フィッシング攻撃の現状:7月は22万件超の報告
フィッシング対策協議会の最新データによると、2025年7月のフィッシング攻撃報告件数は22万6433件に達し、前月から17.4%もの大幅増加を記録しました。これは1日あたり約7304件という驚異的な数字です。
私がCSIRTでフォレンジック調査を行う中で、最近特に増えているのが証券関連のフィッシング攻撃です。実際に調査した事例では、偽の楽天証券サイトに誘導され、IDとパスワードを入力してしまった個人投資家の方が、気づいた時には既に不正取引で数百万円の損失を被っていました。
証券関連フィッシングが急増中:24.3%が狙われている
今回の調査で最も深刻なのは、証券関連のフィッシング攻撃が全体の24.3%を占めている点です。前月から8.8ポイントも増加しており、明らかに攻撃者が証券業界を重点的に狙っています。
多要素認証設定を装う新手口
最近のフィッシングメールでは、「セキュリティ強化のため、多要素認証の設定が必要です」といった文言で利用者を偽サイトに誘導する手口が横行しています。皮肉なことに、セキュリティを強化するという名目で、実際にはセキュリティを破られてしまうのです。
私が実際に調査した事例では、SBI証券を装ったメールで多要素認証の設定を促し、偽サイトでSMS認証コードまで入力させる巧妙な手口もありました。
業種別フィッシング攻撃の傾向
フィッシング攻撃の業種別内訳を見ると、以下のような状況になっています:
- 証券関連:24.3%(前月比+8.8ポイント)
- クレジット・信販関連:19.0%
- EC関連:14.1%
- モバイル関連:13.3%(前月比+7.3ポイント)
- 航空関連:7.4%
- 配送関連:5.6%
- 交通関連:4.4%
特にモバイル関連も7.3ポイント増加しており、スマートフォンユーザーを狙った攻撃も活発化しています。
実際のフォレンジック事例:個人が受けた被害
私がフォレンジック調査で扱った実際の事例をご紹介します(個人情報は匿名化済み):
事例1:偽Amazon配送通知による被害
Aさん(40代会社員)は、「配送に関する問題が発生しました」というSMSを受信。リンクをクリックしてAmazonのアカウント情報を入力した結果、クレジットカードで約15万円の不正利用被害を受けました。
調査の結果、偽サイトは本物のAmazonサイトを完全に模倣しており、URLも「amazon-delivery.com」という巧妙なものでした。
事例2:楽天銀行を装った補償詐欺
Bさん(60代主婦)は「システム障害により一部のお客様に損失が発生しました。補償手続きを行います」というメールを受信。指示に従って口座情報を入力した結果、約80万円が不正送金されました。
このケースでは、攻撃者が実際のシステム障害のニュースを悪用し、補償を装ってユーザーの信頼を得ていました。
個人でできるフィッシング対策の基本
フォレンジック調査の現場で見てきた被害を防ぐため、以下の対策を強くお勧めします:
1. URLの確認を徹底する
メールやSMSのリンクをクリックする前に、必ずURLを確認してください。正規のサイトのURLを事前にブックマークしておき、そこからアクセスする習慣をつけることが重要です。
2. メールアドレスの送信者を確認
正規の企業からのメールでも、送信者のメールアドレスが公式ドメインと異なる場合は詐欺の可能性が高いです。例えば、楽天からのメールなのに「rakuten-jp.org」のような類似ドメインから送信されている場合は要注意です。
3. 緊急性を煽る文言に注意
「24時間以内に対応が必要」「今すぐ確認してください」といった緊急性を煽る文言は、フィッシングメールの典型的な特徴です。冷静に対応することが重要です。
技術的な対策:アンチウイルスソフト の活用
個人レベルでできる技術的な対策として、信頼性の高いアンチウイルスソフト
の導入は必須です。最新のアンチウイルスソフト
は、フィッシングサイトのURLを事前にブロックしたり、怪しいメールの添付ファイルをスキャンしたりする機能を備えています。
私が調査した被害事例の多くで、アンチウイルスソフト
が適切に設定されていれば防げたケースが数多くありました。特に、リアルタイム保護機能やWebフィルタリング機能は、フィッシング対策として非常に有効です。
通信の暗号化:VPN による保護
公衆Wi-Fiを利用する際や、重要な取引を行う際には、VPN
の使用をお勧めします。VPN
により通信が暗号化されることで、仮に偽のWi-Fiアクセスポイントに接続してしまった場合でも、個人情報の流出を防ぐことができます。
実際に調査した事例では、空港の偽Wi-Fiに接続してオンラインバンキングを利用した結果、ログイン情報が盗まれたケースもありました。VPN
があればこのような被害は防げたでしょう。
中小企業向けの対策
個人だけでなく、中小企業でもフィッシング攻撃による被害が増えています。特に、従業員が業務用メールでフィッシング攻撃を受け、会社の機密情報や顧客情報が流出するケースが後を絶ちません。
Webサイトの脆弱性対策
企業のWebサイト自体がフィッシングサイトの踏み台として悪用されるケースも増えています。定期的なWebサイト脆弱性診断サービス
により、サイトの脆弱性を発見・修正することが重要です。
私が調査した事例では、中小企業のWordPressサイトが乗っ取られ、そこから顧客に対してフィッシングメールが大量送信されたケースもありました。企業の信頼失墜は計り知れません。
今後の対策と心構え
フィッシング攻撃は今後も巧妙化し、増加していくと予想されます。AIを使った音声合成やディープフェイク技術を悪用した新しい手口も登場しています。
重要なのは、「自分は大丈夫」という過信を捨て、常に最新の脅威情報をチェックし、適切なセキュリティ対策を講じることです。
特に証券取引やオンラインバンキングを利用する方は、以下の点を念頭に置いてください:
- メールやSMSのリンクからはアクセスせず、ブックマークから直接サイトにアクセスする
- 多要素認証を設定し、二段階認証を活用する
- 定期的にアカウントの利用履歴をチェックする
- 不審な取引があった場合は、すぐに金融機関に連絡する
まとめ:総合的なセキュリティ対策を
フィッシング攻撃の増加傾向は止まる気配がありません。特に証券関連の攻撃が活発化している現在、個人投資家の方は特に注意が必要です。
技術的な対策(アンチウイルスソフト
、VPN
の導入)と併せて、日頃の注意深い行動が被害を防ぐ最も確実な方法です。企業の方はWebサイト脆弱性診断サービス
も含めた包括的なセキュリティ対策を検討してください。
サイバー攻撃は「もし」ではなく「いつ」遭遇するかの問題です。今すぐできる対策から始めて、大切な資産と情報を守りましょう。
