「フィッシング詐欺」被害相次ぐ 大手銀行などが注意呼びかけ

金融機関を装って偽サイトなどに誘導し、IDやパスワードを盗んで預金をだまし取る「フィッシング詐欺」の被害が、ことし半年間で30億円と過去最悪のペースで相次いでいます。こうした状況を受けて大手銀行や地方銀行などは利用者に対し、一斉に注意の呼びかけを行いました。

警察庁によりますと、インターネットバンキングに関する「フィッシング詐欺」の被害は、ことし6月までの半年間に2322件確認され、被害額はおよそ30億円と、これまでで最も多くなりました。

これは、去年1年間の被害額のほぼ2倍になっていて、このうち66％に当たるおよそ20億円は、店舗を持たないネット専業の銀行や信託銀行の口座での被害が占めているということです。

警察庁は、犯行グループのターゲットになる金融機関が多様化していると分析していて、金融庁と連携して対応に当たっているほか、このほど大手銀行や地方銀行、ネット専業銀行などが一斉に利用客に対し、注意の呼びかけを行いました。

先月末、大手銀行が送った1通のメールが、SNSで話題になりました。

三井住友銀行が先月30日にすべての顧客に宛てたメールは「重要・緊急入出金を規制させていただきました…などのメールは詐欺です」というタイトルで送られました。

本文には、フィッシング詐欺で実際に使われた文言を使って被害に遭わないよう注意を呼びかけました。

しかしSNSでは「かなりドキッとした」「本気でびびったのでやめて」「どっちが詐欺だかわからなかった」「予行演習になった」などと、本当に入出金できなくなると信じた人やこのメール自体がフィッシング詐欺ではないかと疑う人など、さまざまな意見が寄せられ、話題になったのです。

三井住友銀行の担当者は「これまでも繰り返し注意を呼びかけてきましたが、ことしに入ってフィッシング詐欺の被害が増え続けているので、実際の詐欺の文言を使うことで呼びかけを効果的にするねらいでした。こうしたメールをあわてて開いてしまうと被害につながるので、被害に遭わないためのきっかけとして今回のメールを捉えてほしい」としています。

被害が急増した背景には、偽サイトが精巧に作られてることがあります。

メガバンク3行の正規サイトと偽サイトのログイン画面を比べてみます。

よく見ると、URLは正規サイトと違っていますが、使われている色や文字、会社のロゴは同じで、見分けがつきません。

さらに偽サイトのほうにも「フィッシング詐欺にご注意ください」とか「偽メールにご注意ください」などと書かれています。

フィッシング詐欺で、およそ740万円をだまし取られた札幌市の30代の男性が巧妙な手口について証言しました。

ことし5月、男性のもとに「インターネットを使った銀行口座の入出金が制限された」といううそのメールが届きました。

送信元には男性がメインバンクにしている銀行の名前が表示されていました。

銀行からこうしたメールが届いたことはありませんでしたが、その銀行で住宅ローンを組んだ直後だったことなどから、信用してしまったといいます。

男性は「冷静にアドレスを見ていればたぶんわかるはずですが、アドレスを見ずに差出人の銀行名だけで判断してしまった。ちょうど住宅ローンを組んだところだったので、あながちタイミングとしておかしくないし、これまでの迷惑メールは日本語に違和感があったが、今回はそれがなかった」と話していました。

そしてメールに書かれていた「規制解除」というボタンを押したところ、本物とそっくりの偽の銀行サイトに誘導され、口座番号と暗証番号、銀行の支店番号、それにインターネットで入出金などをする際に必要なワンタイムパスワードを指示されるまま入力してしまったということです。

その後、今度は銀行からの本物のメールで「振込受付完了」という内容が届き、知らない口座に736万円が勝手に送金されていることに気付きました。

男性は「銀行のロゴが使われていて画面のデザインが結構リアルで、思わず信じてしまった。実行ボタンを押して、その5分から10分後にお振り込み受け付け完了のお知らせが来て、それをチェックしたら、残金がすっからかんだった。頭が真っ白になって、やってしまったと。自分だけは大丈夫と思っていただけにショックは大きかった」と語りました。

すぐに銀行に問い合わせて、手続きを行ったことから、だましとられた金は後日、銀行が全額補償してくれたため今回は金銭的な被害は免れたということです。

男性は「自分だけはだまされないと思う人に限って、こういうケースに陥ることが往々にしてあると思う。自分は大丈夫という思い込みを捨てた方がいい。私自身も突然きたメールを疑ってしっかりと細部まで見るなど情報を精査することが必要だった」と話していました。

札幌市の男性の被害について、警察と連携してネット犯罪の分析や対策を進める「日本サイバー犯罪対策センター」は「リアルタイム型フィッシング詐欺」の可能性を指摘します。

利用者がIDやパスワードを偽サイトに入力するのをリアルタイムで把握し、次々に別の認証画面を表示させて個人情報を抜き取り、あっという間に預金口座から不正送金してしまう手口です。

利用者が偽のサイトにアクセスすると、まずは金融機関のIDやパスワードの入力を求められます。

裏で待ち構えている詐欺グループは、盗み取ったIDなどで正規のサイトにログインしますが送金を行うためには、続いて一定の時間だけ有効な「ワンタイムパスワード」などの入力も求められます。

このため犯行グループは多いときで30もの認証画面を事前に作成しておき、金融機関からどのような情報を求められても、リアルタイムで利用者から情報を引き出せるよう周到に準備しているといいます。

日本サイバー犯罪対策センター分析チームの松ヶ谷新吾さんは「攻撃者（犯行グループ）が裏で待ち構えていて、だまされた人が偽サイトに誘導されて入ってきたら画面を自在に切り替えながら、さまざまな個人情報を抜き取り、その場で不正送金を済ませてしまう。対話型にすることで不正送金の成功率を高めているのが、このリアルタイム型のフィッシングの恐ろしいところだ」と指摘します。

さらに被害が相次ぐ背景には、複数の犯行グループがターゲットにする金融機関を次々に変更している実態があるとみられています。

「日本サイバー犯罪対策センター」では新しい偽サイトが出現すると自動的に情報を集約する観測システムを設けています。

その分析結果です。

▽ことし2月に金融機関の偽サイトが急増し、ネット専業の銀行を中心に160件出現しました
▽3月は特定の信託銀行が集中的に狙われて670件
▽4月は信託銀行に加え、ネット銀行や都市銀行にも拡大し、762件に
▽5月は首都圏の地方銀行が狙われて377件
▽6月は複数の都市銀行が増加傾向となり187件
▽7月は信託銀行と都市銀行を中心に774件が出現しました。

さらに犯行グループそれぞれの特徴も見えてきました。

急増する偽サイトについて、サイトや手口の特徴に基づいてグループ化したところ「BP1」「CP20」「CP29」と名付けた主に3つのグループが、緩くつながりながら活発に活動している疑いがあることがわかりました。

松ヶ谷さんたちが注目したのが、特定のネット銀行に執着する傾向のある「BP1」です。

松ヶ谷さんは「このグループは古くから活動しているグループで、もともとはモバイル系とか政府系を狙っていたが、ことしに入ってネット銀行と一部、都市銀行も被害に遭っている。SMSやマルウェアを使ったボットネットで偽サイトを大量にばらまいていくのが特徴です。『BP1』は以前も銀行を狙っていたグループだったが、これほど大量の画面を作ってきたのは初めてで、かなり時間をかけて偽サイトを開発している様子がわかる」と話しました。

フィッシングによる不正送金の被害が相次いでいる金融機関では、乱立する偽サイトへの対応に追われています。

こちらの大手銀行では、専門のチームを立ち上げて、24時間体制で偽サイトを検知した上で、アクセスできないようにする措置を講じています。

具体的には、インターネット上の住所にあたるドメインを発行する事業者に対し、偽サイトの閉鎖を申請したり、申請が通るまでの間、利用者がアクセスしないようグーグルなどの検索エンジンに対し、警告画面を表示するよう求めたりしています。

ただ、この銀行では、多いときで1日に100件を超える偽サイトが立ち上がります。

いたちごっこの状況が続くため、各金融機関どうしで他行の偽サイトを見つけた場合は情報を共有したり、サイトを閉鎖する手続きをお互いに取り合ったりするなど、連携して対策を進めています。

銀行の担当者は「被害に遭った人の中には根こそぎ資産を奪われ、住宅ローンや公共料金の支払いにも困る人もいます。できるだけ迅速に対応していますが、いたちごっこの状況が続いているのが現状です。犯行グループについての詳細な情報を共有して各銀行のブロックリストに登録することで、2次被害を防ぐこともできる。危機感を互いに共有し、手を組んで対策を進めないといけないと思っています」と話していました。

被害に遭わないために、私たち一般の利用者はどうすればいいのか。

フィッシング詐欺の実態と対策に詳しい専門家に聞きました。

ヤフーでサイバーセキュリティーを担当する大角祐介さんによりますと、3年ほど前までは、日本語が不自然で画面が明らかに本物ではないとわかるサイトが多かったものの、今は正規サイトを簡単にコピーできてしまい、犯行グループは偽サイトを高度に作り込んでいると指摘します。

大角さんは「そもそもフィッシングのメールやサイトを見破るとか見分けるというのはまず無理というところから始めたほうがいいと思います。メールの差出人も詐称することができるため、結局どこを見ても見分けられないというのが厳然とした事実です」と話していました。

そのうえで、私たちができる対策として2つのポイントを勧めています。

ふだん使っている金融機関の公式サイトをパソコンやスマートフォンでブックマークしたり、公式アプリをホーム画面に登録しておき、ログインするときは、ブックマークかアプリからアクセスすること。

届いたメールは詐欺の疑いがあるとして信用しないこと。

早朝や深夜の時間帯は、注意力が落ちるため、特に被害に遭いやすい傾向がある。

フィッシングのメールもこの時間帯にばらまかれることも多いので、日中の時間帯に落ち着いて判断することが大切。

大角さんは「企業側のセキュリティ対策や一般ユーザーの意識の向上で詐欺グループ側がもうからなくなれば、自然と詐欺被害は減っていくと考えられる。フィッシングというとわからない人もいると思うが、犯罪グループに渡るものがお金からIDやパスワードに変わっただけの『ネット版オレオレ詐欺』だと考えてほしい。金融資産を自分で守るために詐欺に気をつけるという心構えで対応してほしい」と話していました。