フィッシング詐欺対策

フィッシング詐欺は、東芝やスリー・ディー・マトリックスで数億円単位の被害がでたような、企業の機密情報や大規模な不正送金（BEC: Business Email Compromise/ビジネスメール詐欺など）だけの問題ではない。スマホに届くSMS、日々の決済に使うQRコード、利用頻度の高いECサイトや金融機関の通知を装い、一般個人の資産やアカウント情報を狙う手口が急増・巧妙化している。個人的にも、月に数件は、そのようなものが送られてくる。

攻撃者は、従来のメールフィルターを回避するため、通信チャネルを多角化している。フィッシングサイトに関するインシデント報告件数は高水準にあり 、誰もが日常的に、だまされるリスクに直面している。   

攻撃者は、ユーザーが「緊急性」や「信頼性」を感じやすいチャネルを悪用し、心理的な隙を突いてくる。以下に、個人が特に注意すべき最新の攻撃手法を事例を整理してみた。

1. SMS詐欺（Smishing: SMS Phishing）

Smishing (SMS Phishing: SMS詐欺) は、携帯電話のSMS（ショートメッセージサービス）を利用し、受信者に緊急性を感じさせて偽サイトへ誘導する手口。   

手口と具体的な事例

宅配業者や金融機関、ECサイトを装うメッセージが主流 。   

• 宅配業者なりすまし: 佐川急便やヤマト運輸などの宅配業者を装い、「お荷物のお届けに上がりましたが、ご不在でした」といった不在通知を送信し、偽の追跡サイトへ誘導。   
• EC・銀行なりすまし: 「Amazonのアカウントが停止されました」「ゆうちょ銀行の取引が一時停止されています」といったメッセージを送り、偽のログイン画面で認証情報やクレジットカード情報を入力させようとする 。ゆうちょ銀行も2023年に偽SMSによるフィッシングが報告され、注意喚起を実施した 。   
• マルチチャネル詐欺（みずほ銀行、2025年8月）: 「口座異常検知」と書かれた偽SMSで偽URLに誘導した後、数分後に「みずほコールセンター」を装う電話をかける。これは、SMSと電話を組み合わせた巧妙な手口で、暗証番号とOTP (One-Time Password: 1回限りのパスワード) を聞き出し、数十万円の不正出金を引き起こした 。   
• 技術的な罠（端末識別）: 攻撃サイト側で受信者の端末を識別する機能が導入されている。Android端末であれば不正なアプリ（マルウェア）のダウンロードを促し、iOS端末であればApple IDなどの認証情報搾取に特化した偽ページへ誘導するなど、OSの特性に合わせた攻撃を仕掛けてくる 。   

対策

SMSのリンクは絶対に開かない: SMSに記載されたURLは、内容が緊急を要するように見えても無闇にクリックしてはいけない。   

• 宅配業者なりすまし: 佐川急便やヤマト運輸などの宅配業者を装い、「お荷物のお届けに上がりましたが、ご不在でした」といった不在通知を送信し、偽の追跡サイトへ誘導。   
• EC・銀行なりすまし: 「Amazonのアカウントが停止されました」「ゆうちょ銀行の取引が一時停止されています」といったメッセージを送り、偽のログイン画面で認証情報やクレジットカード情報を入力させようとする 。ゆうちょ銀行も2023年に偽SMSによるフィッシングが報告され、注意喚起を実施した 。   
• マルチチャネル詐欺（みずほ銀行、2025年8月）: 「口座異常検知」と書かれた偽SMSで偽URLに誘導した後、数分後に「みずほコールセンター」を装う電話をかける。これは、SMSと電話を組み合わせた巧妙な手口で、暗証番号とOTP (One-Time Password: 1回限りのパスワード) を聞き出し、数十万円の不正出金を引き起こした 。   
• 技術的な罠（端末識別）: 攻撃サイト側で受信者の端末を識別する機能が導入されている。Android端末であれば不正なアプリ（マルウェア）のダウンロードを促し、iOS端末であればApple IDなどの認証情報搾取に特化した偽ページへ誘導するなど、OSの特性に合わせた攻撃を仕掛けてくる 。 

2. QRコード詐欺（Quishing: QR code Phishing）

Quishing (QR code Phishing: QRコード詐欺) は、URLを直接記載する代わりにQRコードを用いることで、従来の迷惑メールフィルターによるURL検出を回避しようとする最新の手口 。   

手口と具体的な事例

• 貼り替え詐欺: 広く使われているQRコード（決済端末、ポスター、駐車場精算機など）のステッカーを、攻撃者が偽のコードに密かに貼り替える 。   
• Starbucks QRコード詐欺（2025年7月）: 都内5店舗のスターバックスで、店頭メニュー下に偽QRコードが貼付された。スキャン後、公式に酷似したログイン画面が表示され、PayPay連携を装って認証情報を詐取し、複数の利用者が不正決済被害を報告 。   
• 実店舗の事例: いなげや（2023年）やオートバックスセブンでも、ポスター上のQRコードが不正に差し替えられるケースが確認 。   
• メール・チラシでの悪用: 電子メールやSNSメッセージ内に、画像またはHTML形式で偽のQRコードを記載し、偽サイトへ誘導 。 

対策

読み取り前の確認: QRコードは読み取るまでリンク先の内容が視覚的に確認できないため、安易に読み取らないことが基本   

• 遷移先ドメインの確認: QRコードを読み込んだ後、画面が遷移する前に、必ず表示されたURLのドメインが正規のものであるかを確認 。専用アプリで展開前に遷移先ドメインを確認することも有効 。   
• 物理的な点検: 不審なステッカーや貼り替えた痕跡がないか、物理的なコードにも注意を払う 。   

I.3 音声・電話詐欺（Vishing: Voice Phishing）

Vishing (Voice Phishing: 音声フィッシング) は、電話や自動音声を通じて、ユーザーを騙し、機密情報（パスワードや認証コード）を口頭で聞き出す手口 。従来のオレオレ詐欺と異なり、金融機関を装って「セキュリティ強化」や「不正利用の確認」という口実で情報を引き出す。   

手口と具体的な事例

• 自動音声とOTP窃取（三井住友銀行、2025年9月）: 三井住友銀行を名乗る自動音声で「海外で不審送金が発生しました」と電話。オペレーターに繋がった後、不正利用を解除するためと騙し、通話中にOTP (One-Time Password: 1回限りのパスワード) や暗証番号を伝えさせる手口が多発した。これにより、被害者の口座から300万円以上が不正出金されたケースもある 。   
• みずほ銀行マルチチャネル詐欺: 前述の通り、SMSと電話を組み合わせて、不正な口座異常を信じ込ませ、最終的に電話でOTPを窃取 。   

対策

• 公式コールバックの徹底: 金融機関やサービス提供元を名乗る電話で、金銭や機密情報（暗証番号、OTP）の入力を求められた場合は、すぐに電話を切り、公式ウェブサイトなどで確認できる正規の連絡先へ改めてかけ直す「コールバック検証」を徹底 。   
• 銀行側の広報の確認: 銀行側は「自動音声や電話でPINやOTPを求めることはない」旨を広報している。こうした情報を事前に知っておくことで、電話が詐欺であると判断できる。  

3. AI・パーソナライズ型メール詐欺とクローンフィッシング

フィッシングメールは量だけでなく、質も向上。攻撃者はAIや収集した個人情報を利用し、メールを高度に「個別化（パーソナライズ）」してくる。

手口と具体的な事例

• AI生成メールによるJTB装う偽旅行サイト詐欺（2025年6月）: JTBを名乗る偽メールが、SNSデータをAIで分析したうえで個別化された。件名には「夏休み沖縄ツアー早期予約キャンペーン」といった時期的な誘い文句を用い、本文には受信者の過去検索履歴を反映したかのような内容で誘導。偽サイトでクレジットカード情報が盗まれた 。   
• 楽天カード利用明細を模したクローンフィッシング（2025年2月）: 楽天カードの月次利用明細を完全に模倣したメールが送付された。「セキュリティ更新用リンク」をクリックすると偽サイトに誘導され、多数のカード情報が盗まれた 。   
• PayPay公式を偽装したポイント付与詐欺（2025年1月）: 「50,000円分ポイント付与のお知らせ」としてPayPayを偽装したメールが配信され、リンク先でID・パスワード・カード情報を入力させ、高額決済が行われた 。   

対策

• 件名や文体に騙されない: AIによる文体や内容の個別化が進んでいるため、内容の自然さで信用しないことが重要 。   
• 公式アプリの利用を徹底: ポイント付与やキャンペーンの通知は、メール内のリンクではなく、必ず公式アプリ内の通知や公式サイトで確認する習慣をつける 。   
• カード情報はメールで入力しない: クレジットカード情報やID・パスワードの入力を求めるリンクは、すべて偽物と疑う 。   

4. SNS偽キャンペーン

InstagramやX（旧Twitter）などで、偽のアカウントが大規模なキャンペーンや懸賞を装い、ユーザーを偽サイトへ誘導 。   

手口と具体的な事例

• 偽の懸賞・プレゼント詐欺: Appleや楽天を装った偽キャンペーンが拡散され、当選を口実にクレジットカード番号を入力させる被害が発生 。   
• 偽の著名人アカウント: サッカー選手や芸能人といった偽の著名人アカウントを利用した懸賞詐欺も確認 。   

対策

• 認証マーク（青バッジ）の確認: 本物の公式アカウントであるか、認証マークを確認する。
• 情報提供の警戒: 個人情報やカード情報を求める懸賞は基本的に偽物と疑う 。   

個人が直ちに取り組むべき防御の徹底

フィッシングは技術的に巧妙化してるが、防御の基本を徹底することで、被害の多くは防げる。

認証の強化とMFAの採用:

• 個人はまず、MFA (Multi-Factor Authentication: 多要素認証) を必ず有効化することが重要 。これにより、仮にIDやパスワードが盗まれても不正アクセスを防ぐことが可能になる。特に、   FIDO (Fast IDentity Online: パスワードレス認証の標準技術) に対応したセキュリティキーなどのフィッシング耐性MFAを優先的に利用することで 、従来の   OTPやプッシュ通知の脆弱性も排除し、より強固な防御を実現。

公式チャネルの厳守とリンクの警戒:

• 詐欺メッセージからの誘導を防ぐため、個人はSMSやメールに記載されたリンクは開かず、必ず公式アプリやブラウザのブックマークから直接アクセスする習慣をつける 。これは偽サイトへのアクセスを未然に防ぐために非常に効果的。また、URL・ドメイン確認を徹底することも重要。QRコードやメールで誘導されたページでは、ログインや情報入力の前に必ずURLのドメインが正規のものかを徹底して確認することで 、偽サイト（フィッシングサイト）上での情報入力を防げる。   

フィルタリングの活用と口頭承認の排除:

• フィルタリング活用も有効な防御手段。携帯キャリアの迷惑メッセージブロック機能や、PC・スマートフォンのセキュリティ対策ソフトを活用することで 、そもそも詐欺メッセージが届きづらい環境を構築できる。
• また、  口頭での情報提供の禁止を徹底。電話で銀行やサービス提供元を名乗られても、OTPやPINコードを口頭で伝えることは絶対に避けなければならない 。不審な電話はかけ直して確認することで、Vishing（音声フィッシング）による金銭被害を防ぐことができる。

フィッシング詐欺は多様化・巧妙化を続けており、攻撃者はAIによる文体の個別化まで駆使している。今後は生成AIを活用したフィッシングが増えることが予想される。これに対抗するためには、個人の注意義務の徹底と、技術的な「多層防御」の確立が不可欠 。