巧妙な「フィッシング」により個人情報を盗まれ、勝手にネットショッピングで商品を購入された消費者から悲痛な声が上がっている。法律上では不正アクセスを受けた携帯電話会社が被害者になるため、消費者は購入代金を肩代わりさせられたのに、警察に出向いても被害届を受理してもらえない。長崎県内の当事者に実情を取材した。
■消えない請求
「携帯電話会社は“自分たちが被害者”と言うが、金銭的被害は消費者側にある。どうみても、こっちが実質的な被害者ですよ」
佐世保市の男性会社員(52)は言葉に怒気を込める。5月7日。「Reject」という発信元から「キャリア決済が不正利用の可能性がある。2段階認証お願いします」と記載された偽のショートメッセージ(SMS)を受け取った。男性はフィッシングだと気付かないまま添付された偽サイトのURLを開き、IDとパスワードを入力。その後、犯人側がアカウントにアクセスしたため、男性の元には携帯電話会社から本人認証の正式なSMSが届いた。男性は2段階認証だと勘違いし、記載されていたセキュリティーコードの数字を偽サイトに入力した。
しばらくして、携帯電話会社からログイン通知のSMSが届いた。詳細を見ると接続端末は知らないパソコン。ログイン場所は海外。「他人が成り済ましてログインしている…」。すぐに携帯ショップに駆け込んでネット決済機能を停止させたが、すでにネット通販サイトで約10万円分の買い物をされていた。
翌日、男性は佐世保市消費者生活センターに相談。警察署へも足を運び、被害届を出そうとしたが署員からは「被害者は携帯会社」と言われた。ただ、支払い請求は個人情報を盗まれた消費者に届く。男性は通販サイトや携帯電話会社に掛け合ったが請求は帳消しにならず、購入商品が何かも教えてもらえなかった。
長崎県警サイバー犯罪対策課は「消費者の声も理解できるが法律の特性上、消費者からの被害届はそもそも受理できない。しかし、その相談をもとに捜査を進めることは可能」と説明する。
■区別つかない
4月16日。佐世保市の女性会社員(46)はフィッシングで個人情報を盗まれ、スマートフォンアプリなど約5万円分を購入された。料金明細を通知する携帯電話会社からの正式なSMSと同一のスレッドに並んで表示されたフィッシングメールだったため、疑うことなくIDなどを送信した。
被害に気付き、不正使用された旨を伝える手紙を携帯電話会社に郵送したが、「不正ログインであっても本人が入力したものとして取り扱わざるを得ない。購入代金の減免は対応できない」と文書で回答があった。県警には相談し聞き取りを受けたが、捜査の進展について連絡はない。
「正式なSMSに紛れたフィッシングメールなんて、一般人じゃ区別がつかない。消費者は結局、泣き寝入りするしかない」。女性は、そうため息をつく。
■現行法の限界
消費者救済の手だてはあるのか。ネットワークセキュリティーに詳しい県立大シーボルト校の加藤雅彦教授は「フィッシングを取り締まる不正アクセス禁止法は消費者に金額被害が生じる事態を想定しておらず、そこは現行法の限界。携帯会社が被害者の立場にあり、消費者救済は現行法を改正するか、別の法律と関連させるなどして、立法府が新たな枠組みを考える必要がある。(携帯電話会社など)事業者側にはネット決済時、厳格な本人認証制度の運用や整備が、今後より一層求められる」と指摘する。
