こんにちは。現役でCSIRT(Computer Security Incident Response Team)として活動している筆者です。最近、証券会社での不正アクセス被害が深刻化していることをご存知でしょうか?
金融庁の発表によると、2025年5月だけで約1101億円もの売却被害が発生しています。しかも、これまで「最強の防御」とされてきた多要素認証すら突破される事例が続出しているんです。
多要素認証があっても狙われる現実
私が実際に対応したインシデントでも、多要素認証を設定していたにも関わらず、個人投資家の方が数百万円の被害に遭われたケースがありました。犯人は巧妙に偽のログインページを作成し、被害者がそこでIDとパスワードを入力した瞬間に、リアルタイムで本物のサイトにアクセスして認証コードまで取得していたのです。
リアルタイムフィッシングの恐ろしい手口
従来のフィッシング攻撃は、偽サイトで情報を盗んだ後、時間をおいて悪用するパターンでした。しかし、最新の「リアルタイムフィッシング」では:
- 被害者が偽サイトでログイン情報を入力
- 攻撃者が即座に本物のサイトへその情報でアクセス
- SMSで届いた認証コードも偽サイトで入力させる
- 攻撃者がリアルタイムでその認証コードを使用
このような流れで、多要素認証の時間制限内に不正ログインを完了させてしまうのです。
中小企業のケースから学ぶ教訓
先月対応した事例では、従業員20名程度の中小企業で、経理担当者がフィッシングメールから偽の銀行サイトに誘導され、法人口座から数十万円が不正送金されました。多要素認証を設定していたにも関わらず、リアルタイムフィッシングによって突破されてしまったのです。
この事例で痛感したのは、技術的な対策だけでは限界があるということ。攻撃者は人間の心理を巧みに突いてくるため、包括的な防御が必要です。
個人でできる効果的な対策
1. 信頼できるアンチウイルスソフト の導入
フィッシングサイトの多くは、事前にデータベース化されており、高性能なアンチウイルスソフト
であれば事前にブロックできます。特にリアルタイム保護機能があるものを選びましょう。
2. VPN で通信経路を保護
公衆Wi-Fiを使用する際は特に注意が必要です。VPN
を使用することで、通信内容を暗号化し、中間者攻撃を防ぐことができます。
3. ブックマークからのアクセスを徹底
証券会社や銀行のサイトには、必ずブックマークからアクセスしましょう。メールのリンクは絶対にクリックしないでください。
4. 異常な認証要求に警戒
身に覚えのないSMS認証コードが届いた場合は、即座に該当サービスの公式窓口に連絡しましょう。
企業の担当者が知っておくべきこと
私がフォレンジック調査を行った企業の多くで共通していたのは、「従業員への教育不足」でした。技術的な対策も重要ですが、定期的なセキュリティ教育こそが最も効果的な防御策です。
特に、実際のフィッシングメールを使った訓練を月1回程度実施することで、従業員の意識は大幅に向上します。
まとめ:多層防御の重要性
多要素認証を突破する攻撃が現実となった今、単一の対策に頼るのは危険です。アンチウイルスソフト
、VPN
、そして何より人的な対策を組み合わせた多層防御が不可欠です。
サイバー攻撃は日々進化しています。私たちも常に最新の脅威について学び、対策をアップデートしていく必要があります。あなたの大切な資産を守るため、今すぐできることから始めてみてください。
一次情報または関連リンク
ITmedia – 多要素認証突破も当たり前 今話題のリアルタイムフィッシングとは?
