11月のある日、誰かがアメリカの郵便局を訪れ、住所変更の申請書に記入した。毎年何千万人もの人が新しい住所に郵便物を届けるために行うのと同じだ。その人は申請書に署名し、提出して出て行った。それがきっかけで、数州離れた元マイクロソフト幹部の人生を一変させるドミノ倒しの連鎖反応が始まった。申請書に署名した人物は、わずか数分で幹部の自宅住所を事実上乗っ取ったのだ。
この詐欺は、米国郵便公社の住所変更手続きにおける単純な欠陥を悪用しています。これは目新しいものでも、特に高度な手法でもなく、詐欺師や連邦捜査官の間では以前から知られていました。不正に提出された住所変更届は、毎年何千人もの郵便物が乗っ取られ、転送されるという深刻な事態を引き起こし、犯罪者は請求書やクレジットカードなどの機密情報を入手し、銀行口座の乗っ取りや不正な購入に利用することができます。
さらに不可解なのは、同じように簡単な解決策があるように見えることです。USPSは問題があることを認めているものの、詐欺師が他人の個人情報を悪用して金儲けできる抜け穴をどのように塞ぐ予定なのかについては明らかにしていません。
匿名を条件にTechCrunchに自身の体験を語ってくれた元マイクロソフト幹部は、サイバーセキュリティとプライバシーの脅威について無知ではない。しかし、自ら認めているように、誰かが悪意を持って本人の同意なしに住所を変更することがこれほど容易だとは知らなかったという。ましてや、犯罪者が口座を乗っ取ったり、不正な購入で数千ドルもの金を巻き上げたりする可能性など、知る由もなかった。こうした事態はすべて、何の疑問もなく郵便局に返却される簡単な紙の用紙のせいだと彼は言う。
USPSは2021年に約3,600万件の住所変更を処理しました。住所変更には2つの方法があります。ほとんどの人は、オンラインでフォームに古い住所と新しい住所を入力し、迅速な手続きのために1.10ドルを支払います。もう1つの方法は、まだかなりの少数派ですが、地元のUSPS郵便局で紙のフォームに記入する方法です。
オンラインフォームでも紙のフォームでも、本人確認は必要ありません。少なくともオンラインフォームでは少額の手数料がかかりますが、これは本人確認にはなりません。しかし、デジタルの紙の証跡が残り、最終的には誰かを追跡できるようになります。しかし、USPSは、紙のフォームに署名した人が誰であろうと、システムがその人物を信頼することにほぼ全面的に依存しています。
この紙のフォームは正式にはPSフォーム3575と呼ばれます。政府の書類手続きとしてはお役所仕事ですが、このフォームは驚くほどシンプルでありながら、驚くほど退屈です。USPSの郵便局でハガキサイズのフォームを請求する必要があります。私たちはジャーナリズムのためにそうしました!申請者はフォームに氏名、旧住所、新住所、そして転送希望期間を記入します。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
最後に、用紙に署名し、郵便局員に返却するか、郵便局内の郵便受けに投函します。裏面には、虚偽の情報を記入すると刑事訴追される可能性がある(発覚した場合)という警告が記載されていますが、USPSが紙の住所変更用紙を提出した人の身元を確認する保証はありません。詐欺師は、まさにこの単純な欠陥を利用して、自宅住所を乗っ取り、クレジットカードを盗み、銀行口座に大損害を与えています。
フォームが提出され処理されると、USPSは2通の手紙を送付します。1通は旧住所宛、もう1通は新住所宛てで、住民に住所変更が完了したことを通知します。しかし、これらの手紙は見落とされやすく、実際に見落とされることもあります。また、手紙自体は顧客の注意や操作を必要としません。許可されていない住所変更申請を「確認またはキャンセル」したい場合にのみ、手続きは完了します。
この欠陥は目新しいものではなく、広く記録されています。2017年に起きた特に滑稽な事件では、アトランタ在住の男性が、配送大手UPSの本社から転送した小切手を換金したとして逮捕されました。その結果、この不運な詐欺師のアパートの外には、文字通りバスタブに積み上げられた大量の郵便物が山積みになりました。しかし、UPSが郵便物が届いていないことに気づくまで、実に3ヶ月近くもかかりました。
元幹部がTechCrunchに提供した、彼の取引銀行の一つからの手紙は、彼の説明を裏付けるものであり、銀行がシステム上で住所変更を行ったのは「米国郵便公社(USPS)から住所変更があったことを示すデータを受け取ったため」であることを確認した。USPSは元幹部の名前で行われた不正な住所変更を承認したため、詐欺師が設定した新しい住所を、彼の取引銀行を含む無数の企業に渡していた。USPSは長年にわたり、住所変更データをデータブローカーに販売しており、データブローカーはこの情報を金融機関など、購入を希望するあらゆる人に再販している。
幸運なことに、彼は犯罪者が取り返しのつかない損害を与える前に詐欺に気付きましたが、それでも彼のアカウントと自宅住所を元の状態に戻すのに数週間かかりました。しかし、住所変更詐欺は、元IT企業幹部のような影響力を持たず、生活を正常に戻すことができない何千人もの人々を毎年苦しめています。
この種の住所変更詐欺は依然として問題となっているが、米国郵政公社がどのようにしてこの詐欺を減らしているのかを理解するため、TechCrunchはUSPSにコメントを求めた。
USPSの広報担当者、スー・ブレナン氏とタチアナ・ロイ氏はコメントを拒否し、私たちのメールをUSPSの法執行機関である米国郵便検査局(USPIS)に照会するよう指示した。USPISはTechCrunchに対し、定型的な声明(一部は重複)を提供したが、USPISが住所変更詐欺をどのように防止する予定かについては言及しなかった。USPISは匿名の一般メールアドレスから回答を送信し、TechCrunchからの問い合わせに対しても、記者が尋ねるのが通常の慣行であるにもかかわらず、広報担当者の氏名提供を繰り返し拒否した。メールで連絡を取ったUSPISのアリアナ・ラミレス氏も、同局のメディア広報担当者の氏名提供を拒否した。
USPISは定型的な声明の中で、「このような状況が発生した場合、USPSはセキュリティ上の懸念に対処するために内部統制を再評価します」と述べていますが、その内部統制の内容や、もし存在するかどうか、また変更を実施したかどうかについては言及していません。再度問い合わせましたが、回答は得られませんでした。
「お客様には、毎日郵便受けから郵便物を取り出すか、オンラインのInformed Deliveryを利用して、郵便物の到着状況を確認することをお勧めします」と声明は付け加えている。これは、住民がUSPSの到着郵便物や荷物を事前に確認できるオンラインサービスを指す。しかし、定期的に郵便受けを確認することで、手遅れになる前に郵便物の紛失に気付く可能性はあるものの、決して万全ではない。だからこそ、詐欺師たちは今でもこの行為を続けているのだ。
USPSもUSPISも、一見明白な解決策について言及していません。オンラインフォームで少額の支払いを求めるのは詐欺の可能性を減らすためですが、フォームを直接提出する際に本人確認書類を確認してみてはいかがでしょうか?
これは目新しい考えではない。郵便局を監督する独立監視機関であるUSPS監察総監室(USPS OIG)は、長年にわたり住所変更詐欺について懸念を表明してきた。USPS OIGは、議員、報道機関、顧客からの苦情などの懸念に基づき開始した2018年の監査報告書の中で、郵便局は顧客に対し、住所変更届の紙面提出時にパスポートや運転免許証などの政府発行の身分証明書の提示を求めていなかったと述べている。監視機関は、オーストラリア、カナダ、英国など、いくつかの海外郵便局では、住所変更届を手作業で提出する際に何らかの本人確認を求めているものの、政府発行の身分証明書を所持していない人向けに、さまざまな書類を受け付けていると指摘している。
USPS OIGは調査結果を明確に示しました。「このようなID提示義務付けの規制を支援する国家政策が欠如していることで、さらなる不正行為が蔓延し、信頼できるサービス提供機関としてのUSPSのブランドが損なわれる可能性があります。」
監査を受けて、USPSは2019年3月末までに紙の住所変更フォームに政府発行の身元確認を導入する予定であると発表した。
USPS OIGの広報担当者ビル・トリプレット氏はTechCrunchに対し、USPSは2018年の監査報告書における監察総監の指摘に同意し、勧告は2019年8月に終了しており、問題は解決済みであると述べた。広報担当者によると、USPSは「販売員が住所変更の申請を直接処理する際に身分証明書の提示が必要であることを示す書類を提出した」という。
USPSがこの方針を施行しているかどうかについて尋ねられた広報担当者は、「USPSは、方針の施行状況に関する最新情報を把握しています。通常、USPSから提供された裏付け資料に基づいて勧告を終了した場合、USPSが引き続き勧告を実施しているかどうかを確認するためのフォローアップ作業は行いません」と回答しました。
USPS OIGは「今後この問題の監査を検討する」と述べた。
控えめな部分を声に出して言うと、USPSは、住所変更届の紙面提出時に本人確認を行うという独自の方針を適切に施行していません。USPSは、この種の詐欺行為を削減するための取り組みについて、まだコメントや具体的な内容を示していません。
これは、運悪く見落とされてしまった元マイクロソフト幹部のケースだけではありません。シアトルを拠点とするKIRO 7 Newsは、わずか6ヶ月前にこの件を報道し、同じ結論に達しました。地元のある家族が2度もこの問題に直面したことを報じた後、USPSは、住所変更詐欺による個人情報窃盗は「あり得ない」と主張し、この家族の苦難を軽視しました。
「しかし、カウンターで身分証明書の提示を求めなかったというケースは考慮されていない」とKIRO 7ニュースはシステムの欠陥を直接指摘して伝えた。
本人確認は、大規模な情報データベースや、今後数十年にわたる記録台帳の保管に頼る必要はありません。他の国の郵便システムと同様に、申請者が郵便局員に身分証明書などの書類を提示するだけで済むはずです。氏名を確認するだけで十分です。完璧なシステムというものは存在しませんが、身分証明書や書類を一目見るだけで、許可なく住所を変更することは大幅に困難になるでしょう。
そうでなければ、ある程度の継続的な警戒なしに、この種の詐欺を防ぐことはほとんど不可能です。しかし、USPSが4年前に解決したとされる解決策を実施できる時点で、消費者の責任ではなくなるはずです。
「選挙でも財政問題でも、誰もが郵便局に頼っています」と元幹部は私に語った。しかし、単純だが壊滅的な欠陥があり、しかも修正も簡単であるにもかかわらず、なぜUSPSが「何もしない」のか理解できないと彼は言った。
SignalとWhatsAppのセキュリティデスク(+1 646-755-8849、またはメール)にご連絡ください。また、SecureDropでストーリーをチップしたり、ドキュメントを安全に共有したりすることも可能です。
米国郵政公社、6000万人の利用者のデータを漏洩
