11月のどこか、誰かが米国の郵便局に足を踏み入れ、住所変更フォームに記入しました。これは、毎年数千万人が郵便物を新しい住所にルーティングするのと同じです. その人はフォームに署名し、それを手渡し、立ち去りました。 これは、フォームに署名した人物がわずか数分で幹部の自宅住所を事実上乗っ取ったため、数州離れた元マイクロソフト幹部の人生を一変させるドミノ効果を引き起こすのに十分でした.
この詐欺は、米国郵政公社が住所変更を処理する方法の単純な欠陥に依存しています。 これは新しいものでも特に洗練された手法でもなく、詐欺師や連邦捜査官の間で長い間知られています。 不正に提出された住所変更フォームは、犯罪者が請求書、クレジット カード、その他の機密情報を入手して、銀行口座の強制捜査や不正行為に利用できるようになり、毎年メールがハイジャックされて再ルーティングされる何千人もの個人に永続的な影響を与える可能性があります。購入。
さらに困惑しているのは、同様に単純な修正方法があるように見えることです。 しかし、USPS は問題があることを認めているものの、詐欺師が他人の身元を利用できるようにする抜け穴をどのようにふさぐかについては言及していません。
匿名を希望したが、彼の話を TechCrunch に話すことに同意した元 Microsoft 幹部は、サイバーセキュリティとプライバシーの脅威に無知ではありません。 しかし、彼自身の認めによると、元幹部は、誰かが悪意を持って自分の同意なしに自分のアドレスを変更することがそれほど簡単であることを知らなかったと言いました。 . これはすべて、何も考えずに郵便局に返送される単純な紙のフォームによるものだと彼は言います。
USPS は 2021 年に約 3,600 万件の住所変更を処理しました。住所を変更するには 2 つの方法があります。 ほとんどの人は、古い住所と新しい住所を入力してオンラインでフォームに記入し、スピードの便宜のために 1.10 ドルを支払います。 もう 1 つの方法は、まだかなり少数の人々によって使用されていますが、地元の USPS 郵便局で紙のフォームに記入することです。
オンラインでも紙のフォームでも、身元を証明するものを提示する必要はありません。 少なくとも、オンライン フォームには少額の支払いが必要であり、これは決して個人の身元を確認するものではありませんが、最終的に誰かを追跡できるようにするデジタル紙の証跡が残ります。 しかし、USPS はほぼ完全に、紙のフォームに署名する人物を信頼するシステムに完全に依存しています。
紙のフォームは、PS Form 3575 として正式に知られています。政府の事務処理と同じくらい官僚的ですが、このフォームはすっきりとシンプルでありながら、非常に退屈です。 ジャーナリズムのために、USPS郵便局でハガキサイズのフォームをリクエストする必要があります。 次に、名前、古い住所、新しい住所、およびメールの再ルーティングを希望する期間を入力します。
最後に、フォームに署名して、郵便局員に返却するか、 郵便受けに投函する 郵便局の中。 しかし、フォームに虚偽の情報を記入すると刑事責任が問われる可能性があることを警告する裏面の通知に加えて、USPS が紙の住所変更フォームを提出する人物の身元を確認するという保証はありません。 これは、詐欺師が自宅の住所を乗っ取り、クレジット カードを盗み、銀行口座を破壊するために悪用する単純な欠陥です。
フォームが提出されて処理されると、USPS は 2 通の手紙を送信します。1 通は古い住所に、もう 1 通は新しい住所に送られ、居住者に住所の変更が完了したことを通知します。 しかし、これらの手紙は見逃す可能性があり、簡単に見逃す可能性があり、手紙自体は顧客の注意ややり取りを必要としません。
この欠陥は新しいものではないだけでなく、 広く文書化された. 2017 年の特にコミカルなケースでは、アトランタの住民が、運送大手の UPS の本社から経路を変更した小切手を換金したとして逮捕され、不幸な詐欺師のアパートの外に文字どおり郵便の浴槽が積み上げられました。 それでも、UPS が郵便物が届かないことに気付くまでに 3 か月近くかかりました。
TechCrunch と共有した元幹部の銀行の 1 つからの手紙は、彼のアカウントを裏付けており、「米国郵政公社 (USPS) から受け取ったデータが、住所変更がありました。」 USPS は、元幹部の名前で行われた不正な住所変更を受け入れたため、USPS は、詐欺師が設定した新しい住所を、彼の銀行を含む無数の他の会社に渡しました。 USPS は住所データの変更を長い間販売してきました データブローカーへ、金融機関など、この情報を購入したい人に再販します。
彼にとって幸運なことに、彼は犯罪者が取り返しのつかない損害を与える前に詐欺を見つけましたが、アカウントと自宅の住所を元に戻すのに数週間かかりました. ただし、住所変更詐欺の影響は依然としてあります 毎年何千人もの人々 彼らの生活を正常に戻すための元技術幹部の影響力を持っていない.
米国の郵便サービスがこの種の住所変更詐欺をどのように減らしているかを理解するため。 TechCrunch は USPS にコメントを求めた。
USPSのスポークスパーソンであるスー・ブレナンとタチアナ・ロイはコメントを拒否し、私たちのメールをUSPSの法執行機関であるUS Postal Inspection Service(USPIS)に送った。米国郵政公社は、住所変更詐欺を防止することを計画しました。 USPISは一般的な無名の電子メールアドレスから回答を送信し、TechCrunchが尋ねた場合、記者が尋ねるのが標準的な慣行であるにもかかわらず、広報担当者の名前を提供することを繰り返し拒否しました. USPIS の Ariana Ramirez 氏も、電子メールで連絡を取ったところ、部門のメディア スポークスパーソンの名前を提供することを拒否しました。
USPIS はそのボイラープレート ステートメントで、「これらの状況が発生すると、USPS はセキュリティ上の懸念に対処するために内部統制を再評価します」と述べましたが、内部統制があったとしても、変更を実施したかどうかについても言及していません。 再度問い合わせましたが、回答がありませんでした。
「顧客は、メールボックスから毎日取得するか、インフォームドデリバリーオンラインを通じて、メールの受信を監視することをお勧めします」と声明は付け加え、居住者が受信したUSPSメールとパッケージをプレビューできるオンラインサービスに言及しました. メールボックスを定期的にチェックすることで、手遅れになる前にメールの紛失に気付くことができますが、これは決して確実ではありません。 そのため、詐欺師はいまだにそれを行っています。
USPS も USPIS も、明らかな解決策と思われるものについて言及していません。 詐欺の可能性を減らすためにオンラインフォームに少額の支払いが必要な場合は、フォームを直接提出するときに本人の証明を確認してみませんか?
これは斬新なアイデアではありません。 郵便サービスを監督する独立した監視機関である USPS 検査官局 (または USPS OIG) は、何年もの間、住所変更詐欺に関する懸念を提起してきました。 USPS OIG は次のように述べています。 2018年の監査報告書これは、議員、報道機関、および顧客の苦情からの懸念に基づいて開始されたもので、郵便サービスは、紙の変更を提出する際に、レビューのためにパスポートや運転免許証などの政府の身分証明書を提示することを顧客に要求していませんでした。アドレスフォーム。 ウォッチドッグは、いくつかの海外郵便サービス、特にオーストラリア、カナダ、および英国はすべて、住所変更フォームを手動で提出する際に何らかの形の身元確認を必要としますが、持っていない人のためにさまざまな書類を受け入れることも指摘しました。政府発行の身分証明書。
USPS OIG の調査結果は明らかでした。 「このような ID 要件の管理をサポートする国家政策の欠如は、追加の不正行為を永続させ、信頼できるプロバイダーとしての郵便サービスのブランドを損なう可能性があります。」
監査の後、USPS は、2019 年 3 月末までに、紙の住所変更フォームに対して政府発行の身元確認を実施する予定であると述べました。
USPS OIGのスポークスパーソンであるビル・トリプレット氏はTechCrunchに対し、USPSは2018年の監査報告書に対する監察官の所見に同意し、勧告は2019年8月に終了したと語り、問題が解決したことを示している. 広報担当者は、USPS は「販売員が住所変更要求を直接処理するには身分証明書が必要であることを示す文書を提供した」と述べました。
USPS がこのポリシーを実施しているかどうかについて尋ねられた場合、「郵便サービスは、ポリシーの実施方法に関する最新の情報を持っているでしょう。 通常、郵政公社から提供された補足文書に基づいて推奨事項を終了すると、それが引き続き実施されているかどうかを確認するためのフォローアップ作業は完了しません」と広報担当者は述べています。
USPS OIG は、「将来、このトピックの監査を検討する」と述べました。
静かな部分を大声で言うと、USPS は、誰かが紙の住所変更フォームを提出する際の身元確認に関する独自のポリシーを適切に施行していません。 USPS は、この種の詐欺を減らそうとしている取り組みについて、まだコメントも特定もしていません。
これは、不運に見舞われて抜け落ちた元マイクロソフト幹部のケースだけではありません。 シアトルを拠点とする キノ7ニュース はちょうど 6 か月前にこの話を取り上げ、同じ結論に達しました。 USPS は、この問題に 2 回直面した地元の家族について報告した後、住所変更詐欺による個人情報の盗難は「起こり得ない」と主張して、家族の試練を一蹴しました。
KINO 7 News は、システムの欠陥を直接指摘して、「しかし、それは誰かがカウンターで ID を要求しないことを説明していません」と書いています。
身元確認は、大規模な情報データベースや今後数十年にわたる記録の台帳に依存する必要はありません。 他の国の郵便システムと同じように、郵便局員がフォームを提出する際に、身分証明書または同様の書類を単に提示する以上のことを要求する必要はありません。 彼らの名前を確認してください。 どんなシステムも完璧ではありませんが、人の ID や書類をちらりと見ただけで、許可なく誰かの住所を変更することは非常に難しくなります。
そうでなければ、一定レベルの不断の警戒なしに、この種の詐欺を防止するためにできることはほとんどありません。 しかし、ある時点で、USPS が 4 年前に修正したとされる解決策を実施できるようになると、それは消費者の責任ではなくなります。
「選挙のために、財政問題のために、誰もが郵便局に頼っています」と元幹部は私に語った。 しかし、同じように単純な修正を伴う単純だが壊滅的な欠陥について、彼はなぜUSPSが「何もしていない」のか理解できないと述べた.
+1 646-755-8849 または電子メールで、Signal および WhatsApp のセキュリティ デスクに連絡してください。 SecureDrop を介して、私たちにストーリーを提供したり、ドキュメントを安全に共有したりすることもできます。