こんにちは。今回は、最近急激に増加している「リアルタイムフィッシング攻撃」について、現役のセキュリティアナリストとして詳しく解説していきます。
実は、フィッシング攻撃はここ5年で30倍も増加しており、しかも従来の2段階認証すら突破してしまう恐ろしい手法が広まっているんです。この記事を読めば、最新の攻撃手法を理解し、適切な対策を講じることができるようになります。
リアルタイムフィッシング攻撃とは何か?
リアルタイムフィッシング攻撃とは、従来のフィッシング攻撃が進化した非常に巧妙な手法です。
従来のフィッシング攻撃では、攻撃者が偽のサイトで認証情報を窃取しても、その情報を実際に使用するまでに時間差がありました。しかし、リアルタイムフィッシング攻撃では、被害者がフィッシングサイトに情報を入力すると同時に、攻撃者がその情報を使って本物のサイトにアクセスし、即座に不正な取引を実行します。
攻撃の流れ
- 攻撃者が銀行やECサイトを装ったメールやSMSを送信
- 被害者が偽サイトにアクセス
- 被害者がID、パスワード、2段階認証コードを入力
- 攻撃者がリアルタイムでその情報を使用して本物のサイトにログイン
- 即座に金銭の移動や情報の窃取を実行
なぜ2段階認証が無力になったのか?
横浜銀行のセキュリティ専門家によると、「現在はリアルタイムフィッシングしかない状況で、文字列などを入力させる2段階認証はほぼ意味がない」とのことです。
これまで2段階認証は非常に有効な防御手段でした。しかし、リアルタイムフィッシング攻撃では、被害者が入力したワンタイムパスワードを攻撃者が即座に利用するため、時間制限のあるワンタイムパスワードでも防御できなくなってしまいました。
攻撃対象の拡大と巧妙化
過去にフィッシング攻撃のターゲットは主に銀行やクレジットカード会社などの金融機関でした。しかし、現在は攻撃対象が大幅に拡大しています。
現在の主なターゲット
- 宅配業者(ヤマト運輸、佐川急便など)
- ECサイト(Amazon、楽天など)
- 交通系企業(JR、航空会社、ETC)
- 電力・ガス会社
- 行政機関(e-Tax、マイナポータル)
私がフォレンジック調査を行った事例では、ある中小企業の経理担当者が偽の国税庁サイトでe-Taxにログインしようとして、会社の法人番号や納税情報を詐取された案件がありました。攻撃者はその情報を使って虚偽の還付申請を行おうとしていたのです。
攻撃タイミングの巧妙化
攻撃者は防御側の対応が手薄になる時間帯を狙って攻撃を仕掛けます:
- 金曜日の夕方から週末にかけて
- ゴールデンウイークなどの連休中
- 年末年始などの長期休暇
実際に横浜銀行も2023年のゴールデンウイーク中に大規模なフィッシング攻撃を受け、リアルタイム対策の重要性を痛感したそうです。
個人が取るべき具体的な対策
1. フィッシング耐性のある認証方式の利用
最も効果的な対策は「パスキー」の利用です。パスキーは以下の特徴があります:
- パスワードが不要
- 2段階認証も不要
- フィッシングサイトでは動作しない
- 生体認証や端末認証で安全性が高い
2. メールやSMSの疑い方
すべての企業や行政機関を名乗るメール・SMSを疑うことが重要です:
- URLを直接クリックせず、公式サイトから直接アクセス
- 緊急性を煽る文言に注意
- 送信者のメールアドレスを確認
- 不自然な日本語や誤字脱字をチェック
3. セキュリティソフトの活用
高品質なアンチウイルスソフト
を利用することで、フィッシングサイトへのアクセスを事前にブロックできます。最新のセキュリティソフトには、リアルタイムでフィッシングサイトを検知する機能が搭載されています。
企業が取るべき対策
1. リアルタイム対応体制の構築
私がセキュリティコンサルティングを行った企業では、以下の体制を整備しました:
- 24時間365日の監視体制
- フィッシングサイト発見時の即座対応チーム
- 複数部署の連携体制
- 顧客への迅速な注意喚起システム
2. 従業員教育の徹底
ある製造業の中小企業では、経理部の担当者がフィッシングメールに騙され、会社の銀行口座情報を入力してしまった事例がありました。この事件をきっかけに、定期的なセキュリティ研修を実施し、模擬フィッシングメール訓練を行うようになりました。
3. VPN の導入
企業のリモートアクセスには信頼性の高いVPN
を利用することで、フィッシングサイトへのアクセスを防ぐことができます。特に金融情報を扱う企業では必須の対策といえるでしょう。
4. Webサイトの脆弱性対策
自社のWebサイトがフィッシングサイトの踏み台にされることを防ぐため、Webサイト脆弱性診断サービス
を定期的に実施することが重要です。脆弱性を放置すると、攻撃者に悪用されるリスクが高まります。
日本証券業協会の新ガイドラインについて
2025年7月、日本証券業協会は「インターネット取引における不正アクセス等防止に向けたガイドライン」を改正し、ワンタイムパスワードの使用を原則禁止とする方針を打ち出しました。
新ガイドラインでは、パスキーなど「フィッシングに耐性のある多要素認証」を必須としており、これは金融業界全体でリアルタイムフィッシング攻撃への対策が急務であることを示しています。
フォレンジック調査から見えた被害の実態
私が担当したリアルタイムフィッシング攻撃の被害調査事例をいくつか紹介します:
事例1:個人事業主の被害
ある個人事業主が偽の銀行メールに騙され、約300万円を不正送金された事例がありました。被害者は2段階認証を設定していましたが、リアルタイムフィッシング攻撃により突破されました。調査の結果、攻撃者は被害者が認証コードを入力してから30秒以内に不正送金を実行していることが判明しました。
事例2:中小企業の情報漏洩
製造業の中小企業では、経理担当者が偽のe-Taxサイトで法人情報を入力し、顧客リストや財務情報が漏洩した事例もありました。攻撃者はその情報を使って取引先企業にもフィッシング攻撃を仕掛けており、被害が連鎖的に拡大していました。
まとめ:今すぐできる対策を始めよう
リアルタイムフィッシング攻撃は従来の防御手段を無力化する非常に危険な手法です。しかし、適切な対策を講じることで被害を防ぐことは可能です。
個人の皆さんは:
- パスキー対応サービスの利用
- 高品質なアンチウイルスソフト
の導入 - メール・SMSへの警戒心を持つ
- VPN
での安全なインターネット利用
企業の皆さんは:
- リアルタイム対応体制の構築
- 従業員教育の徹底
- Webサイト脆弱性診断サービス
による自社サイトの保護
- 最新の認証技術の導入
サイバー攻撃の手法は日々進化しています。私たちセキュリティ専門家も常に最新の脅威情報を収集し、対策を更新し続けています。皆さんも「完璧なセキュリティは存在しない」という前提のもと、多層防御の考え方で対策を講じていただければと思います。
セキュリティは面倒に感じるかもしれませんが、一度被害に遭ってしまうと取り返しのつかない損失を被る可能性があります。今回紹介した対策を参考に、ぜひ今すぐできることから始めてみてください。
一次情報または関連リンク
