関連するソリューション
セキュリティサービス
セキュリティ製品
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト 藤原 和紀
4月も半ばを過ぎ、春の暖かさを通り越して暑い日が出てくるようになりました。
新社会人の皆さんも少しずつ会社に慣れてくる頃かと思います。
新社会人の皆さんの中にはキャッシュレス決済が当たり前で、現金はほぼ使わないという方も多いかと思いますが、今回は注意喚起という意味でも身近なお金のセキュリティの話をしたいと思います。
クレジットカードの不正利用
イオンフィナンシャルサービスは、2025年3月13日同社のクレジットカード「イオンカード」のオフライン取引を悪用した不正取引が昨年から相次ぎ、被害総額が99億円に上ったと発表しました。警察庁が同3月13日に発表した情報によると、クレジットカードの不正利用を巡る2024年の被害額は前年比2.6%増の555億円に上り、過去最悪を更新したと発表がありましたが、この金額からもイオンフィナンシャルサービス1社の被害の大きさがうかがえます。
出典 : 警察庁 令和6年におけるサイバー空間をめぐる脅威の情勢等について
被害が広がった原因として「Apple Pay iD」とイオンカードの情報が紐づけされ、決済に使われていたことが挙げられます。これは決済の際にApple Pay iDを使用すると、紐づけされたイオンカードから決済が行われるということです。
通常の決済であれば、コンビニなどで決済する際に、与信などの信用情報や退会、紛失などのカード情報がカード会社に照会(オーソリゼーション)され、問題なければ決済が行われます。今回は、一定金額以下ならオーソリゼーションを行わずオフラインで決済できる機能が悪用され、決済が行われました。
また、通常であればカードの利用停止をすると、カード会社が遠隔操作でiDを無効化できるのですが、機内モードで通信が遮断されているために無効化が防がれ、結果としてカードを停止しても番号を変更しても、不正な決済を止められない事態となりました。
イオンカードを騙ったフィッシング自体は割と古くからありますが、顕著になったのは2023年くらいからです。おそらくApple Pay iDの脆弱性に気付いた犯人が一大キャンペーンを張ったと思われます。この時点で、イオンフィナンシャルサービスが対策を行っていれば、これほどの被害にはならなかったと推測されます。
なお、不正利用が発生した場合の被害者は、原理原則としてはカード会社です。適切に手続きをすれば、ユーザーが金銭的被害を受けることはありません。
ただし、不正利用の発覚から60日以内の届出が必要といった、利用者に不利に働くルールが存在しますので、特に利用明細は細かくチェックし、身に覚えのない利用があればカード会社に連絡するなどの対策が必要です。
他にも、暗証番号を教える、他人にクレジットカードを貸すなど、利用者の責任になるケースがありますので、必ずカードの約款を確認するようにしてください。
不正送金被害
一方で、インターネットバンキングの不正送金被害も4,369件発生しており、被害額は約86億9,000万円にのぼっています。フィッシングがその手口の9割を占めますが、こちらは銀行に非がなければ戻らない性質のものです。また、昨年度は法人の被害も増加しています。これは、犯罪者が企業に対して架電し、銀行のヘルプデスクなどを装った自動音声でネットバンキングの更新手続などを促すケースで、音声通話が発端となることから、ボイスフィッシング(ピッシング)と呼ばれています。
今回のケースでは、実際に多数の企業からの不正送金が行われており、被害総額は20億を超えるといわれています。
近年、銀行が窓口手数料やATM手数料の引き上げを行い、顧客をネット取引に誘導しています。
併せて、窓口などで多額の送金を行う場合、かなりしつこく用途を聞かれるようになっています。犯収法(犯罪による収益の移転防止に関する法律)という法律もあり、本人確認や用途の確認は、銀行の義務でもあるので致し方ない面はありますが、無駄に時間がかかります。
このような理由もあり、今では中小企業であってもネットバンクの利用割合が増えていますので、ボイスフィッシングのターゲットになったと想定されます。
なお、振込詐欺などは、お年寄りが被害に遭うイメージですが、不正送金に関しては幅広い年代の方が被害に遭われています。
普段からインターネットバンキングを使っている方が、被害に遭いやすい傾向がありますので、若い方も注意が必要です。
出典 : 警察庁 令和6年におけるサイバー空間をめぐる脅威の情勢等について
フィッシング対策
フィッシングに関する注意喚起は、これまでもコラムで何度か行ってきましたが、被害件数、金額ともに右肩上がりです。
出典 : 警察庁 令和6年におけるサイバー空間をめぐる脅威の情勢等についてそのため、再度、本コラムで最新の手口をお伝えします。フィッシング被害に遭わない秘訣は一つしかありません。フィッシングメール/SMSは開かない、そしてリンクは踏まないことです。
もう一つ、前述したボイスフィッシングも注意が必要です。
知らない番号からの電話には出ない。というのはすでに一般的で、皆さん実践されているかと思います。しかし、2025年3月に新宿警察署や警視庁の実在の電話番号から電話がかかってくるという事例がありました。
これは、電話番号偽装(スプーフィング)という詐欺です。
日本国内の一般的な業者であれば、電話番号偽装はできなくなっていますので、犯人グループは何らかのグレーなサービスを使っていると推測されます。
過去にも、電話番号偽装による犯罪が問題になり、キャリア側でも不正な番号を表示させないように一定の対策は行われていますが、今回はその対策をすり抜けた形となります。
そのため、現在は受電側である利用者が対応せざるを得ないというのが現状です。
キャリア側での対策としては、公開鍵暗号技術に基づくデジタル証明書を使用して、電話の発信番号が安全であることを検証するSTIR/SHAKEN 認証プロトコルという規格があります。
こちらを使えば、発信元を偽装できなくなるのですが、仕組み上IP ネットワークを必要とするため、アナログでの接続が残っていると完全には実装できません。そのため実現にはまだ時間がかかると想定されます。
それであれば、AIを活用してスマホや電話機にかかってきた電話は全て判定し、アラートを出した方が現実的です。蓄積した会話内容や音声データをブラックリスト化し、判定に生かせば犯罪は減ると思われます。
また、音声はディープフェイクで変えることができますが、ディープフェイクかどうかを見分けるのもAIを使った方が実用的です。
AIを使った対策は、一部で始まっていますが速やかな普及が望まれます。
警察庁によると、2024年のクレジットカードの不正利用のうち、92.5%にあたる513億5千万円がカード番号の盗用によるものでした。
カード番号を盗む手段は、スキミングやカードののぞき見などの手段がありましたが、すでに古い手段となっており、現在は被害の原因はフィッシングによるものが多いと考えられます。
多要素認証にも注意
ネットワークバンキングの場合もそうですが、振込などを行う際は、アプリなどによるワンタイムパスワードなどの多要素認証が一般的になっています。一般的に、ネットバンキングなどでは一次認証としてログインIDとパスワードが使われます。
出典 : 警察庁 令和6年におけるサイバー空間をめぐる脅威の情勢等について
ログインIDとパスワードだけですと、フィッシングなどで漏れてしまう可能性が高いため、他人が知りえない情報などを使って、なりすましを防ぐのが多要素認証です。
気を付けていただきたいのは、ボイスフィッシングについては犯人がバックグラウンドで実際に振り込み処理を行っていますので、ユーザーID、パスワードに次いで、ワンタイムパスワードの値を相手に伝えてしまうと、その時点で振り込みが成立してしまいます。
金融機関に限らず、電話で会員IDを聞かれるだけならまだしも、パスワード、ワンタイムパスワードを聞かれるということはまずあり得ません。
では、Webであれば安心かというとそうとも限りません。
ボイスフィッシングの手口として、メールアドレスを聞き出し、偽のURLに誘導するといったことが行われています。
リアルタイム型フィッシングという手口で、偽サイトにログインID、パスワードの入力を行わせ、犯人がバックグランドで実際のサイトに接続するという手口です。
最終的にワンタイムパスワードも入力してしまうので、多要素認証は意味がなくなります。
巷では、ワンタイムパスワードを廃止し、生体認証やQRコードに置き換える対策も少しずつ進んでいますが、SMSやアプリなどを使ったワンタイムパスワードはまだ主流です。
もちろん、ワンタイムパスワードが全くの無意味というわけでもありませんので、しばらくはワンタイムパスワードが主流のままと考えられます。
そのため、サイトで情報を入力する際は、必ず本物であるか確認を行う癖をつけるようにしてください。
出典 : 警察庁 令和6年におけるサイバー空間をめぐる脅威の情勢等について
電話番号偽装対策
AIを活用した電話番号偽装対策が行われるまでにはまだ時間がかかるため、当面の対策としては、電話には出ず、常に留守番電話を利用することが推奨されます。また、知らない人からの電話に折り返す必要がある場合は、履歴を使わず、電話番号を調べて折り返すといった対策が必要です。
非通知や電話帳の登録がない着信には、着信音を鳴らさないといった設定も有効ですので、可能な方は検討してみてください。
ただし、この先想定される手口としては、警察だけではなく、会社、行政、病院、銀行、自宅といった電話番号が偽装される可能性があります。
今は、新人でも社給スマホを持たせられる時代です。社給スマホの場合、名刺に携帯番号を載せることも多く、知らない番号の着信であっても無視しにくい状況です。勝手のわからない社給スマホに、警察などを名乗る着信があればパニックになるかもしれません。
いずれの場合も、慌てずに周りの人に相談して対処するよう心掛けてください。
ウェブスキミングとは
フィッシング、ボイスフィッシング以外にも、カード情報が流出する「ウェブスキミング」といわれるケースがあります。ウェブスキミングとは、正規のECサイトを改ざんし、利用者が商品購入の際に入力したクレジットカード情報などを窃取する手口です。2024年には、サイバー特別捜査部がウェブスキミングと疑われるECサイトの改ざんを40件以上確認しています。
こちらは、フィッシングと違い、ユーザーが意識して防げるものではありませんので、サイト側での対策が重要になります。
通常は、ECサイトの改ざんが発覚すれば、速やかに調査を行い、情報が漏洩したユーザーやカード会社に連絡がきますので、ユーザーはカード停止などの処置を行うことになります。
問題は、改ざんが発覚するまでに時間がかかるケースが散見される点です。これはECサイト側で、改ざん検知や不正通信検知などの対策が適切に行われていない。などの理由で改ざんに長期間気付くことができなかったものです。某コーヒーショップのケースでは、3年以上改ざんに気付かなかった事例もあります。
そのような場合、多くはユーザーから不正使用の指摘があり、改ざんが発覚することになります。このようなケースもありますので、なるべく頻繁にカードの利用明細を見るよう心掛け、身に覚えのない履歴があったらすぐにカード会社に連絡してください。
最後に
新社会人の方に限らず、お金の話や儲かる話が出てきたら、大体詐欺だと思うようにしてください。逆に大損する話や必要以上に急がせる連絡も大体詐欺です。人を疑いながら生きるのはつらいと感じるかもしれませんが、少なくとも身元のはっきりしない相手に対しては、個人情報の提供などは慎重になるべきです。
相手が警察や公務員、大手企業を名乗るかもしれませんが、身元は必ず疑うようにしてください。具体的には、身分証などは本物か見分けがつきませんので、所属する団体へ電話で身元確認したほうが間違いありません。
一方、知らない方から電話がかかってきた場合、出ないのが最善ですが、もし出てしまったら、できるだけ早く通話を終了してください。
既に実例もありますが、電話に出てしまうと、ディープフェイクを使って身内の声で助けを呼ぶ誘拐を装ったケースなどもありますので、対応せざる得ない状況に追い込まれる危険があります。
音声や動画でのディープフェイクはますます身近になり、犯罪に使われることも増えると想定されますので、まずは事例を多く収集し、自分に降りかかってきた際にも一旦冷静になって対処できるよう心掛けてください。
それでは、また次回までしばらくお待ちください。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
