こんにちは。フォレンジック調査を専門とする現役CSIRTメンバーです。今回は韓国蔚山で実際に発生した、非常に巧妙なボイスフィッシング事件について詳しく解析し、私たちがどう身を守るべきかお話しします。
この事件、本当にゾッとする内容でした。50代女性が1億300万ウォン(約1100万円)もの全財産を騙し取られる寸前まで行ったんです。幸い警察の機敏な対応で被害は免れましたが、一歩間違えれば人生が破綻していたでしょう。
事件の全容:巧妙すぎるカード配送詐欺の手口
まず、犯行の流れを詳しく見てみましょう。
第1段階:カード配送員を装った電話
被害者のA氏(50代女性)は、「カードを配送する」という電話を受けました。この時点では、多くの人が「あ、そういえば何かカードを申し込んだっけ?」と思ってしまいがちです。
実は私も過去の調査で似たような手口を何度も見てきました。犯人たちは事前に個人情報を収集し、いかにもそれらしい状況を作り出すんです。
第2段階:悪性アプリの仕込み
ここからが本当に恐ろしい部分です。犯人はA氏にリンクを送信し、そこから悪性コードと遠隔操作アプリをスマートフォンに仕込みました。
この段階で、A氏のスマートフォンは完全に犯人の支配下に入ったのです。画面の内容、連絡先、銀行アプリの情報など、すべてが筒抜け状態になりました。
第3段階:権威を悪用した心理操作
次に現れたのが「ソウル中央地検検事」を名乗る人物です。「あなたの口座が犯罪に利用されている」「金融資産の全数調査が必要」という、もっともらしい理由で被害者を銀行に向かわせました。
この手口、実は日本でも頻繁に使われています。「警察です」「検察庁です」「金融庁です」といった権威を装って、被害者の判断力を麻痺させるんです。
フォレンジック調査から見えた犯行の巧妙さ
私がこれまで担当したフォレンジック調査の中で、この事件と類似したケースを数多く見てきました。特に印象深かったのは、東京の中小企業で発生した事件です。
その会社の経理担当者も、まったく同じ手口で騙されかけました。「税務署です」という電話から始まり、悪性アプリを仕込まれ、最終的に会社の運転資金2000万円を移動させるところまで行きました。
幸い、その会社はアンチウイルスソフト
を導入していたため、悪性アプリの活動を早期に検知でき、被害を免れることができました。
悪性アプリが引き起こす深刻な被害
今回の事件で使用された悪性アプリについて、技術的な観点から解説します。
遠隔操作機能
- 画面の内容をリアルタイムで盗撮
- キーボード入力の記録(パスワード、暗証番号など)
- SMSメッセージの傍受
- 電話帳の窃取
- 位置情報の追跡
金融アプリへの侵入
最も危険なのは、銀行アプリなどの金融関連アプリに対する攻撃です。多要素認証すら突破してしまう高度な機能を持っているものもあります。
実際に私が調査した案件では、被害者がスマートフォンで銀行アプリを操作している最中に、犯人が別の場所から同じ口座にアクセスして送金を実行していました。恐ろしいですよね。
企業が狙われる理由と対策
個人だけでなく、企業も標的になっています。特に中小企業は狙われやすい傾向があります。
中小企業が狙われる理由
- セキュリティ対策が不十分
- 従業員のセキュリティ意識が低い
- 一人の判断で大きな金額を動かせる
- 専門的な知識を持つIT担当者がいない
私が担当した大阪の製造業A社の事例では、経理部長が「国税庁の調査官」を名乗る人物に騙され、会社のWebサイトの管理者権限を奪われかけました。幸い、Webサイト脆弱性診断サービス
を利用していたため、不正なアクセスを早期に発見でき、大きな被害を避けることができました。
韓国警察の先進的な対策システム
今回の事件で注目すべきは、韓国警察庁の対応です。彼らは2024年8月から、以下のような画期的なシステムを運用しています:
- 悪性アプリ設置者の自動検知
- 偽サイト接続者のモニタリング
- 被害救済対象者の自動選定
- 各地方警察への即座の通報
このシステムのおかげで、A氏は被害を免れることができました。日本でも同様のシステムの導入が期待されますが、個人や企業レベルでの対策が何より重要です。
個人ができる完全対策ガイド
現役CSIRTの立場から、効果的な対策をお伝えします。
基本的な心構え
- 身に覚えのないカード配送の連絡は100%詐欺
- 公的機関が電話で金融情報を求めることは絶対にない
- 「緊急」「今すぐ」という言葉に惑わされない
- 家族や信頼できる人に相談する
技術的対策
スマートフォンやパソコンには、必ず信頼できるアンチウイルスソフト
を導入してください。私の経験では、無料のセキュリティソフトでは検知できない高度な悪性アプリも数多く存在します。
また、インターネット接続時はVPN
を使用することをお勧めします。特に公共のWi-Fiを利用する際は必須です。
行動対策
- 不審なリンクは絶対にクリックしない
- アプリのインストールは公式ストアからのみ
- 銀行取引は必ず正規のアプリ・サイトから
- 定期的にパスワードを変更する
企業向け包括的セキュリティ対策
企業の場合、より高度な対策が必要です。
従業員教育
定期的なセキュリティ研修を実施し、最新の詐欺手口を共有することが重要です。私が支援している企業では、月1回のセキュリティミーティングで実際の事例を紹介しています。
技術的対策
企業のWebサイトは定期的にWebサイト脆弱性診断サービス
を受けることをお勧めします。攻撃者は企業サイトの脆弱性を狙って侵入し、顧客情報を狙うケースが増えています。
緊急時対応計画
万が一被害に遭った場合の対応手順を事前に決めておくことも重要です。私が関わった企業では、以下のような対応計画を策定しています:
- 被害発覚時の緊急連絡網
- 金融機関への即座の連絡
- 警察への通報
- フォレンジック調査の実施
- 顧客・取引先への報告
統計データが示す深刻な現状
蔚山地域だけでも、2025年1月から7月までのボイスフィッシング発生件数は395件、被害額は275億7000万ウォン(約295億円)に達しています。これは前年の全体被害額をすでに上回る数字です。
日本でも同様の傾向が見られ、特に50~60代の被害が深刻化しています。これは私の調査経験とも一致しており、この年代層は:
- 一定の資産を保有している
- デジタル技術に不慣れ
- 権威に対する信頼が強い
- 家族との情報共有が少ない
といった特徴があるため、標的にされやすいのです。
まとめ:今日からできる対策を始めよう
今回の事件は、現代のサイバー犯罪がいかに巧妙で危険かを物語っています。しかし、適切な知識と対策があれば、被害を防ぐことは可能です。
個人の方は、まず信頼できるアンチウイルスソフト
の導入から始めてください。そして、不審な電話やメールには絶対に応じないという基本姿勢を徹底することです。
企業の方は、従業員教育と技術的対策の両面からアプローチし、Webサイト脆弱性診断サービス
を定期的に実施することをお勧めします。
私たちフォレンジック調査員が現場で見てきた被害の深刻さを考えると、「自分は大丈夫」という油断が最も危険です。今日からでも、できる対策を一つずつ実行していきましょう。
皆さんの大切な資産と信頼を守るために、この記事の情報が少しでもお役に立てれば幸いです。
