結局は「人」の問題

先日、某大手カード会社から再発行されたクレジットカードが届いた。ネット上で不正利用されたためである。だが、このカードは本来ネットショッピングで使用するものではなく、街のお店やコンビニでポイントを稼ぎやすいというのが売り文句の企画ものであった。そのため、カード会社の方も「海外Amazonへの支払い」というこのカードの利用履歴から、ほぼ間違いなく不正利用であると確信し、わたくし宛に何度もメールなり電話で確認のコンタクトを取っていたのだが、連絡を受けた側からしてみれば「見慣れない電話番号」と「カード会社からの警告メール」に対して不信感を抱くのは当然の流れである。

特に、この「カード会社からの警告メール」というのが、現在、特殊詐欺の一環として、警察をはじめとするサイバーセキュリティサイドから、被害拡大の注意喚起が行われている、まさに「対象そのもの」だからである。重篤な内容、過度な即時性で相手にまともな判断を鈍らせ、まんまと個人情報を浚っていくのが狙いだ。これまでとちょっと違うのは、オンライン上で個人情報やら暗証番号を入力させて抜き取るといった、いわゆるフィッシング詐欺ではなく、スマホやPC上である特定の操作をさせたり、電話(主に国際電話)を掛けさせたりする、といったレトロな手口で仕掛けてくる、というところだ。

まぁ、そんな詐欺メールの効果などどうでもよいのだが、厄介なのは、こうした警告メールが実は「本物」だった場合である。「警告メール」という体で発信されると、顧客側からしてみれば「また例の詐欺メールか」とまともにとりあうこともなく、人によっては即「迷惑メール」へとフォルダ分けして、本文など見向きもしない、という人も少なくないだろう。今回のわたくしの場合も、再三「利用履歴を確認してください」とメールを送ってきたわけだが、このメールの文中ですら「なりすましに気を付けてください」との記載があるのだから、「一体どっちなんだ！」と何を信じていいやら、もはやカオスな世界である。

で、最後に決め手となったのは「封書」であった。それも利用明細が入っていた訳でもなく、公式サイトとは別の「不正利用確認専用のページ」を促すQRコードを記載した紙だけが入っていた。実際にアクセスしてみると、「この利用履歴に心当たりがある Yes/No」だけを答えるのみであった。後でわかったことだが、どうもその回答が来るまでカード利用をロックしていたらしい。回答がYesなら即ロックを解除するが、Noなら再発行したカードが届くまで利用することが出来ない。ここ最近そのカードを使っていなかったので、こちらもロックされているなんてまったく気づかなかった。余計な個人情報を入力することなく、二択の回答だけでことは進んだ。

ネットショッピングはおろかWeb上の操作などでも一切入力したこともないのに、どこでどうカード情報が盗まれたのかはまったく心当たりがない。一応、タッチ決済のできるICカード(今時、磁気部分でのスキミングとかやってんのかな？)として街で使うことがほぼすべてだったが、今後は色々と注意するに越したことは無さそうだ。普段は警告メール詐欺に気を付けるよう社員に向けて発信している立場だが、今回のようなケースでは紙の封書が来なければ最後までわからなかった。宅配業者などの流通の分野で、LINEの友だち登録してやりとりする、というのもわかるような気がする。「オレオレ詐欺」から20数年、詐欺もまた進化しているのか。

いや、この手の「詐欺」と言われる悪行は、単にその時代に合わせて切り口を変えているだけであり、「人をだましてカネを取る」という根っこの部分は、はるか昔から変わっていないように思う。つまり「人」が「人」を陥れるのだ。先進的なIT/ICTの導入に懐疑的な方も、「AIの進化がこわい」とか「AIのハルシネーションに憤る」とかいう前に、AIを正しく理解しているのか、AIの出した答えのファクトチェックを怠っていないか、などAIを使う側である「人」がまずどうすべきかを考えることが重要であると言えまいか。マインドセット？いや言葉なんか何だっていい。結局は「人」の問題なのだ。