国勢調査を悪用したリアルタイムフィッシング詐欺が急増！電話番号盗用の新手口と対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

5年に一度の国勢調査が始まる2025年10月を前に、この機会を悪用したフィッシング詐欺が急激に増加しています。トビラシステムズの調査によると、国勢調査を装った偽メールから「リアルタイムフィッシング詐欺」と呼ばれる新手口による被害が相次いでいることが判明しました。

現役CSIRTメンバーとして数多くのインシデント対応に携わってきた経験から言えば、この手口は従来のフィッシング詐欺より格段に巧妙で危険性が高いといえます。今回は、この新たな脅威の実態と効果的な対策について詳しく解説します。

リアルタイムフィッシング詐欺とは何か
1. 攻撃の流れ
実際のフォレンジック事例から見る被害実態
1. 中小企業での被害例
2025年国勢調査詐欺の見分け方
1. 正規の国勢調査の特徴
2. 詐欺メールの特徴
個人・企業向けの効果的な対策
1. 個人ができる対策
2. 企業が取るべき対策
被害に遭ってしまった場合の対処法
今後予想される攻撃の変化
まとめ
一次情報または関連リンク

リアルタイムフィッシング詐欺とは何か

リアルタイムフィッシング詐欺は、従来の「偽サイトで情報を盗む」手口を進化させた攻撃手法です。攻撃者は被害者から盗んだ情報を使って、リアルタイムで正規サイトにログインを試みるのが特徴です。

攻撃の流れ

偽メール送信：国勢調査を装ったメールが届く
偽サイト誘導：メール内のリンクで公式サイトに酷似した偽サイトに誘導
電話番号入力：偽サイトで電話番号の入力を求められる
認証コード送信：入力した電話番号に正規の認証コードが届く
コード入力：偽サイトで認証コードの入力を求められる
リアルタイム悪用：攻撃者が同時進行で正規サイトに不正アクセス

この手口の恐ろしさは、被害者が入力する情報がリアルタイムで悪用される点です。従来のフィッシング詐欺では情報を盗むまでにタイムラグがありましたが、この手法では即座に不正利用されてしまいます。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

実際のフォレンジック事例から見る被害実態

私がフォレンジック調査を担当した類似事例では、個人事業主のAさんが国税庁を装った同様の手口で被害に遭いました。偽サイトで電話番号と認証コードを入力した結果、オンラインバンキングに不正アクセスされ、事業資金200万円が引き出されました。

Aさんのケースで特に深刻だったのは、攻撃者が盗んだ電話番号を使って複数のサービスに同時アクセスを試みたことです。銀行口座だけでなく、クレジットカード情報やECサイトのアカウントまで狙われていました。

中小企業での被害例

また、従業員30名の製造業B社では、経理担当者が国勢調査の偽メールに騙され、会社の代表番号と担当者の携帯番号を入力してしまいました。その結果、法人向けクラウドサービスに不正アクセスされ、顧客情報約5,000件が流出する事態に発展しました。

この事例では、情報流出の発覚まで2週間を要し、その間に競合他社への営業妨害メールが顧客に送信されるという二次被害も発生しました。

2025年国勢調査詐欺の見分け方

本物の国勢調査と詐欺メールを見分けるポイントをまとめました：

正規の国勢調査の特徴

調査員は必ず身分証明書を携帯している
銀行口座番号や暗証番号は絶対に聞かない
クレジットカード情報の提供は求めない
認証コードの入力を求めることはない
記念品や謝礼を餌にすることはない

詐欺メールの特徴

件名に「緊急」「限定」などの煽り文句がある
送信者のメールアドレスが公式ドメインでない
リンク先のURLが不自然（typosquattingなど）
「記念品進呈」などの特典を謳っている
回答期限が極端に短い

個人・企業向けの効果的な対策

個人ができる対策

まず基本的な対策として、信頼できるアンチウイルスソフトの導入が重要です。最新のアンチウイルスソフトには、フィッシングサイト検出機能やリアルタイム保護機能が搭載されており、偽サイトへのアクセスを事前に遮断できます。

また、公共Wi-Fiを利用する際はVPN の使用を強く推奨します。国勢調査に関する情報を入力する際、通信が暗号化されていない環境では中間者攻撃のリスクが高まります。

企業が取るべき対策

企業では従業員教育と技術的対策の両面が必要です。特に重要なのは：

定期的なセキュリティ研修：最新の攻撃手口を共有
メール検疫システム：疑わしいメールの自動検出
多要素認証の徹底：SMS以外の認証方法も併用
インシデント対応計画：被害発生時の迅速な対応体制

また、Webサイト脆弱性診断サービスにより、自社サイトが攻撃者によって模倣されていないかを定期的にチェックすることも重要です。

被害に遭ってしまった場合の対処法

もし詐欺メールに騙されてしまった場合、以下の手順で迅速に対応してください：

immediately行動：関連するすべてのアカウントのパスワードを変更
金融機関への連絡：銀行やクレジットカード会社に状況を報告
警察への届出：サイバー犯罪相談窓口（#9110）に相談
証拠の保全：詐欺メールやサイトのスクリーンショットを保存
信用情報の確認：定期的に自分の信用情報をチェック

今後予想される攻撃の変化

フォレンジック専門家の視点から、今後この手口はさらに巧妙化すると予想されます。特に注意すべき点：

AI生成コンテンツの悪用：より本物に近い偽サイトの作成
ソーシャルエンジニアリング：個人情報を巧みに組み合わせた攻撃
モバイル端末への特化：スマートフォンユーザーを狙った攻撃の増加
多段階攻撃：一度の詐欺で複数のサービスを同時に狙う手法

まとめ

国勢調査を悪用したリアルタイムフィッシング詐欺は、従来の攻撃より格段に危険な手口です。個人レベルでは信頼できるセキュリティソフトの導入と基本的な警戒心が、企業レベルでは従業員教育と多層防御が重要になります。

重要なのは「疑わしいメールのリンクは絶対にクリックしない」という基本原則を徹底することです。国勢調査に関する正確な情報は、必ず総務省統計局の公式サイトで確認するようにしましょう。

サイバー攻撃の手口は日々進化していますが、基本的な対策を怠らなければ被害を防ぐことは十分可能です。この記事が皆さんの安全なインターネット利用の一助となれば幸いです。