偽メール相次ぐ被害 心当たりがあっても注意 最新手口は
2025年2月15日 18時05分
「配送先の住所が間違っています」
スマートフォンに届いた宅配会社をかたる1通のメール。再配達に必要だとして住所やクレジットカード番号などの個人情報の入力を求めてきました。
冷静に見れば怪しいはずなのに…なぜ情報を入力して、だまし取られる被害が後を絶たないのか。
当事者への取材を進めると、その背景が見えてきました。
お歳暮を送ったばかりで
静岡県に住む50代の女性がメールを受け取ったのは去年12月。
「配送先の住所に誤りがあったため、荷物を配達できませんでした」と記載されていました。
メールには送り状番号や偽メールへの注意喚起も記載されていて、説得力があったといいます。
さらに女性には受け取ったメールに、心当たりがありました。
50代女性
「メールを受け取る数日前にショッピングセンターからお歳暮の果物を知人に送っていました。いつもはスマホのアプリから宛先を登録して伝票を印刷していましたが、たまたま手書きで送っていたので間違えたんじゃないかなと思って、しかも送ったのが果物だったので腐ったら大変だと焦って、リンクを押してしまいました」
リンクを開くと会社のロゴが入ったサイトが表示され、配送先の住所とクレジットカード番号を入力するよう求められました。
デザインもふだん見慣れたものとよく似ていたため、女性は疑うことなく情報を入力。送り状の控えは捨ててしまっていたため、番号が正しいかどうかも分かりませんでした。
再配達のための追加料金が必要なのかと思いクレジットカード情報を入力し、送信ボタンを押す直前に、ふと最初のメールに戻ってアドレスがおかしいことに気がつきました。
念のため近くの宅配会社の営業所を訪ねて確認したところ、従業員からメールは偽物だと説明を受け、フィッシング詐欺だったことが分かりました。
50代女性
「ふだん使っているメールアドレスに届いたので、まずびっくりして、本当にたまたま自分はアドレスを見て気づけたけれど、どうやって見分けたらいいんだろうと思いました。カード番号や送り先の相手の個人情報を入力しかけていたので、すべて送ってしまっていたらどうなってしまっていたんだろうという怖さも感じます」
SNSにも同様の再配達案内の偽メールを受け取ったという投稿は相次いでいます。
不在通知の偽のショートメッセージは以前から確認されていますが、この手口の巧妙なところは「送り状番号」の悪用です。
メールに記載されていた送り状番号を、宅配会社の公式サービスに入力すると、配送中などと表示されるケースも確認されています。実在する番号を悪用しているとみられ、宅配会社では利用者に注意を呼びかけています。
ヤマト運輸
「お届け予定通知やご不在通知のメールで、カード情報を入力させることはありません。また、住所に誤りがあった際に、当社からお客さまへメールでご連絡することはございません。『住所に誤りがあった』とするメールについては、すべて偽物とご認識いただければと思います」
【動画解説】被害が相次ぐ背景はサタデーウォッチ9(2月15日放送)
NHKプラス 配信期限 2/22(土) 午後10:00 まで
大量にばらまかれる偽メール
こうした企業や公的機関になりすまして、利用者にばらまかれる偽メールの量は、いま急速に増えています。
民間の事業者で作るフィッシング対策協議会に、去年1年間に報告された偽メールの件数は171万8036件。前年より52万件余り増えて過去最多となりました。
その数は5年前と比べると実に30倍以上。犯罪グループが、自動化したシステムなどを使って大規模にメールを送信しているとみられています。
なりすまされる業種の内訳は
▽クレジットカード会社が最も多いものの、
▽アマゾンなどの通販サイトや
▽東京電力や東京ガス、水道局など、ライフライン関連の事業者、
▽都市銀行や地方銀行、農協など、多岐にわたっています。
“用心していたのに”
ばらまかれる量が増えたことで、たまたま心当たりのあるメールが利用者に届いてしまうケースも相次いでいます。
栃木県に住む60代の女性は去年10月、登録していたチケット販売サイトをかたったメールを受け取りました。
クレジットカードのセキュリティー強化を理由に、リンク先のサイトから手続きを進めるよう求める内容が記載され、メールのドメインも、公式サイトと同じものが表示されていました。
60代女性
「いつもだったら偽物かもと用心深く見るのですが、少し前にたまたま公式ホームページでよく似た内容の注意喚起を見ていてそれが頭に残ってしまっていました」
セキュリティー強化のために必要なのだろうと思い、リンク先でログイン用のID、パスワードに加え、住所や名前、電話番号とクレジットカード情報を入力し、送信。
その後、手続き完了のメールが届かないことに違和感を覚え、公式サイトを見返したところ、記載されていた送信元のメールアドレスと、届いたアドレスとが微妙に違っていることに気がつきました。
急いでクレジットカード会社に連絡して再発行の手続きを行い、いまのところ不正利用は確認されていないものの、個人情報が流出したことへの不安は残り続けているといいます。
60代女性
「まず思ったのが『あーやられた』っていう悔しさと、用心していたにもかかわらず、(タイミングによっては)すとんと引っかかってしまうことがあるんだなという驚きでした。そういうフィッシングメールがかなり出回っていることは分かっていたのに、言い訳になりますが本当に巧妙な画面でしたので、引っかかる人は引っかかってしまうなと実感しました」
対応に追われる企業は…
深刻化するフィッシング詐欺の被害に、なりすまされる企業も危機感を強めています。
都内にある決済事業も手がける大手通信会社では、フィッシング詐欺に迅速に対応するため、部署を横断する数十人のチームを作り、情報収集を進めています。
今月、利用者に送りつけられた偽メールは、3年前に実際に会社が送った案内メールがまるごとコピーされていました。リンク先の偽サイトも、本物のロゴやデザインがそのまま流用されています。
最近は偽サイトに情報を入力すると、犯罪グループがすぐにその情報を悪用して不正送金や、クレジットカード情報を不正利用する「リアルタイムフィッシング」と呼ばれる手口も多く確認されているということです。
NTTドコモ チーフセキュリティアーキテクト
森山光一さん
「見た目は本当にほとんど同じで、正直私にも区別がつきません。こういうもので実際にフィッシングの被害が出てきていることを知るにつけ、根本的な仕組みで対策しなければならないと改めて思います」
新技術で被害を防ぐ
この通信会社では被害を防ごうと、さまざまな取り組みを進めています。運営するメールサービスでは、偽メールの可能性があるものを分類して、利用者の閲覧画面に表示するシステムを去年、導入しました。
事業者からの申請を受けて、登録した公式のメールアドレスには、緑色の認証ラベルを付けるように、なりすましの可能性があるアドレスには黄色のラベルを付けるようにして、利用者が一目で公式かどうか分かるようにしました。
さらにこの会社が期待を寄せているのが顔や指紋などの認証を使った「パスキー」と呼ばれる注目の新技術です。
パスワードの場合、だまし取られると、別の端末からサービスにログインされ不正利用につながります。
一方、パスキーはパスワードの代わりに、利用者のスマートフォンの端末などに保存されている顔や指紋認証などを使います。自分の端末以外で認証することができないため、パスワードのように盗み取られることがありません。
この通信会社では、自社が発行するサービスでパスキーを導入したことで、フィッシング詐欺による不正利用の被害が大幅に減っているといいます。
NTTドコモ サイバーセキュリティ対策室
儀間哲仁 室長
「次々に手口が出てきていたちごっこになっているので、危機感はすごく高く持っています。お客様がどこで被害にあうのか全く分からない状況になってきていますので、きっかけになるところを一つでも減らしていけるように、業界全体で取り組んでいく必要があると思っています」
いったい誰がメールを?
被害が後を絶たないフィッシング詐欺。そもそも犯罪グループを特定し、検挙できないのでしょうか。
セキュリティー会社「トレンドマイクロ」のリサーチャーで、民間企業や警察などの連携組織「日本サイバー犯罪対策センター(JC3)」で活動する松ヶ谷新吾さんに聞きました。
松ヶ谷さんによると、銀行になりすまして偽メールをばらまいているグループを分析したところ、5か月以上にわたって活動を続けている3つの犯罪グループが確認されたということです。
このうち「BP1」と名付けたグループは、最も多くの偽サイトをつくっています。SMS、いわゆるショートメールを使ったフィッシングを仕掛けて、巧みに偽サイトに誘導します。
一方で、「CP29」と名付けたグループは、偽サイトもターゲットも少数。しかし、都市銀行を集中的に狙い、すぐに不正な送金を仕掛ける手口を使っています。短期間で被害を生み出す危険なグループだといいます。
これだけでは犯人の特定には及ばないものの、手口を分析することで、いち早い対応につなげることができるといいます。
たとえば「BP1」の場合、アカウントの乗っ取りに成功しても、すぐに動かさず、時間をおく手法をとることがあるといいます。
日本サイバー犯罪対策センター
松ヶ谷新吾さん
「即座に不正な送金をしないケースも観測されています。銀行側では、しばらく監視を続け、場合によっては、疑わしい端末をリセットすることも検討する必要があります」
近年ではこうした分析などを活用して、対策も進んできています。
日本サイバー犯罪対策センター
松ヶ谷新吾さん
「以前よりはかなり早い段階で、銀行やセキュリティー会社が偽サイトの削除に動くなどの対応を取っています。とはいえ、短期間に大量にフィッシング攻撃が仕掛けられると、対応が漏れたり、遅れが出たりしてしまう可能性はあります」
だまされないためには?
では、フィッシング詐欺にだまされないために、私たちはなにをすべきなのか。
フィッシング対策協議会によると、対策のポイントは次の3つです。
1, 見た目で判断はNG
文面やデザインから、メールやサイトが本物かどうかを判断してはいけません。最近は本物をコピーした精巧なものばかりで、見た目での判断は専門家でも難しいといいます。
2, ブックマーク・公式アプリ活用を
突然届いたメールのURLをクリックして、表示されたサイトでログインするのは絶対にやめましょう。個人情報は、ブックマークした公式サイトや公式アプリを別に立ち上げて、そこから入力しましょう。
3, 「パスキー」を導入
最後は、いま注目されている「パスキー」です。これは文中でも紹介したように、パスワードを使わない新しい認証方法です。万が一フィッシング詐欺にひっかかっても、技術的には被害が出ません。大手事業者を中心に導入が広がり始めています。
フィッシング対策協議会 運営副委員長
唐沢勇輔さん
「パスキーは、フィッシングサイトでアクセスしようとしても使いようがありません。まだ出たばかりのもので、去年ごろから、いろいろな会社が導入をアナウンスし始めています。徐々にパスキーを使えるサイトが増えていくことを期待しています」
さらに具体的な手口を多く知っておくことも大切です。
偽メールは言葉巧みに、私たちの心に訴えかけてきます。たとえば「未納料金の請求」。思わず、慌ててしまいそうです。さらに、お得なキャンペーンのお知らせを通知してくることも。思わず、クリックしてみたくなります。
フィッシング対策協議会 運営副委員長
唐沢勇輔さん
「そもそも焦らせる文言になっているのに、焦らないでというのは、なかなか難しいですよね。世の中には、こんな手口があるのだと具体的に知っておけば、“あれ?もしかして、これは詐欺じゃないかな?”と頭をよぎれると思います」
フィッシング対策協議会のホームページでは、確認された偽メールの最新情報を随時発信しているということで、チェックしてみるのもひとつです。
また万が一、偽サイトに情報を入力してしまった場合、パスワードの変更などが必要です。クレジットカードであれば、すぐにカード会社に連絡して利用の停止を行うなど、手続きをしてください。
根絶へ 対策強化を
フィッシング詐欺は、20年ほど前からある手口。しかし、被害は収まるどころか拡大しています。利用者だけの対策にも限界があります。
フィッシング対策協議会の唐沢さんは、国や警察は、攻撃者の検挙に向けて対応を強化していくことが必要だと指摘しています。
フィッシング対策協議会 運営副委員長
唐沢勇輔さん
「犯罪者の検挙が一番ですが、海外では政府機関が、フィッシング情報について一元的に報告を受け付け、偽サイトの解体まで行っているところもあります。より一段と高い行政の関与というのも検討してもいいかもしれません」
帰還しました
2123
2115
2113
