主なポイント
- 攻撃者は、在宅勤務で簡単にお金が稼げるという誘い文句で、被害者が知らず知らずのうちに、個人情報を収集したり、金銭を盗んだり、マネーロンダリングをするなどの違法行為に巻き込むよう仕向けています
- 就職詐欺と呼ばれるこの脅威のほとんどは、高等教育機関を狙っています
- この脅威は、新型コロナウイルスによって、より多くの人々が在宅勤務をするようになったため、増加しています
概要
プルーフポイントのリサーチャーは、在宅勤務で簡単にお金を稼げるという就職詐欺を用いて被害者を誘惑しようとする脅威を定期的に特定し、ブロックしています。このような脅威は、大学関係者、特に学生に対して大きな影響を与えています。
就職詐欺の脅威は、合法的な求人に見せかけておこなわれます。攻撃者は、被害者を知らず知らずのうちに犯罪に巻き込み、金銭や個人情報を盗んだり、マネーロンダリングなどの違法行為に加担させようとします。攻撃者は、通常、リクルーターや雇用企業を装い、不正な求人情報を用いて、様々な機会で被害者を誘惑しようとしています。
この脅威には、介護士、覆面調査員、事務員、モデル、リベート処理係などの求人がよく用いられ、そのバリエーションは多岐にわたります。就職詐欺は、仕事のテーマや攻撃者の最終的な結果や目標によって、アドバンスト・フィー詐欺(AFF)などの他の脅威と異なるものです。詐欺メールを受け取った者は、攻撃者を支援するものとして「雇われる」ことになるかもしれません。アドバンスト・フィー詐欺(AFF)では、攻撃者は、後で大金を得られると約束することによって、最初に少額のお金を得ることを望んでいます。それとは異なり、就職詐欺は、被害者の情報を収集し、彼らを犯罪ネットワークに勧誘します。最初は事務手数料やパスポート・サービスの代金と言われるお金を集めることから始めることもありますが、それは通常、応募者を選別するために行われるもので、最終目的ではないことがほとんどです。また、このようなスキームに参加した場合、被害者はマネーミュール (不正資金の運び屋) として働いたとして刑事責任を問われる可能性があります。
新型コロナウイルスは、多くの雇用者がリモートワークにシフトさせました。在宅勤務という概念が広まったことが、この雇用脅威の増加に結びついています。実際、確認された脅威の中には、職務内容がリモートワークである理由の一部として新型コロナウイルスに言及しているものもあります。
被害者学
プルーフポイントが最近確認した職業をテーマにした脅威のうち、95%近くが教育機関(主に大学)を標的としています。ほとんどの標的は米国ですが、攻撃者は時折、欧州やオーストラリアなども標的にしています。プルーフポイント社では、毎日約4,000件のこうしたEメールによる脅威を確認しています。
攻撃者は、さまざまな理由から大学をターゲットにする可能性がありますが、インフレや教育費の高騰により学生の経済的な負担が大きくなっていることも起因しています。偽の募集内容では、手っ取り早くお金を稼げるという魅力があります。
就職詐欺は通常、個人を標的としており、その結果、個人に大きな損失を発生させる可能性があります。FBIのインターネット犯罪苦情センターによると、この種の詐欺で報告された平均的な損失額は3,000ドル(約37万円*1)です。2021年、米国における就職詐欺の被害総額は4,500万ドル(約55億円*1)以上でした。
*1: 1ドル=124円で計算
ケーススタディ1
メールや求人情報には、正当なブランド名、適切なスペルや文法、なりすまし組織での実際の職務内容を使用しており、見かけ上は正当なもののように見えます。さらに、攻撃者は、特に大学のキャリアセンターや就職斡旋業者を装って、偽装または侵害された正規のEメールアドレスを使用して偽の採用メールを送信することもあります。
2022年1月、プルーフポイントは、国連児童基金(UNICEF)のエグゼクティブ・パーソナル・アシスタントへの応募を装ったメールが大学生や職員に送付されているのを特定しました。
From: exampleuser@university[.]edu
Subject: Staffs and Students Employment
このメッセージは、大学のメールアドレスを装い、Googleフォームへのリンクが含まれていました。そのフォームには、新型コロナウイルスの救済プログラムへのリンクが含まれていました。
図1:ユニセフの偽の職種内容
受信者には、以下の氏名、大学以外の代替メールアドレス、電話番号、その他の個人情報を記入してもらうフォームが表示されます。
図2:Googleフォームの詳細
プルーフポイントのリサーチャーがフォームに内容を記入したところ、攻撃者からGmailで偽の職務内容を詳しく説明する連絡があり、さらに詳細の情報を要求してきました。
図3:攻撃者が主張する偽の職務内容
この場合、攻撃者は、アシスタント職では「孤児院」のためにおもちゃを買って配ることも含まれると主張しています。最初の数通のメッセージで、この攻撃者はリサーチャーに950ドルの偽の出納小切手を送ってきました。その後、数週間会話が途絶えましたが、攻撃者は再び接触してきて、今度はさらに額の多い1,950ドルの不正小切手を送ってきました。
図4: 攻撃者(グレー)とプルーフポイントのリサーチャー(紫)の会話
攻撃者はリサーチャーの銀行口座にいくらあるか尋ねた後、1000ドルをすぐにサポートされている「孤児院」の1つに送り、Zelleアプリを通じて支払うよう要求しました。さらに、この攻撃者は、後続の支払いのためにビットコインのアドレスをリサーチャーに送りました。
この場合、受信者は950ドルの「給料」を受け取り、追加のお金を送金するというものです。しかし、小切手は不正なものなので、被害者は自分のお金を攻撃者に送ることになってしまいます。
ユニセフは、攻撃者が偽の求人メールの誘い文句でユニセフの組織になりすますことを認識しており、2022年1月、同団体はユニセフになりすました詐欺行為に注意するよう警告する勧告を発表しました。その勧告は、電子メール、ソーシャルメディア、オンライン求人サイトで共有されています。
ケーススタディ 2
また、最近行われた別の攻撃キャンペーンでは、モデルとして働く大学生を募集しているように装う攻撃が確認されました。メッセージにはこう書かれていました:
「3日間の撮影のためのモデルを募集しています。私たちのスカウトは、あなたのInstagramのプロフィールを見て、あなたが適切であると判断しました。もしあなたが興味があるようでしたら、詳細とインタビューについてお伝えしますのでメールにてご連絡ください。 」
プルーフポイントのリサーチャーが攻撃者と接触し、チャットアプリのハングアウトとGmailで会話が始まりました。攻撃者は、ファストファッションブランドのZafulとFashion Novaになりすましました。Instagramで多くのフォロワーを持つこの2つの人気ファッションブランドは、定期的にユーザー生成コンテンツを掲載し、数百万人のフォロワーに商品を販売しています。
この攻撃の仕掛け人は、チャットで話をする前に「契約書」を送りつけ、仕事の依頼が本物であることを受信者にさらに確信させるようにしています。
図5:Zafulの偽のモデル契約
その後、この攻撃者は、ロサンゼルスでの写真撮影を計画すると称して、リサーチャーと会話を始め、衣装の選定やスケジュールの調整を依頼しました。この攻撃者は、4,950ドルの偽小切手をメールで送り、写真撮影に使用するアイテムの「発送」費用として暗号通貨で100ドルを要求しました。(犯罪をさらに正当化するために、小切手を被害者宅に直接送ることもあります)。
図6:脅威者が送信した偽の給与明細書
このケースでは、攻撃者は、私たちのリサーチャーとコミュニケーションをとり、想定される求人に関する質問に答えるために、多くの時間と労力を費やしていました。プルーフポイントは、文書化やコミュニケーションなど、この特定の攻撃キャンペーンにおける努力の量は、通常観察される就職詐欺の脅威よりもかなり大きいと評価しています。
結論
特に就職活動をおこなう学生やや中等教育機関の学生・教職員は、このような脅威に注意する必要があります。正規の雇用主は、従業員の勤務開始前に給与明細を送ったり、勤務開始前に物品を購入するために送金するよう求めたりすることは決してありません。以下のような場合には、詐欺であると考え注意してください。
- GmailやHotmailなどのフリーメールアカウントから、正規の組織になりすまし、突然の求人が届いた場合
- 面接の質問が、職務内容に関する情報がほとんどなく、あるいはまったくない場合
- 送信者と話し合いを始めてから、すぐに「給料」を受け取れる場合
- 送信者が受信者に個人的なメールやチャットアカウントに切り替えて、求人について話し合うよう促している場合
- 特にモバイルアプリケーションやビットコインアドレスでの送金を含む場合(特に迅速にタスクを完了するよう要求する場合)
※本ブログの情報は、英語による原文「School of Hard Knocks: Job Fraud Threats Target University Students」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。