電子契約に関するメールを受け取ったら、メールに記載されたリンクからではなく、正規のウェブサイトからアクセスするようにしましょう。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。