追跡 記者のノートから“見分けるのは無理” 知ってほしい「フィッシング詐欺」対策は

2023年9月8日事件 社会

問題です。
どちらが正規のサイトで、どちらが偽サイトでしょうか?

偽サイトに誘導し、IDやパスワードを盗んで預金をだまし取る「フィッシング詐欺」。

「見破るとか見分けるというのはまず無理」
サイバーセキュリティーの専門家はこう警鐘を鳴らしています。

ことし6月までの半年間の被害は去年1年間の2倍。
巧妙化する犯行グループの手口、そして私たちにできる対策を取材しました。

(社会部記者 安藤文音 田中開/札幌局記者 今江太一)

SNSで話題になった1通のメール

三井住友銀行が先月、すべての顧客に送ったこちらのメール。

「【重要・緊急】入出金を規制させていただきました…などのメールは詐欺です」というタイトルで送られ、フィッシング詐欺で実際に使われた文言を使って注意を呼びかけました。

これに対しSNSでは…。

かなりドキッとした

本気でびびったのでやめて

どっちが詐欺だかわからなかった

予行演習になった

本当に入出金できなくなると信じた人やこのメール自体がフィッシング詐欺ではないかと疑う人など、さまざまな意見が寄せられ話題になりました。

三井住友銀行の担当者
「これまでも繰り返し注意を呼びかけてきましたが、ことしに入ってフィッシング詐欺の被害が増え続けているので、実際の詐欺の文言を使うことで呼びかけを効果的にする狙いでした。こうしたメールをあわてて開いてしまうと被害につながるので、被害に遭わないためのきっかけとして今回のメールを捉えてほしいです」

メガバンクのサイトでも

メガバンク3行の「正規サイト」と「偽サイト」の1例をそれぞれ比較してみます。

「みずほ銀行」
「三井住友銀行」
「三菱UFJ銀行」

記事の冒頭で問題として質問した三菱UFJ銀行のサイト。

よく見るとURLは正規サイトと違っていますが、使われている色も文字も会社のロゴも同じ。
しかも偽サイトの方にも「偽メールにご注意ください」などと書いてあります。

“10分間で736万円” 不正送金の被害

実際に現金をだまし取られたという札幌市に住む30代の男性が取材に応じてくれました。

男性のもとにメールが届いたのはことし5月でした。

「銀行口座の入出金が制限された」という内容で、送信元には男性がメインバンクにしている銀行名が表示されていました。

銀行からこうしたメールが届いたことはありませんでしたが、この銀行で住宅ローンを組んだ直後だったことなどから、信用してしまったといいます。

被害者の男性
「差出人の銀行名だけで判断してしまいました。ちょうど住宅ローンを組んだところだったのでタイミングとしてはおかしくなかったし、これまでの迷惑メールは日本語に違和感があったのに今回はそれがなかったんです」

そしてメールに書かれていた「規制解除」というボタンを押したところ偽サイトに誘導され、口座番号や暗証番号、支店番号、それにインターネットで入出金などを行う際に必要なワンタイムパスワードの入力を求められました。

すると10分後。
今度は「振込受付完了」を知らせる正規のメールが届き、知らない口座に736万円が勝手に送金されていることに気付きました。

被害者の男性
「預金残高がすっからかんになっていて頭が真っ白になりました。自分は大丈夫と思っていただけにだまされたショックは大きかったです」

“リアルタイム型フィッシング詐欺”の脅威

日本サイバー犯罪対策センター(JC3)の打合せ

口座番号などを入力してわずか10分で預金が不正送金されてしまった札幌の男性のケース。

警察と連携してネット犯罪の分析や対策を行っている「日本サイバー犯罪対策センター(JC3)」は「リアルタイム型フィッシング詐欺」の可能性を指摘します。

利用者がIDやパスワードを偽サイトに入力するのをリアルタイムで把握し、次々に別の認証画面も表示させて個人情報を抜き取り、あっという間に不正送金してしまう手口です。
犯行グループが事前に準備する偽の認証画面は、多いときはおよそ30に上るといいます。

JC3分析チーム 松ヶ谷新吾さん(トレンドマイクロ)
「攻撃者(犯行グループ)が裏で待ち構えていて、だまされた人が偽サイトに誘導されて入ってきたら個人情報を抜き取るための画面を次々に表示させます。ログイン情報を盗んだら同時進行でインターネットバンキングに入れるかを試し、さらに一定の時間だけ有効なワンタイムパスワードを入力させるための画面などに切り替えていき、その場で不正送金を済ませてしまうのです」

複数グループが月ごとにターゲット変更

被害が急増している背景には、複数の犯行グループがターゲットにする金融機関を次々に変更している実態があるとみられています。

「日本サイバー犯罪対策センター(JC3)」では、新しい偽サイトが出現すると自動的に情報を集約する観測システムを設けています。

その分析結果です。

・2月:金融機関の偽サイトが急増。ネット銀行が中心(160件)
・3月:特定の信託銀行が集中的に狙われる(670件)
・4月:信託銀行に加え、ネット銀行や都市銀行にも拡大(762件)
・5月:首都圏の地方銀行が狙われる(377件)
・6月:複数の都市銀行が増加傾向(187件)
・7月:信託銀行と都市銀行中心(774件)

さらに犯行グループそれぞれの特徴も見えてきました。

松ヶ谷さんたちがサイトや手口の特徴に基づいてグループ化したところ、「BP1」「CP20」「CP29」と名付けた主に3つのグループが緩くつながりながら活発に活動している疑いがあることがわかりました。

中でも注目しているのが、特定のネット銀行に執着する傾向のある「BP1」です。

松ヶ谷新吾さん
「BP1は以前も銀行を狙っていたグループで、『キープスパイ』というウイルスを携帯電話に感染させるとSMSを大量にばらまくことができ、メッセージを開いてクリックした人から個人情報を窃取しようとしています。これほど金融機関の偽の画面を作ってきたのは初めてで、かなり時間をかけて偽サイトを開発していると感じます」

「見分けるのは無理」 一般ユーザーはどうすれば?

被害に遭わないために、私たち一般ユーザーはどうすればいいのか。

フィッシング詐欺に詳しい、ヤフーでサイバーセキュリティーを担当する大角祐介さんに聞きました。

大角さんによると、3年ほど前までは日本語が不自然で画面が明らかに本物ではないとわかるサイトが多かったものの、いまは正規サイトを簡単にコピーできてしまうといいます。

ヤフー 大角祐介さん
「そもそもフィッシングのメールやサイトを見破るとか見分けるというのはまず無理というところから始めたほうがいいと思います。メールの差出人も自由に詐称できるので、結局どこを見ても見分けられないというのが厳然とした事実です」

そのうえで私たちができる対策として勧められたのがこちら。

①ブックマークした公式サイトや公式アプリからアクセス

ふだん使っている金融機関の公式サイトをパソコンやスマートフォンでブックマークしたり、公式アプリをホーム画面に登録したりしておく。
ログインするときは、ブックマークかアプリからアクセスする。

②メールは信じない 早朝や深夜に操作しない
届いたメールはまず信じないこと。
早朝や深夜の時間帯は注意力が落ちているため、特に被害に遭いやすい傾向がある。
フィッシングのメールもその時間帯にばらまかれることも多いので、日中の時間帯に落ち着いて判断することが大切。

大角祐介さん
「フィッシング詐欺というとよくわからない人もいますが、犯行グループに渡すものがお金からIDやパスワードに変わっただけの『ネット版オレオレ詐欺』だと考えてほしい。金融資産を自分で守るために詐欺に気をつけるという心構えで対応してもらえれば被害は減ると思います」

金融機関は24時間体制で対応

金融機関のフィッシング対策専門チーム

一方、フィッシングによる不正送金の被害が相次いでいる金融機関では、乱立する偽サイトへの対応に追われています。

こちらの銀行では専門のチームを立ち上げ、24時間体制で偽サイトを検知したうえでアクセスできないようにする措置を講じています。

具体的には偽サイトの閉鎖を申請したり、申請が通るまでの間、利用者がアクセスしないようにグーグルなどの検索エンジンに対して警告画面を表示するよう求めたりしています。

警告画面

ただこの銀行では多いときで1日に100件を超える偽サイトが立ち上がります。

どうしてもいたちごっこになるため警察に被害相談を行うほか、各金融機関どうしで他行の偽サイトを見つけた場合は情報を共有したり、サイトを閉鎖する手続きをお互いに取り合ったりするなど、連携して対策を進めています。

銀行の担当者
「被害者の中には根こそぎ資産をとられ、住宅ローンや公共料金の支払いに困っている人もいます。犯行グループに関する詳細な情報を共有して各金融機関のブロックリストに登録することで二次被害を防ぐこともできるので、危機感を互いに共有していきたいと考えています」

半年で30億円 過去最悪ペースの被害

警察庁によると、ことし6月までの半年間にインターネットバンキングに関するフィッシング詐欺の被害額は30億円とこれまでで最も多くなりました。

これは去年1年間の被害総額のほぼ2倍で、いかに急増しているかがわかります。

警察庁は金融庁とともに先月、緊急の呼びかけを行ったほか、地方銀行なども連携して利用客に対し、注意を呼びかけています。

「そもそも見分けるのは無理」

私たちもこの前提に立って対策をとるしかなさそうです。
皆さん気をつけましょう。

  • 社会部記者 安藤 文音 2013年入局。
    大津局、大阪局を経て、2020年から社会部で警視庁や環境省を担当。
    現在は警察庁担当。
    趣味は山登りとウクレレ。

  • 社会部記者 田中 開 2018年入局
    高知局を経て、2023年から社会部・警視庁担当
    投資詐欺など生活に身近な事件を取材

  • 札幌放送局 記者 今江 太一 2023年入局。初任地札幌局。
    現在は道警を担当。
    滋賀県出身でCD、レコード収集が趣味。

他の記事はこちら
TOPページへ戻る