「見分けるのはほぼ不可能」――NISA普及でフィッシング詐欺横行、対策急務に

　「証券口座が乗っ取られた」――。NISA（少額投資非課税制度）の拡充で投資初心者が急増する中、証券会社のサイトに似せた偽サイトに個人情報を入力させるフィッシング詐欺が横行している。

【画像8枚】多要素認証も無力化　「リアルタイムフィッシング」の認証突破フロー

　サイバーセキュリティ対策を手掛けるトレンドマイクロによると、証券会社9社に対して少なくとも10種類のフィッシングキットが使用され、投資家が意図しない中国株購入などの被害が相次いでいる。詐欺手口の巧妙化が進み、「正規サイトと見分けることはほぼ不可能」（本野賢一郎詐欺対策チーフアナリスト）との指摘も出ている。顧客が被害に気付くまでに平均2年9カ月かかっており、対策は急務だ。

　最新のフィッシング詐欺の手口はどのようなものなのか、対策法はあるのか。4月16日にトレンドマイクロが開催したセミナーの内容を一部紹介する。

●証券口座を狙う詐欺の実態

　「貯蓄から投資へ」の流れを加速させる国策のもと、新NISA制度が2024年1月に始まって以降、証券口座の開設数は急増している。こうした状況を詐欺集団も敏感に察知したのか、証券口座への不正アクセスの被害は拡大の一途をたどっている。

　トレンドマイクロの調査によると、2025年3月時点で証券会社9社に対して少なくとも10種類のフィッシングキットが使用されていることが確認された。フィッシングキットとは、偽サイトの作成や個人情報の窃取、データの送信などを自動化するツール一式のことだ。こうしたキットがテレグラムなどのメッセージングアプリで売買されており、詐欺の「産業化」が進行しているとみられる。

　特定の証券会社においては、わずか1社に対して8つもの構造的な特徴が異なるフィッシングサイトが確認されており、複数の詐欺グループが異なる攻撃手法で同一の金融機関を標的にしている実態が浮かび上がる。

　被害は主要な証券会社に広がり、楽天証券、SBI証券、野村証券、SMBC日興証券、マネックス証券、松井証券の計6社で口座乗っ取りが確認された。各社がフィッシング詐欺やマルウェアによる不正取引を相次いで公表する異例の事態となっている。

　証券会社を狙う詐欺の特徴は、単純な金銭詐取ではなく、株価操作による利益獲得を目的としている点だ。3月には「意図しない中国株式を勝手に購入された」という報告が相次いだ。犯罪グループは不正に侵入した証券口座を通じて株を大量に購入して価格をつり上げ、売り抜けて利益を得ている可能性がある。実際、複数の証券会社が中国株や日本株の一部銘柄でオンライン注文の停止措置を取る事態に発展した。

　「NISAなどで多くの人が証券口座で取引をするようになってきていて、国策としても大成功している」とトレンドマイクロ詐欺対策チーフアナリストの本野賢一郎氏は評価する。一方で「一般投資家、素人のような方々が増えたことで、証券口座利用者の知識不足とか管理不足が詐欺グループに狙われている」と危機感を示す。

　証券口座での取引は、株価の変動が大きい場合に即座に対応する必要があるため、セキュリティ強化が取引の機動性を損なうジレンマがある。日本証券業協会は多要素認証の義務化を検討しているが、「多要素認証を煩わしいと思う顧客もいる」（日証協森田敏夫会長）との懸念もあり、利便性とセキュリティのバランスが課題となっている。「最近の証券口座は一般の方が家族や自身の大切な資産を運用しているケースも多く、銀行口座より証券口座の方が怖い」と本野氏は指摘する。

●詐欺手口の高度化と見分けることの困難さ

　「もはや詐欺サイトと正規サイトを見分けることは不可能になりつつある」――。トレンドマイクロの本野氏はこう警鐘を鳴らす。詐欺手口の巧妙化は、技術の進化とともに加速している。

　特に警戒すべきは「リアルタイムフィッシング」だ。多くの金融機関が導入している多要素認証を突破するため、詐欺師はリアルタイムで情報を詐取し、即座に悪用するシステムを構築している。

　具体的な流れはこうだ。まず、利用者がフィッシングサイトで本物だと思い込んでログイン情報を入力する。フィッシングサイト上では「確認中」という画面を表示させてユーザーを待機させる間に、詐欺師は盗んだ情報で本物の証券会社のサイトにログインする。そして、本物のサイトから送信される追加認証の情報を取得し、偽サイトにいる利用者に「追加認証が必要です」と表示して情報を入力させる。利用者が追加認証情報を入力すると、詐欺師はそれをリアルタイムで使って本物のサイトでの認証を完了させるのだ。

　「これまでセキュリティ対策の基本とされてきた多要素認証も、もはや完全な防御とはいえない状況になっている」と本野氏は指摘する。

　詐欺サイトの精巧さも進化し、かつてのようにURLや画面レイアウトの違いで見分けることは困難になっている。都市銀行を偽装したフィッシングサイトの中には、取引規制の解除を名目に情報を入力させ、電話認証やSMS認証を突破するリアルタイムフィッシングに対応しているものもある。

　被害に気付く期間も長期化しており、ECサイトからの情報漏えいでは平均2年9カ月もの時間がかかっている。被害発覚のきっかけも、ほとんどがクレジットカード会社や警察からの指摘によるものだ。

●「スマホ狙い」も増加

　さらにフィッシング詐欺の主戦場がPCからスマートフォンへと急速に移行している。特に「スミッシング」と呼ばれるSMSを利用した詐欺が拡大しており、国内では「XLOADER」と「KeepSpy」という2つの不正アプリが大きな脅威となっている。

　「詐欺メッセージは毎日内容を変えながら継続的に発信されている」と本野氏は警戒を促す。詐欺集団は地域特性を考慮した攻撃も展開し始めた。旧NTT地域会社の電話番号帯に基づき、北海道では北海道銀行、四国では四国銀行というように、地域ごとの銀行を装ったメッセージが送られてくる。

　さらに次世代メッセージングサービス「RCS」での悪用も始まっている。RCSはLINEに似た見た目で情報量が多く、より巧妙な詐欺が可能になる。トレンドマイクロは2024年4月頃からRCSのグループチャット機能を悪用したスパムメッセージを確認しており、iPhoneでも対応が始まったことで拡大が懸念される。

　一方で企業側はSMSを手放せない状況にある。「SMSは開封率が非常に高く、業務効率化に不可欠な要素となっており、多くの金融機関ではむしろ活用を拡大する方向にある」と本野氏は企業の事情を説明する。この「やめられないSMS」という実態が、詐欺と正規サービスの区別をさらに困難にしている。

　スマートフォンを標的としたサポート詐欺も増加している。モバイル向けの偽警告画面からワンタップで詐欺業者に電話がつながる手口は、PC版よりも被害が拡大しやすい。「固定電話だけでなくスマートフォンが標的になることで、若年層も詐欺の被害者になりやすい環境が生まれている」と本野氏は警告する。

●求められる対策と国レベルでの連携強化

　詐欺の巧妙化が進む中、本野氏は「詐欺の手口を知ることが最も有効な対策の一つ」と強調する。さらに個人レベルでは、自分の情報がどの程度漏えいしているかを事前に確認することも有効だという。

　最大の課題は詐欺発見時の通報窓口の不在だ。「総務省をかたる電話があり、番号を聞いて本物の総務省に電話したが、放っておいてくれと言われた」という利用者の体験に対し、本野氏は「現状ではユーザーが詐欺に気づいた時に相談できる窓口がない」と問題点を指摘する。

　「日本には企業や省庁をまたいだ詐欺通報の仕組みがなく、横の連携が不足している」。詐欺に関する情報は各企業や官公庁に分散しており、通報を受けても「対応しきれない」状況だ。「シンガポールには政府主体で情報共有の仕組みがある。日本にもそういった仕組みが必要」と訴える。

　金融サービスのデジタル化と詐欺対策は表裏一体だ。証券会社各社は被害拡大防止のため一部銘柄のオンライン注文停止を余儀なくされており、日本証券業協会は多要素認証の義務化を含めたガイドライン見直しを検討している。

　本野氏によれば、今後の詐欺対策では、詐欺を見分けようとする従来のアプローチから、発生を前提とした対処へと考え方を変える必要がある。「インターネットに触れる=詐欺に合うという認識を全てのユーザーが持つべき時代に入っている」との警告とともに、産官学が連携した総合的な対策構築を訴えた。

筆者：斎藤健二