【2025年最新】証券会社フィッシング詐欺が急増中!現役CSIRTが教える被害を防ぐ5つの対策

こんにちは。企業のCSIRT(Computer Security Incident Response Team)でフォレンジック調査を担当している者です。最近、証券会社を騙るフィッシング詐欺の相談が本当に増えています。

実際に2024年12月から証券系フィッシングが本格化し、2025年5月にはフィッシング報告全体の37.2%を占めるという異常事態になっています。今回は現場で見てきた実例をもとに、個人や中小企業ができる具体的な対策をお話しします。

証券会社フィッシング詐欺の恐ろしい実態

フィッシング対策協議会のデータを見ると、証券会社を騙るフィッシングの報告件数は右肩上がりに増加しています。特に注目すべきは、フィッシングサイトが初めて報告された当月または翌月には、その証券会社での被害が実際に報告されているという点です。

私が担当した事例でも、50代の個人投資家の方がSBI証券を装ったフィッシングメールに騙され、ログイン情報を入力してしまい、数百万円の損失を被ったケースがありました。

犯罪者グループの巧妙な手口

2024年12月から2025年2月までは少量の報告でしたが、これは犯罪者側が「テスト期間」として様々なスキームを試していた期間でした。そして3月から本格的な犯行を開始し、4月から5月にかけて爆発的に件数が増加しています。

特に厄介なのが、複数の犯罪者グループが同時に参入していることです。経済合理性を重視する彼らは、対策が強化された証券会社からは手を引き、より脆弱なターゲットに移行する傾向があります。

進化するフィッシング攻撃の手法

リアルタイムフィッシングとは

従来のフィッシング攻撃は、単純にログインIDやパスワードを盗むだけでした。しかし最近の攻撃は「リアルタイムフィッシング」と呼ばれる手法が主流になっています。

これは被害者が偽サイトに入力した情報を、犯罪者がリアルタイムで本物のサイトに入力し、取引を実行する手法です。多要素認証(MFA)すら突破してしまう恐ろしい攻撃です。

AiTMフィッシングの脅威

さらに高度な「AiTM(Adversary-in-The-Middle)フィッシング」も確認されています。これは犯罪者が被害者と正規サイトの間に入り込み、全ての通信を中継・操作する攻撃です。

実際に調査した中小企業の事例では、従業員が業務中にAiTMフィッシングに遭い、企業の証券口座から不正取引が実行されてしまいました。被害額は約800万円に上りました。

個人ができる5つの対策

1. 信頼できるアンチウイルスソフト を導入する

フィッシングサイトの多くは、信頼できるアンチウイルスソフト 0によって事前にブロックされます。無料のセキュリティソフトでは検知できない最新の脅威も、有料版なら高い確率で防げます。

2. VPN でIPアドレスを隠す

犯罪者は被害者のIPアドレスから地域や利用環境を特定し、より巧妙な攻撃を仕掛けてきます。VPN 0を使用することで、あなたの真の位置情報を隠し、ターゲティング攻撃のリスクを軽減できます。

3. 公式アプリまたはブックマークからアクセス

メールのリンクは絶対にクリックしないでください。証券会社の公式アプリか、事前にブックマークしたURLからのみアクセスしましょう。

4. URLの確認を徹底する

正規サイトのURLは必ずhttps://で始まり、証券会社の正式なドメイン名が含まれています。少しでも怪しいと感じたら、別のブラウザで公式サイトを開いて比較してください。

5. 定期的なパスワード変更と多要素認証の有効化

パスワードは定期的に変更し、可能な限り多要素認証を有効にしましょう。ただし、リアルタイムフィッシングやAiTMフィッシングは多要素認証も突破する可能性があるため、過信は禁物です。

中小企業が取るべき対策

従業員教育の徹底

中小企業での被害事例を見ると、従業員のセキュリティ意識不足が原因となることが多いです。定期的な研修と模擬フィッシング訓練を実施しましょう。

Webサイトの脆弱性診断

自社のWebサイトが攻撃の踏み台にされることもあります。定期的なWebサイト脆弱性診断サービス 0を実施し、セキュリティホールを塞ぐことが重要です。

インシデント対応体制の構築

被害が発生した場合の対応手順を事前に定めておきましょう。早期発見・早期対応が被害の拡大を防ぎます。

実際の被害事例から学ぶ教訓

私が関わった事例の中で印象的だったのは、70代の個人投資家の方のケースです。「楽天証券から緊急のお知らせ」という件名のメールを受信し、慌ててリンクをクリックしてしまいました。

偽サイトは本物そっくりに作られており、ログイン後に「セキュリティ強化のため」として追加の個人情報入力を求められました。結果として、投資資金の大部分を失ってしまいました。

この事例から分かるのは、「緊急性を演出する」「公式サイトそっくりの見た目」「段階的な情報収集」という犯罪者の巧妙な手口です。

最新の対策技術と今後の展望

証券会社側も対策を強化しており、AI を活用した不正検知システムの導入が進んでいます。しかし、犯罪者側も技術を向上させており、イタチごっこの状況が続いています。

特に2025年以降は、生成AIを悪用したより巧妙なフィッシングサイトの増加が予想されます。従来の「怪しい日本語」や「デザインの粗さ」といった判別方法が通用しなくなる可能性があります。

まとめ:多層防御でリスクを最小化

証券会社を狙ったフィッシング詐欺は今後も増加が予想されます。完全に防ぐことは困難ですが、複数の対策を組み合わせることでリスクを大幅に減らすことができます。

個人の方は信頼できるアンチウイルスソフト 0VPN 0の導入を、企業の方は従業員教育とWebサイト脆弱性診断サービス 0の実施を強くお勧めします。

セキュリティは「完璧」を目指すのではなく、「攻撃者にとって割に合わないターゲット」になることが重要です。適切な対策を講じて、大切な資産を守りましょう。

一次情報または関連リンク

元記事:Yahoo!ニュース – 証券会社を騙るフィッシング攻撃の報告状況について

タイトルとURLをコピーしました