増加の一途をたどるSMS×架電のハイブリッド型フィッシング詐欺
2025年に入ってから、私たちCSIRT(Computer Security Incident Response Team)のもとには、従来の手口を巧妙に進化させたフィッシング詐欺の相談が急激に増えています。特に注目すべきは、SMSと電話を組み合わせた「ハイブリッド型」の新たな手口です。
最近対応した事例では、60代の女性が金融機関を名乗る自動音声から始まり、最終的に300万円の被害に遭うという深刻なケースもありました。この手口の巧妙さは、被害者が「電話で直接話した」という安心感を持ってしまう点にあります。
新たなSMS×架電フィッシング詐欺の全貌
第1段階:金融機関を装った自動音声電話
最初に、銀行やクレジットカード会社を名乗る自動音声電話がかかってきます。「不正利用の可能性があります」「口座に異常な動きが検知されました」といった不安を煽る内容で、被害者の注意を引きます。
第2段階:「専用窓口」への誘導SMS送信
自動音声の後、すぐにSMSが届きます。このSMSには「専用窓口」として偽の電話番号が記載されており、「詳しい対応については、こちらの番号にお電話ください」と案内されます。
第3段階:偽窓口での巧妙な誘導
記載された番号に電話をかけると、今度は人間の声(多くの場合、AIボイスや録音)で対応されます。ここで被害者は「直接話している」という安心感を持ってしまうのが、この手口の恐ろしい点です。
第4段階:デバイス別の攻撃手法
iOS端末の場合:フィッシングサイトに誘導し、AppleIDやクレジットカード情報の入力を求められます。サイトのデザインも本物そっくりに作られているため、多くの方が騙されてしまいます。
Android端末の場合:「セキュリティアプリのインストールが必要」として不正アプリをダウンロードさせようとします。このアプリは実際には、スマートフォン内の情報を盗み取るマルウェアです。
現役CSIRTが見た実際の被害事例
事例1:中小企業経営者の被害(被害額:150万円)
建設業を営むA氏(50代)のケースです。平日の午後、銀行を名乗る自動音声から「法人口座に不正アクセスが検知されました」という電話が入りました。慌てたA氏は、届いたSMSの番号に即座に電話。「緊急対応が必要」として個人情報を聞き出され、最終的にネットバンキングのログイン情報まで盗まれてしまいました。
幸いアンチウイルスソフト
を導入していた別の端末で異常を検知し、被害を最小限に抑えることができましたが、初期対応の遅れにより一時的に150万円が不正送金されました。
事例2:高齢者夫婦の個人情報流出
70代のご夫婦のもとに、「年金機構」を名乗る電話とSMSが届きました。「個人番号の確認が必要」として、マイナンバーや銀行口座情報を聞き出す手口でした。幸い金銭的被害はありませんでしたが、個人情報が闇市場で売買される可能性があり、長期的な監視が必要な状況となっています。
被害を防ぐための具体的対策法
1. 基本原則:SMSのURLは絶対にクリックしない
どんなに緊急性を訴えられても、SMSで送られてきたURLは絶対にクリックしてはいけません。正当な金融機関であれば、SMSでURLを送ることはありません。
2. 記載された電話番号には絶対にかけ直さない
SMSに記載された電話番号は、99%偽物です。本当に心配な場合は、公式サイトや通帳、カードに記載された正式な連絡先に確認しましょう。
3. 事前調査の重要性
不安に感じる電話やSMSを受け取った場合は、まず電話番号や事業所名をGoogle検索してみてください。「迷惑電話」「詐欺」として多くの報告が上がっている場合があります。
4. 時間を置いて冷静に判断
詐欺師は「今すぐ対応しないと大変なことになる」と急かします。しかし、本当に緊急の場合であっても、10分程度の確認時間を取ることで被害を防げます。
技術的対策:セキュリティツールの活用
包括的セキュリティ対策の重要性
個人レベルでできる最も効果的な対策は、信頼できるアンチウイルスソフト
の導入です。最新のセキュリティソフトには、フィッシングサイトへのアクセスブロック機能や、不正アプリのインストール防止機能が搭載されています。
通信の暗号化対策
外出先でのインターネット利用時には、VPN
の使用を強く推奨します。公衆Wi-Fiを利用する際の通信を暗号化し、中間者攻撃による情報漏洩を防ぐことができます。
企業・事業者向けの対策
中小企業や個人事業主の方は、自社のWebサイトが攻撃者に悪用されないよう、Webサイト脆弱性診断サービス
の定期的な実施をお勧めします。フィッシングサイトの多くは、脆弱性を持つサイトを乗っ取って作られているからです。
2025年の最新動向と今後の対策
AI技術の悪用が加速
2025年に入ってから、生成AI技術を悪用した音声合成による「なりすまし電話」が急激に増加しています。家族や知人の声を完璧に再現する技術が詐欺に悪用されており、従来の「声で判断」という方法が通用しなくなっています。
IoT機器を狙った新たな攻撃
スマートホーム機器の普及に伴い、IoT機器を踏み台にしたフィッシング攻撃も確認されています。スマートスピーカーやセキュリティカメラが乗っ取られ、偽の警告メッセージが表示される事例も報告されています。
もし被害に遭ってしまった場合の対処法
迅速な初期対応が被害拡大を防ぐ
1. 金融機関への即座の連絡:カードの利用停止、口座の凍結を依頼
2. パスワードの一斉変更:すべてのオンラインアカウントのパスワードを変更
3. 警察への被害届提出:サイバー犯罪相談窓口(#9110)への相談
4. クレジットレポートの確認:信用情報機関での不正利用チェック
デジタルフォレンジックの重要性
被害の全容把握と証拠保全のため、専門機関によるデジタルフォレンジック調査も検討すべきです。特に企業の場合、情報漏洩の範囲特定と再発防止策の策定において、フォレンジック調査は不可欠です。
まとめ:常に進化する脅威への備え
SMS×架電のハイブリッド型フィッシング詐欺は、従来の手口よりも巧妙で、被害者が騙されやすい特徴を持っています。しかし、基本的な対策を徹底することで、被害を防ぐことは十分可能です。
最も重要なのは、「疑う習慣」を身につけることです。どんなに本物らしく見えても、まずは一歩立ち止まって確認する。この習慣が、あなたの大切な資産と個人情報を守る最強の盾となります。
詐欺の手口は日々進化していますが、私たちの対策も同じように進化させていく必要があります。定期的に最新の脅威情報をチェックし、セキュリティ対策をアップデートしていきましょう。
