Malwarebytesは3月29日(米国時間)、「Steam users: Don’t fall for the "I accidentally reported you" scam - Malwarebytes Labs|Malwarebytes Labs」において、Steamユーザを標的とした『誤ってあなたを不正だと報告してしまいました詐欺』(または『誤ってあなたのアカウントを不正だと報告してしまいました詐欺』)の詳細を伝えた。この手口自体は2018年後半に現れたもので新しい手口ではないが、その内容が巧妙に進化しており注意を呼びかけている。

  • Steam users: Don’t fall for the “I accidentally reported you” scam - Malwarebytes Labs|Malwarebytes Labs

    Steam users: Don’t fall for the “I accidentally reported you” scam - Malwarebytes Labs|Malwarebytes Labs

紹介されている主な詐欺手口は次のとおり。

  1. まず、詐欺師から次のようなメッセージが送られてくる - 「あなたのプロフィールを偽装した何者かによってアイテムが盗まれる被害を受けたので、あなたのアカウントを不正アカウントとして管理者に報告してしまいました。すみません……」。このメッセージを送ってくるのは詐欺師本人とされている。口調は丁寧で内容は率直なものだという。
  2. さらに、次のようなメッセージで、このまま何もしないでいるとあなたのアカウントが停止される可能性があると指摘してくるという-「その詐欺師のアカウントは管理者によって既に停止されています。もし自分が報告したレポートが管理者に処理されてしまうと、あなたのアカウントも詐欺師の仲間であるとして停止されるんじゃないかとヒヤヒヤしています」
  3. アカウント停止に至らないよう、次のようなメッセージで管理者と連絡を取るように求めてくる-「あなたが詐欺師ではないことを伝えるレポートを提出する先となる管理者のプロファイルはこちらです。彼をDiscordに追加してもらえるでしょうか。レポートに気がついてもらえなくても、Discordに追加すれば管理者に気がついてもらえると思います」
  4. 詐欺師は管理者から返事が来たとして、あなたにリプライのスクリーンショットを示してくるという 。そのメッセージにはDiscord経由で管理者に連絡と取ることを求める旨が書いてある。
  5. 当然、上記で出てくる管理者も詐欺師であり、指示に従ってDiscord経由で管理者と連絡を取ってしまえば、あとは管理者の手引でアカウントの窃取などサイバー攻撃が実施されることになるとされている。

Discordは人気の高いボイスチャットツールのひとつ。簡単に始めることができるほか、ゲームユーザーにも広く浸透している。PCゲームプラットフォームであるStreamのユーザーを標的とするために、Discortを組み合わせて使うのは賢い選択と言える。

この詐欺の手法は2018年から存在が確認されている手口だが、Malwarebytesが報告しているようにその内容はより巧妙で真偽の判断が難しいものになってきている。こうした詐欺が実際に行われていることを認識するとともに、常に自分もこうしたソーシャルエンジニアリングベースの詐欺の被害者になる可能性があることを念頭に置き、対処できるようにしておくことが望まれる。