WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： たかし
カテゴリー： トレンド >TIPS

「あなたのアカウントが不正利用されています」
「緊急：すぐに確認してください」

このようなメッセージを受け取ったことはありませんか？
従来のフィッシング攻撃といえば、怪しい日本語のメールが主流でしたが、最近の手口はまったく違います。
本物と見分けがつかないほど精巧になり、攻撃の入り口もメールだけでなく、SNS、QRコード、さらには電話まで多様化しています。

今回は、進化し続けるフィッシング攻撃の最新手口と、身を守るための具体的な対策法について詳しく解説していきます。

フィッシング攻撃の新手口

SNSメッセージを使った攻撃

LINEやInstagramのDM、Facebookメッセンジャーなど、日常的に使っているSNSを狙った攻撃が急増しています。
従来のメールフィッシングと比べて、SNSは以下の理由で攻撃者にとって「都合の良い」環境なのです。

なぜSNSが狙われるのか

• 友人からのメッセージは警戒心が薄れやすく、信頼関係を悪用できるため
• メールより即座に確認される傾向があり、リアルタイム性があるため
• 公開されているプロフィール情報を活用し、趣味や関心事を狙い撃ちできるため
• 一度アカウントを乗っ取れば、そのユーザーの全友人にメッセージを送れる拡散力があるため

具体的な攻撃パターン

• Instagramの「ストーリーズ通知」型
  「〇〇さんがあなたについてのストーリーズを投稿しました」というDMが届き、リンクをクリックすると偽のInstagramログイン画面に誘導される手口。本物そっくりの画面でログイン情報を盗み取ります。
• LINEの「動画シェア」型
  「この動画にあなたが映っています」「恥ずかしい動画が拡散されています」といったメッセージで不安を煽り、「削除するにはこちら」のリンクをクリックさせる手口。
• Facebook Messengerの「緊急連絡」型
  乗っ取られた友人アカウントから「今すぐお金が必要、この決済リンクから送金して」といった緊急性を装ったメッセージが送られてくるケース。
• アカウント乗っ取りの連鎖
  特に深刻なのが、一つのアカウントが乗っ取られると、そのユーザーの友人全員に攻撃メッセージが送られることです。
  信頼している相手からのメッセージなので、被害者は疑うことなくリンクをクリックし、さらなるアカウント乗っ取りを引き起こします。
  この連鎖を断ち切るには、どんなに親しい友人からのメッセージでも「いつもと違う内容」の場合は、別の連絡手段で本人に確認することが重要です。

QRコードフィッシング（クイッシング）

レストランのメニュー表示から決済まで、QRコードが身近になった今、このQRコードを悪用した攻撃も登場しました。QRコードの特性を悪用した巧妙な手口が増えています。

QRコードが狙われる理由

• 人間が読み取れず、どこに飛ばされるか事前に分からないため
• 正規のサービスが使っているため、安全だと思い込みやすいため
• カメラをかざすだけですぐにスマホでリンクが開かれるため
• 既存のQRコードに上から貼り付けるだけで偽装可能で改ざんが容易なため

具体的な攻撃パターン

• 駐車場での偽QRコード貼り付け
  コインパーキングの料金支払い機に、本物のQRコードの上から偽のコードを貼り付ける手口。被害者は正規の支払いだと思ってクレジットカード情報を入力してしまいます。
  実際の事例では、都内の商業施設駐車場で複数の被害が報告されています。
• レストランでの偽メニューQRコード
  テーブルに置かれたメニュー用QRコードを偽物にすり替え、偽のオーダーサイトに誘導する手口。
  個人情報やクレジットカード情報を盗み取った後、実際には料理が運ばれてこないというケースも。
• Wi-Fi接続QRコードの悪用
  カフェや空港などで「無料Wi-Fi接続用」として配布されるQRコードが、実は悪意のあるアクセスポイントへの接続を促すものだったという事例。
  接続後、通信内容がすべて盗聴される危険性があります。
• 宅配偽装QRコード
  「不在のため配達できませんでした」という偽の不在票に印刷されたQRコードから、偽の宅配業者サイトに誘導し、再配達手数料名目でクレジットカード情報を詐取する手口。

QRコードは、約3,000文字までの情報を格納できる二次元バーコードです。
URLだけでなく、テキスト、電話番号、Wi-Fi設定情報なども埋め込めるため、攻撃者は様々な悪意のある情報を仕込むことができます。

また、QRコード生成は無料ツールで簡単にできるため、攻撃者が偽のコードを大量生産することも可能です。
短縮URLサービスと組み合わせることで、リンク先を更に分かりにくくする手口も使われています。

音声通話を使ったビッシング（Voice Phishing）

「銀行のセキュリティ部門です」「クレジットカード会社からご連絡です」という電話がかかってきて、「不正利用を検知したため確認が必要」と言われる手口です。
音声合成技術やAIの進歩により、従来の「片言の日本語」から「完璧な敬語」「地方のなまり」「特定の企業の社員らしい話し方」まで再現できるようになっています。

ビッシングが効果的な理由

• 「今すぐ対応しないと口座が凍結される」といった時間的プレッシャーをかけられるため
• 銀行や警察など、権威ある組織を名乗ることで信頼を得ることができるため
• 人間の声は文字より信頼されやすい心理的特性を利用できるため
• メールと違って音声は記録されにくく、後から確認が困難であるため

具体的な攻撃パターン

• AI音声合成を使った「なりすまし通話」
  最新の事例では、実在する銀行員の音声をSNSや企業の動画から学習し、その人の声を完璧に再現して電話をかける手口が確認されています。被害者は「いつもの担当者だ」と安心してしまい、暗証番号を教えてしまうケースが多発しています。
  音声合成技術は、わずか数分間の音声サンプルがあれば、その人の声を再現できるレベルまで進歩しています。企業の動画コンテンツや、SNSに投稿された動画から音声を抽出し、学習データとして利用される危険性があります。
• 「逆転」型ビッシング
  従来は攻撃者から電話をかけてくるパターンが主流でしたが、最近は被害者から電話をかけさせる手口も登場しています。「セキュリティ上の理由で、こちらの番号にかけ直してください」と言って、偽のコールセンターに誘導する方法です。
  被害者が自分から電話をかけることで、「自分で確認した」という安心感を与え、警戒心を解く効果があります。実際には、攻撃者が用意した偽のコールセンターにつながっているのです。
• 多段階認証の突破
  銀行のワンタイムパスワードや、SMSで送られてくる認証コードも、ビッシングで突破される事例が増えています。「システムの確認のため、今送られてきた6桁の番号を教えてください」と言われ、被害者が認証コードを口頭で伝えてしまうのです。
  攻撃者は事前に被害者のネットバンキングにログインを試行し、認証コードが送信されるタイミングで電話をかけてきます。この巧妙なタイミング調整により、被害者は本当にシステム確認だと信じ込んでしまいます。

電話での情報聞き取りは、対面と違って相手の表情や仕草が見えないため、演技がしやすいという特徴もあります。
また、通話中は他のことを調べる余裕がなく、冷静な判断が難しくなる傾向があります。

被害に遭わないための5つの対策

1. リンククリック前の一呼吸

どんなに緊急そうなメッセージでも、リンクをクリックする前に一度立ち止まりましょう。メールやメッセージに記載されたリンクではなく、公式サイトを検索してログインするのが安全です。

具体的には、

• ブラウザを新しく開く
• サービス名で検索する
• 公式サイトから直接ログインする

この手順を習慣化するだけで、多くのフィッシング攻撃を回避できます。

2. URLの確認を徹底する

リンクにマウスを重ねると（スマホなら長押し）、飛び先のURLが表示されます。以下のポイントをチェックしましょう。

• ドメイン名が正しいか（amazon.comのような微妙な違いに注意）
• httpsになっているか
• 妙に長いURLや短縮URLではないか

正規のURLを普段から覚えておくと、偽物を見分けやすくなります。

3. 二段階認証の設定

パスワードが盗まれても、二段階認証があれば不正ログインを防げます。主要なサービスでは必ず設定しておきましょう。

• Google（Gmail）
• Apple ID
• Microsoft
• Amazon
• 銀行のオンラインバンキング
• SNSアカウント

SMSよりも、Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリの方がセキュリティが高くおすすめです。

4. 電話での個人情報確認には応じない

金融機関や公的機関が電話で暗証番号やパスワードを聞くことは基本的にありません。「確認のため」と言われても、以下の情報は絶対に教えないでください。

• クレジットカードの暗証番号
• インターネットバンキングのパスワード
• SNSやメールのパスワード
• マイナンバー

不安な場合は一度電話を切り、公式の連絡先に自分からかけ直すのが確実です。

5. 定期的なパスワード変更と被害チェック

同じパスワードを長期間使い続けるのはリスクが高いもの。特に重要なアカウントは定期的に変更しましょう。また、以下のサイトで自分のメールアドレスが過去の情報漏洩に含まれていないかチェックできます。

Have I Been Pwned

もし漏洩が確認された場合は、該当サービスのパスワードをすぐに変更してください。

QRコード利用時の注意点

QRコードを安全に使うためのチェックポイントは以下の通りです。

設置場所の確認

• 公式に設置されたものか確認する
• 上から貼り付けられた形跡がないかチェックする
• 複数のQRコードが並んでいる場合は特に注意する

スキャン後の確認

• 飛び先URLが信頼できるドメインか確認する
• 個人情報入力を求められたら一度疑う
• 決済前に金額や内容を必ず確認する

もし引っかかってしまったら

万が一フィッシング攻撃の被害に遭ってしまった場合の対処法は以下の通りです。

即座に行うこと

1. 被害を受けたアカウントのパスワードをすぐに変更する
2. ログイン履歴を確認し、不審なアクセスがないかチェックする
3. 同じパスワードを使っている他のサービスも変更する

金銭被害の可能性がある場合

1. クレジットカード情報を入力した場合は即座にカード会社に連絡し、停止する
2. 口座情報が漏れた可能性がある場合は取引を停止する
3. 実際に金銭被害があった場合は警察に相談

まとめ

フィッシング攻撃は日々進化を続けており、従来の「怪しいメール」という固定観念では対応しきれなくなっています。SNS、QRコード、電話、AI生成コンテンツなど、あらゆる入り口から攻撃が仕掛けられる時代です。

しかし、基本的な対策を心がけることで、多くの攻撃は防げます。「立ち止まって確認する」「公式サイトから直接アクセスする」「二段階認証を設定する」という基本的な行動を習慣化するだけで、安全性は大幅に上がります。

完璧な対策は難しくても、「ちょっと変だな」と思った時に一呼吸置く習慣があれば、被害を避けられる可能性は高くなるので、今回の対処法もぜひ参考にしてみてください。