【緊急】楽天証券で絵文字認証も突破！リアルタイムフィッシング詐欺の恐るべき手口と対策を専門家が解説

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

楽天証券が緊急の注意喚起を発表しました。従来のフィッシング詐欺とは一線を画す「リアルタイムフィッシング詐欺」が確認され、なんと絵文字認証までもが突破されてしまう事態が発生しているのです。

現役のCSIRT（Computer Security Incident Response Team）メンバーとして、このような新手の攻撃手法を数多く分析してきた立場から、今回の事件の深刻さと具体的な対策について詳しく解説いたします。

リアルタイムフィッシング詐欺とは？従来の手口とどう違うのか
1. 絵文字認証も突破される仕組み
実際のフォレンジック調査で見た被害事例
偽サイトの見分け方と対策方法
1. URLの確認は必須
2. メールやSMSのリンクは絶対にクリックしない
個人でできる具体的なセキュリティ対策
企業が取るべき対策
1. 定期的なセキュリティ教育
2. Webサイト脆弱性診断サービスの実施
被害に遭った場合の対処法
まとめ：進化する脅威に対する継続的な対策を
一次情報または関連リンク

リアルタイムフィッシング詐欺とは？従来の手口とどう違うのか

従来のフィッシング詐欺では、偽サイトで入力された情報を後から悪用するのが一般的でした。しかし今回確認されたリアルタイムフィッシング詐欺は、その名の通り「リアルタイム」で攻撃が行われる点が恐ろしいところです。

攻撃者は偽サイトに入力されたログイン情報を瞬時に取得し、同時に正規サイトへアクセスして不正ログインを実行します。これにより、通常であれば有効な多要素認証（MFA）も無効化されてしまうのです。

絵文字認証も突破される仕組み

楽天証券では追加のセキュリティ対策として絵文字による認証を導入していますが、今回の攻撃ではこれも突破されています。攻撃者は以下のような流れで認証を回避します：

偽サイトでユーザーがログイン情報を入力
攻撃者が即座にその情報で正規サイトにアクセス
正規サイトから絵文字認証の画面が表示される
攻撃者は偽サイトでユーザーに同じ絵文字認証を求める
ユーザーが入力した絵文字情報を使って認証を突破

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

実際のフォレンジック調査で見た被害事例

私が担当した類似の事案では、中小企業の経理担当者がネット証券で運用していた資金約500万円が一夜にして不正送金されるケースがありました。調査の結果、以下のような攻撃の痕跡が発見されました：

フィッシングメールの受信時刻：午後7時32分
偽サイトでの情報入力：午後7時35分
不正ログイン開始：午後7時35分（わずか数秒後）
資金移動実行：午後7時41分

わずか10分弱の間に全てが完了していました。従来のフィッシング詐欺であれば数時間から数日後に被害が発覚することが多いのですが、リアルタイム攻撃では被害者がまだ偽サイトを操作している間に不正取引が完了してしまうのです。

偽サイトの見分け方と対策方法

URLの確認は必須

楽天証券の正規URLは「www.rakuten-sec.co.jp」です。攻撃者は以下のような紛らわしいURLを使用することがあります：

rakuten-sec-jp.com
www.rakuten-securities.net
rakuten-sec.co.jp.secure-login.info

URLバーを必ず確認し、少しでも違和感があれば直ちにページを閉じましょう。

メールやSMSのリンクは絶対にクリックしない

今回の攻撃では、楽天証券を装ったメールやSMSに記載されたリンクから偽サイトに誘導されています。金融機関からの重要な連絡であっても、メール内のリンクは使用せず、必ず公式サイトに直接アクセスするようにしてください。

個人でできる具体的なセキュリティ対策

1. アンチウイルスソフトの導入

フィッシングサイトの多くはアンチウイルスソフトによって検知・ブロックされます。特に金融取引を行う端末には必須の対策です。リアルタイム保護機能により、偽サイトへのアクセス自体を未然に防ぐことができます。

2. VPN の活用

公衆Wi-Fiや不安定なネットワーク環境での金融取引は避けるべきですが、やむを得ない場合はVPN を使用しましょう。通信の暗号化により、中間者攻撃のリスクを軽減できます。

3. ブラウザのセキュリティ機能を活用

最新のブラウザには、フィッシングサイト検知機能が搭載されています。この機能を有効にし、定期的にブラウザを更新することで、既知の脅威から身を守ることができます。

企業が取るべき対策

個人事業主や中小企業の経営者の方は、従業員教育と技術的対策の両面から対策を講じる必要があります。

定期的なセキュリティ教育

フィッシング詐欺の手口は日々進化しています。従業員に対して最新の脅威情報を共有し、怪しいメールやサイトに対する警戒心を養うことが重要です。

Webサイト脆弱性診断サービスの実施

自社のWebサイトがフィッシングサイト作成の参考にされる可能性もあります。Webサイト脆弱性診断サービスを定期的に実施し、脆弱性を事前に発見・修正することで、間接的な被害を防ぐことができます。

被害に遭った場合の対処法

万が一、リアルタイムフィッシング詐欺の被害に遭った疑いがある場合は、以下の手順で対処してください：

即座にパスワードを変更：アクセス可能であれば、直ちに全てのパスワードを変更
金融機関への連絡：楽天証券の「フィッシング詐欺などによる不正取引に関する問い合わせ窓口」に緊急連絡
取引履歴の確認：不正な取引がないか詳細にチェック
警察への届出：被害が確認された場合は、最寄りの警察署またはサイバー犯罪相談窓口に届出
証拠の保全：フィッシングメールや偽サイトのスクリーンショットなど、証拠となる情報を保存

まとめ：進化する脅威に対する継続的な対策を

今回確認されたリアルタイムフィッシング詐欺は、従来のセキュリティ対策の盲点を突いた巧妙な手口です。多要素認証も完璧ではないという現実を受け入れ、多層防御の考え方でセキュリティ対策を講じることが重要です。

特に重要なのは、「怪しいと思ったら立ち止まる」という基本的な姿勢です。急かすような内容のメールや、普段と異なるログイン画面が表示された場合は、一度冷静になって状況を確認するようにしましょう。

サイバー犯罪者たちは常に新しい手口を考案しています。私たち利用者も、最新の脅威情報にアンテナを張り、適切な対策を講じ続けることが求められているのです。