日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページ生活
11月のある時点で、誰かが米国の郵便局に入り、毎年数千万人が郵便物を新しい住所に発送するのと同じように、住所変更フォームに記入しました。 その人は書類に署名し、提出して立ち去りました。 これは、フォームに署名した人物がわずか数分でその幹部の自宅住所を事実上乗っ取ったため、数州離れたマイクロソフト元幹部の人生を一変させるドミノ効果を引き起こすには十分だった。
この詐欺は、米国郵便公社が住所変更を処理する方法にある単純な欠陥に依存しています。 これは新しい手法でも、特に高度な手法でもありませんが、詐欺師や連邦捜査官には古くから知られていました。 不正に提出された住所変更フォームは、毎年郵便物がハイジャックされ転送される何千もの個人に永続的な影響を与える可能性があり、犯罪者は銀行口座の襲撃や不正購入に使用できる請求書、クレジット カード、その他の機密情報を入手できます。 。
さらに不可解なのは、同様に簡単な修正方法があるように見えることです。 しかし、USPSは問題があることは認めているものの、詐欺師が他人の身元を騙し取ることを可能にする抜け穴をどのように塞ぐつもりなのかについては言及していない。
匿名を希望したが、TechCrunchに自らの話を語ることに同意したこの元Microsoft幹部は、サイバーセキュリティとプライバシーの脅威に対して世間知らずではない。 しかし、元幹部は自ら認めたところによると、誰かが彼の同意なしに悪意を持って住所を変更することがこんなに簡単だったとは知らなかった、ましてや犯罪者が彼の口座を襲撃したり、数千ドルの不正購入を積み上げたりする可能性があるとは知らなかったと述べた。 これらすべては、何も考えずに郵便局に返送された単純な紙のフォームのせいだと彼は言います。
USPS は、2021 年に約 3,600 万件の住所変更を処理しました。住所を変更するには 2 つの方法があります。 ほとんどの人は、古い住所と新しい住所を入力してオンラインでフォームに記入し、迅速な便宜のために 1.10 ドルを支払います。 もう 1 つの方法は、依然としてかなりの少数の人々によって使用されていますが、地元の USPS 郵便局で紙のフォームに記入することです。
オンラインフォームでも紙のフォームでも、本人確認書類の提示は必要ありません。 オンラインフォームでは、少なくとも少額の支払いが必要で、決して個人の身元を証明するものではありませんが、デジタル紙の痕跡が残るため、最終的に誰かまで追跡可能になります。 しかし、USPS は、紙のフォームに署名した人が誰であろうと、その人を信頼するシステムにほぼ全面的に依存しています。
このフォームに記入した後、USPS が住所変更リクエストを提出した人の身元を確認するという保証はありません。画像クレジット:テッククランチ
この紙のフォームは正式には PS Form 3575 として知られています。政府の事務手続きと同様に官僚的ですが、このフォームは驚くほどシンプルであると同時に、驚くほど退屈です。 USPS郵便局ではがきサイズの用紙をリクエストする必要があります。私たちはジャーナリズムのためにリクエストしました。 次に、その人は自分の名前、古い住所、新しい住所、および郵便物の転送を希望する期間を記入します。
最後に、フォームに署名し、郵便局員に返送するか、郵便局内のレターポストに投函してください。 しかし、裏面には、フォームに虚偽の情報を記入すると刑事告訴される可能性がある(逮捕された場合)と警告する通知があるほか、紙の住所変更フォームを提出した人の身元をUSPSが確認するという保証はない。 これは、詐欺師が自宅の住所を乗っ取り、クレジット カードを盗み、銀行口座に大損害を与えるために悪用する単純な欠陥です。
フォームが提出され処理されると、USPS は 2 通の手紙を送ります。1 通は古い住所に、もう 1 通は新しい住所に宛てて、住所変更が完了したことを居住者に通知します。 しかし、これらの手紙は見逃される可能性があり、見逃しやすいものであり、手紙自体は、許可されていない住所変更リクエストを「確認またはキャンセル」したい場合にのみ、顧客の注意ややり取りを必要としません。
この欠陥は新しいものではないだけでなく、広く文書化されています。 2017年の特に滑稽な事件では、海運大手UPSの本社から転送した小切手を現金化したとしてアトランタ在住の男性が逮捕され、その結果、不運な詐欺師のアパートの外には文字通り浴槽のような郵便物が山積みになった。 それでも、UPS が郵便物が表示されていないことに気づくまでに 3 か月近くかかりました。
同氏がTechCrunchに共有した元幹部の銀行の1つからの手紙は、同氏の口座を裏付けており、同銀行が「米国郵便公社(USPS)から受け取ったデータの結果として、システム内の住所変更を行った」ことを確認した。住所変更が発生しました。」 USPSは元幹部の名前で行われた不正な住所変更を受け入れたため、詐欺師が設定した新しい住所を彼の銀行を含む無数の他の企業に伝えた。 USPSは長い間、住所変更データをデータブローカーに販売しており、データブローカーはこの情報を金融機関など、購入したい人に再販している。
幸運なことに、犯罪者が取り返しのつかない損害を与える前に詐欺を捕まえることができたが、口座と自宅の住所をきちんと返還するにはまだ数週間かかった。 しかし、住所変更詐欺は依然として毎年、元テクノロジー企業幹部のような影響力を持たずに生活を正常に戻す何千人もの人々に影響を与えている。
この種の住所変更詐欺が依然として進行中であることを考慮して、米国郵便公社がどのようにしてこの詐欺を減らしているのかを理解するために、TechCrunch は USPS にコメントを求めた。
USPSの広報担当者であるスー・ブレナン氏とタチアナ・ロイ氏はコメントを拒否し、私たちの電子メールをUSPSの法執行部門である米国郵便検査局(USPIS)に言及した。USPISは定型文をTechCrunchに提供した(その一部は繰り返しだった)が、どのようにするかについては言及しなかった。米国郵便公社は、住所変更詐欺を防ぐことを計画しました。 USPISは一般の匿名電子メールアドレスから回答を送信し、記者が尋ねるのが標準的な慣例であるにもかかわらず、TechCrunchの質問に対して広報担当者の名前を明かすことを繰り返し拒否した。 USPISのアリアナ・ラミレス氏も電子メールで問い合わせたところ、同局のメディア広報担当者の名前の提供を拒否した。
USPISは定型的な声明の中で、「こうした状況が発生した場合、USPSは安全保障上の懸念に対処するために内部統制を再評価する」と述べたが、内部統制がどのようなものか、もしあれば変更を実施したかについては言及しなかった。 再度質問しましたが、返答はありませんでした。
声明では、居住者がUSPSの郵便物や荷物をプレビューできるオンラインサービスについて言及し、「顧客は郵便受けから毎日取り出すか、オンラインのInformed Deliveryを通じて郵便物の受け取りを監視することをお勧めします」と付け加えた。 ただし、メールボックスを定期的にチェックすると、手遅れになる前に紛失したメールに気づくことができますが、これは決して確実ではありません。 だからこそ、詐欺師は今でもこの行為を行っているのです。
USPSもUSPISも、明白な解決策と思われるものについては言及しなかった。 詐欺の可能性を減らすためにオンライン フォームで少額の支払いが必要な場合は、フォームを直接提出するときに本人の身分証明書を確認してみてはいかがでしょうか。
それは新しいアイデアではありません。 郵便事業を監督する独立した監視機関である USPS 監察総局 (USPS OIG) は、長年にわたって住所変更詐欺に対する懸念を提起してきた。 USPS OIGは、議員、報道機関、顧客からの苦情からの懸念に基づいて開始した2018年の監査報告書の中で、郵便事業は顧客にパスポートや運転免許証などの政府の身分証明書の提示を求めていないと述べた。紙の住所変更フォームを提出するときに確認してください。 同監視団は、いくつかの海外郵便事業、特にオーストラリア、カナダ、英国では、住所変更届を手動で提出する際に何らかの本人確認が必要だが、郵便局は住所変更届を持っていない人向けのさまざまな書類も受け付けていると指摘した。政府発行の身分証明書。
USPS OIG の調査結果は明らかでした。 「このようなID要件の管理をサポートする国家政策の欠如により、さらなる不正行為が永続化し、信頼できるプロバイダーとしての郵便公社のブランドが傷つく可能性がある。」
監査を受けてUSPSは、2019年3月末までに紙の住所変更フォームに対する政府発行の身元確認を実施する計画だと発表した。
USPS OIGの広報担当ビル・トリプレット氏はTechCrunchに対し、USPSは2018年の監査報告書に対する監察長官の所見に同意し、勧告は2019年8月に終了し、問題は解決したことを示したと語った。 広報担当者は、USPSが「販売員が直接住所変更要求を処理するために身分証明書が必要であることを示す文書を提供した」と述べた。
USPSがこのポリシーを強制するかどうかについて尋ねられたとき、「郵政公社は、ポリシーをどのように強制しているかについて最新の情報を持っているでしょう。通常、郵政公社が提供する裏付け文書に基づいて勧告を終了したら、私たちはそれを実行します。」引き続き実施するかどうかを確認するフォローアップ作業が完了していない」と広報担当者は述べた。
USPS OIGは「将来的にはこのテーマの監査を検討する」と述べた。
静かな部分を声を大にして言うと、USPS は誰かが紙の住所変更フォームを提出する際の身元確認に関する独自のポリシーを適切に実施していません。 USPSはまだコメントを出しておらず、この種の詐欺を減らす取り組みについては明らかにしていない。
これは、不運に失敗して転落したあるマイクロソフト元幹部のケースだけではない。 シアトルを拠点とする KIRO 7 News は、わずか 6 か月前にこの話を取り上げ、同じ結論に達しました。 USPSは、この問題に2度にわたって直面した地元の家族について報告した後、住所変更詐欺による個人情報の盗難は「ありえない」と主張して、家族の試練を却下した。
「しかし、それはカウンターで身分証明書の提示を求めなかった人を考慮したものではない」とKIRO 7 Newsは書き、システムの欠陥を直接指摘した。
本人確認は、壮大な情報データベースに依存したり、今後数十年にわたって記録を保管しておく必要はありません。 他国の郵便制度と同様に、郵便職員が書類を提出する際に、単に本人確認書類や同様の書類を提示するだけで済むものであってはなりません。 彼らの名前を確認してください。それ以上は何もしません。 また、完璧なシステムはありませんが、個人の ID や書類をひと目見るだけで、許可なく住所を変更することは大幅に困難になります。
そうでなければ、ある程度の継続的な警戒がなければ、この種の詐欺を防ぐためにできることはほとんどありません。 しかし、ある時点で、USPSが4年前に修正したとされる解決策を強制できるようになったとき、それは消費者の責任ではなくなるはずだ。
「選挙でも財政問題でも、誰もが郵便局を頼りにしている」と元幹部は私に語った。 しかし、単純だが壊滅的な欠陥があり、同じように簡単に修正できるにもかかわらず、なぜUSPSが「何もしない」のか理解できないと同氏は述べた。
Signal および WhatsApp のセキュリティ デスク (+1 646-755-8849) または電子メールでご連絡ください。 また、SecureDrop 経由でストーリーを報告したり、ドキュメントを安全に共有したりすることもできます。
米国郵政公社、6,000万人のユーザーのデータを暴露
画像クレジット: