はい。犯罪者側は、かなり高度に組織化されています。一般的な企業が行うPDCAのように、何かを実施し、その結果を見て改善するというサイクルを、残念ながら彼らのほうがうまく回しているんですよね。目的はとてもシンプルで、「とにかく金を取る」こと。
また、以前はどんなに大きくても数十人規模のグループだろう、という感覚でした。
でも最近は、100人を超える「会社」レベルの組織になっていると思います。
その通知やサイト、本当に公式? 専門家に聞く、「フィッシング詐欺」の手口と対策
コーポレート
「公式そっくりのメール」「本物のようなログイン画面」を目にする機会が増えていませんか?
日本サイバー犯罪対策センター(JC3)の櫻澤さんは、フィッシング詐欺について、「正直、見抜くのは無理だと思います」と言います。
文章もデザインも巧妙化が進み、見た目で判断すること自体が、いまやリスクになりつつあります。
本記事では、櫻澤さんとLINEヤフーのセキュリティ担当者とともに、「見抜けない時代に、どう身を守ればいいのか」を考えました。
- 櫻澤 健一(さくらざわ けんいち)さん
- 日本サイバー犯罪対策センター(JC3)業務執行理事
1988年に警察庁入庁。富山県警察本部長、内閣情報調査室審議官、警察庁総括審議官などを経て、2022年8月警備局長で退官。本年1月から現職。警察官として、現在は民官学連携の立場から40年近く詐欺と向き合っている。
- 首浦 大夢(くびうら ひろむ)
- 2023年ヤフー(現LINEヤフー)新卒入社。脅威情報分析対応チームにてマルウェア解析、フィッシング調査を主とした脅威インテリジェンスに従事。Black Hat USA Arsenal, BSides Tokyo, AVAR登壇。セキュリティ・キャンプ全国大会で講師を務める。
フィッシング詐欺は、なぜここまで巧妙になったのか
――フィッシング詐欺は、手口だけでなく構造そのものが変わってきている印象です。
私がこのサイバー業界に入った3年前は、画面を見た瞬間に「あ、ちょっと変だな」と違和感を覚えるサイトが、まだあったんです。でも、この3年でそうした違和感があるケースはどんどん減っています。
まず知っておいてほしいのは、いまのフィッシング詐欺は、個人の注意力だけで対抗できる段階をすでに超えているということです。
覚えてほしいポイント:
フィッシング詐欺は、組織化された「産業」になっている
見抜くのは無理...実例で見てみるフィッシング詐欺
――では、実際のフィッシング事例を見ていきたいと思います。まず、これは偽のログイン画面です。
これを見てすぐに、「怪しい」と言える人は、ほとんどいないと思います。文章も自然ですし、デザインも見慣れているものにかなり近いですね。
私もそう思います。いまのフィッシング詐欺の特徴は、「怪しさがない」ことなんです。
以前は、日本語がどこかおかしかったり、画面を見た瞬間に「あれ?」と感じたりすることがありました。でも、いまはそうした違和感が、ほとんどありません。
被害に遭った方からも、「その企業のロゴがあったから安心した」「普段使っているサービスと同じデザインだった」という声が多いですね。ロゴやデザインに、無意識に安心感を持ってしまう人は多いです。
――「安心」だけでなく、「善意」も判断を鈍らせることがありそうです。
そうですね。その典型が、募金サイトだと思います。
平成30年に大阪を中心に豪雨災害があったとき、Yahoo!ネット募金が募金サイトを立ち上げました。すると本物そっくりの偽募金サイトが作られて、クレジットカード情報を盗むケースが出てきたんです。やっていること自体は、本物のサイトをそのままコピーしただけ。
見た目だけでは、本当に区別がつきません。このサイトはメールやSNSを通じて拡散され、「すぐに募金しなくては」という気持ちで画面を見た多くの人が、そのまま引っかかってしまったのだと思います。これはまさに善意につけ込む手口でした。
――では、知識があっても、引っかかってしまうケースはありますか?
あります。実は僕自身も、ESTA(※)のビザ申請で引っかかってしまいました...。
※ESTA:
90日以内の観光・商用目的で米国へ渡航する際に、事前にオンラインで申請する電子渡航認証システム
――首浦さんでもだまされてしまうことがあるんですね! でも、なぜ引っかかってしまったのですか?
出発までの期間が短くて焦っていたのと、ESTAの申請自体が初めてだったんです。
「ESTAが必要」という知識はあったので、インターネットで最初に目についたサイトに、そのままアクセスしてしまいました。落ち着いて見れば違いはあったのかもしれませんが、正直、その状況で「見抜け」と言われても、難しかったと思います。
まさに、いまのフィッシング詐欺の典型ですね。「初めて」「焦り」「時間制限」が重なった結果です。
電車の中だったり、「あと10分で手続きを終えなければいけない」といった状況だったり。焦っているときは、無理です。
私も、「あと少しでチケットが売り切れる」「すぐに対応しないといけない」そんな場面では見抜ける自信はないですね。
たとえば「ESTA」を調べるときは、本来であれば、「在日米国大使館」や「米国総領事館」といった正規の入口から入ってほしいところですが...。
検索エンジン自体は、客観的な仕組みで動いているという前提があるので、「検索結果に出てきた」という理由だけで、安心してしまいやすい側面もありますよね。
そうですね。「検索結果に出てきたから安心」という判断は危険だと思います。
櫻澤さん「最近は検索ではなくAIに質問する人も増えています。AIを偽情報からどう守るかというのは、非常に大きな課題です。もし犯罪組織が本格的にAIを攻撃し偽情報が入り込めば、AIも影響を受けるのは間違いありません」
覚えてほしいポイント:
フィッシング詐欺の手口は、注意深く見ても見分けられない
フィッシング詐欺を見抜こうとしない。その代わり「行動」を決める
――「見抜けない」前提で考えたほうがいい、ということがよくわかりました。では、私たちはどのように気をつけていけばいいのでしょうか?
まず大事なのは、「どう見抜くか」を考えることではありません。
「どう行動するか」を考えることです。
殺人や強盗などは、被害者がどれだけ気を付けていても被害にあってしまうことがありますよね。
でも、「詐欺」という犯罪は、被害者側が能動的に何かをしなければ、基本的に成立しない犯罪です。これは、かなり大きな違いだと思っています。
また、被害者側がやるべき行動自体は、実は変わっていません。今も昔も「詐欺に遭わない行動を取る」それだけです。
――では、具体的にどうしたらいいでしょうか?
僕が、フィッシング対策として家族や身近な人に伝えていることは、すごくシンプルです。
向こうから来たものからは、操作しない。
メールでも、SMSでも、電話でも、向こうから来た情報は、いったん全部「参考情報」。
そこから、リンクを押したり、その場でログインしたり、個人情報を入力したりは絶対にしないでください。
――たとえ本物だと思っても、ですか?
はい。以前、カードの不正利用について電話を受けたことがあります。99%「これは本物だろう」と思っていました。
それでも、「あなたが本当にカード会社の人かどうか確認できないので、一度切りますね」と伝えて、こちらから公式の窓口にかけ直しました。
メールやSMSの場合も、そこに書かれているURLからはアクセスしない。
アプリがある会社なら、公式アプリから。アプリがない場合は公式サイトをブックマークして、そこからアクセスする。
「この入口だけを使う」というルールを決めておくことで、被害を減らすことにつながります。
もう一つ、ぜひ覚えておいてほしいのが、「判断力が落ちている時間帯」の存在です。
朝起きたばかりのとき。通勤中の電車の中。仕事の合間で気持ちが切り替わっていないとき。
あるいは、疲れているときや、お酒を飲んだあと。そういう時間帯は、どうしても判断力が落ちますよね。
そうですね。たとえば出勤前に、「会社に着く前にちょっとだけ確認しよう」「時間がないから、今やってしまおう」と、電車の中で操作してしまう。そういう状況を狙っているのか、朝一番に届くフィッシングメールやSMSは実際多いです。
だから私は、「判断力が落ちている時間帯は、そもそも見ない」というルールをおすすめしています。メールやSMSは、落ち着いてから、あとでまとめて確認すればいい。緊急に見せるような文言ほど、いったん距離を置いたほうが安全です。
知っておいてほしいのは、誰でも感情をコントロールするのは、とても難しいということ。
焦る、不安になる、急がされる。そういう気持ちは、誰にでも起きますし、止められません。
だから、どの手段についても「見抜こう」とするのではなく、見抜けない前提で行動のルールを決めておくことが大切です。
「フィッシング詐欺の入口はどんどん変わっています。そのわかりやすい例が、ボイスフィッシングです。これはメールやSMSではなく、電話を入口にする手口ですね。これもやっていること自体は同じで、最終的にフィッシングサイトに誘導して情報を書かせ、お金をとることが目的です」
覚えてほしいポイント:
メールやSMSなど「向こうから来たもの」は操作せず、必ず公式の窓口に確認する
1人で判断しない。人とのつながりが、詐欺を防ぐ力になる
――行動を決めておいたとしても、いざというときは迷ってしまいそうです...。
そうですね。もう一つ、とても大事なことがあります。1人で判断しないということです。
これは「オレオレ詐欺」の時代から感じていることですが、詐欺は相手を孤立させた瞬間に成功します。逆に言えば、誰かとつながっていれば、防げる可能性は一気に高まります。
家族でも友だちでも、同僚でもいいので、「これ、どう思う?」と気軽に相談できる相手を、あらかじめ1人決めておくだけで、状況は大きく変わるんです。
被害に遭った方の話を聞いていると、「誰にも相談しなかった」「自分だけで判断してしまった」というケースがかなり多いです。
そして、多くの詐欺被害者は被害に遭ったあとも「家族にだけは知られたくない」と思っています。それは、自分の欲について知られてしまうことになるからです。
だから、相談相手は家族以外の職場の人でもいいし、匿名で相談できる場所でもいいんです。
たとえば、Yahoo!知恵袋のような場所に「これは詐欺ですか?」と投稿している人は、実は結構います。
実際、そこで相談されている事例の多くは詐欺ということがほとんどです。第三者の目で「それはおかしいですよ」と言ってもらえるだけで、冷静になれることも多いんですよね。
第三者は感情に巻き込まれていない分、「それは変だよ」と言える存在になってくれます。
自分を疑う必要はありませんし、「自分は大丈夫」という気持ちも、自然なことです。
ただ、自分の判断を一度止めてくれる「鏡」のような人を持っておく。人とのつながりが詐欺を防ぐ力になることもぜひ知っておいてほしいですね。
櫻澤さん「サイバーセキュリティ業界では、首浦さんのようにサイバー犯罪から人を守ることを仕事にする新しい担い手が、次々と現れています。プラットフォーマーだけでなく、セキュリティ企業や金融機関など、さまざまな分野に広がっています。その変化を私はとても心強く感じています。そんなセキュリティアベンジャーズのような存在が、もっと増えてほしいですね」
これだけは覚えてほしい3つのポイント
1)フィッシング詐欺は、組織化された「産業」になっている
個人の注意力だけで対抗するのはもう難しい
2)メール・SMS・電話...向こうから来たものからは操作しない
必ず公式アプリ・公式サイト・公式窓口で確認する
朝など判断力が落ちている時間帯には、メールや通知を見ない
3) 1人で判断しない。迷ったら、誰かに聞く
同僚、友だち、知人、匿名の相談先など、冷静な第三者の一言が判断を止めてくれる
関連リンク
あわせて読みたい
-
コーポレートその電話、本当に警察? 専門家に聞く、「ニセ警察詐欺」の手口と対策
-
コーポレートSNSで知り合ったその人、本当に安全? 専門家に聞く、「ロマンス詐欺」の手口と対策
-
コーポレートその広告、ホンモノ? 「SNS型投資詐欺」の手口と対策
取材日:2026年1月14日
文:LINEヤフーストーリー編集部 撮影:倉増 崇史
※本記事の内容は取材日時点のものです
- LINEヤフーストーリーについて
- みなさんの日常を、もっと便利でワクワクするものに。
コーポレートブログ「LINEヤフーストーリー」では、「WOW」や「!」を生み出すためのたくさんの挑戦と、その背景にある想いを届けていきます。