韓国ボイスフィッシング対策143回発表も効果なし？現役CSIRTが教える本当に有効な防御策

韓国で初めてボイスフィッシング（振り込め詐欺）の申告が受け付けられてから19年1ヵ月。政府は140回を超える対策を発表してきましたが、犯罪手口は対策をあざ笑うように進化し、被害規模も減るどころか毎年雪だるま式に増えています。

フォレンジックアナリストとして数多くの詐欺被害事例を分析してきた私が、なぜ政府の対策が効果を発揮しないのか、そして個人・企業が本当に実践すべき対策について解説します。

政府対策143回発表の実態

毎日経済の取材によると、振り込め詐欺犯罪が横行し始めた2006年から現在まで、関連省庁の対応策発表は計143件に達しています。

しかし、これらの対策は主に「発表」に留まり、実際の被害防止には繋がっていません。

2007年、政府は「大砲との戦争」を宣言し、不法名義の通帳や携帯電話を根絶すると発表しました。しかし、昨年摘発された大砲通帳・大砲フォンだけで22万4515個に達し、依然としてボイスフィッシングの主要犯行手段として使われています。

昨年、格安通信会社1社で外国人名義のデポフォンが約7万件開通。これは2021年の摘発件数の3倍に当たります。しかし、科学技術情報通信部はどの業者で問題が生じたのかさえ把握できていません。

長年サイバー犯罪の現場で対応してきた経験から、政府対策が効果を発揮しない理由を分析します。

詐称詐欺対策として、2007年に発信者番号表示操作処罰を強化すると発表されましたが、「技術的限界」を理由に実際の導入には至りませんでした。

不法スパム発送で摘発された73件に対する処罰は平均458万ウォンの過料に過ぎません。一方、スパム申告件数は2年連続で3億件を超えており、犯罪コストに見合わない軽い処罰が横行を許しています。

2009年から移動通信会社と金融機関に詐欺予防と捜査協力義務を付与すると発表されましたが、立法不備で現場警察の間では実効性を体感しにくいのが現状です。

政府の対策が効果を発揮しない以上、個人レベルでの自衛策が重要です。

まず基本となるのが、包括的なセキュリティ対策です。アンチウイルスソフトを導入し、デバイスレベルでの保護を強化することが重要です。フィッシングメールや悪意のあるリンクからの保護、リアルタイムでの脅威検知など、多層防御が可能になります。

個人情報の漏洩を防ぐため、VPN の活用を強く推奨します。通信内容の暗号化により、犯罪者による盗聴や情報窃取を防ぐことができます。

実際の被害事例を分析すると、以下のパターンが多く見られます：

中小企業においても、従業員を狙った詐欺攻撃が増加しています。

実際の事例では、経理担当者が偽の請求書メールに騙され、数百万円を送金してしまったケースがあります。このような被害を防ぐには、定期的なセキュリティ教育と、Webサイト脆弱性診断サービスによる脆弱性の事前把握が効果的です。

技術的な対策だけでなく、人的要因によるセキュリティホールを塞ぐことが重要です。特に、メール認証やファイル共有時の安全確認手順の徹底が必要です。

政府の対策が効果を発揮しない現状を踏まえ、個人・企業レベルでの自衛策の重要性はますます高まっています。

AI技術の発達により、音声合成による詐欺や、より巧妙な詐称メールが増加しています。従来の対策では対応しきれない新しい脅威に対し、常に最新の防御手段を講じる必要があります。

特にカードローンを悪用した被害では、クレジットカード会社や貸金業者が口座を発給しないという理由で、通信詐欺被害還付法の適用を受けません。つまり、被害に遭った場合の回復が極めて困難なのが現実です。

19年間で143回の対策発表にも関わらず、ボイスフィッシング被害が拡大し続けている現状を見ると、政府の対策に頼るだけでは不十分であることは明らかです。

現役CSIRTの立場から強く推奨するのは、個人・企業レベルでの徹底した自衛策です。アンチウイルスソフトによる包括的な保護、VPN による通信の暗号化、そして企業においてはWebサイト脆弱性診断サービスによる定期的な脆弱性診断が、最も確実な防御策となります。

犯罪者は常に新しい手口を開発し、対策の隙を狙っています。私たち自身が最新の脅威に対する知識を持ち、適切な技術的対策を講じることが、被害を防ぐ最も確実な方法なのです。