読めば身に付くネットリテラシー

今、フィッシング詐欺で世界で一番狙われている国は「日本」。その背景にAI

  • DLIS・柳谷 智宣

2025年5月30日 06:00

 米国のサイバーセキュリティ企業であるProofpointの調査によると、2024年末ごろから日本をターゲットにした新たなメール攻撃が爆増しているそうです。

 2024年12月における新種のメール攻撃の量は、全世界で2億6200万通となり、2023年の月間平均である9600万通の2.7倍に増えました。そして、その勢いはとどまるところを知らず、2025年1月は5億2000万通、2月は5億7500万通とさらに増えています。そして、この攻撃のほとんどが、フィッシング詐欺メールで占められているのです。

 日本人である私たちにとって、恐ろしいのは単純な数の増加だけではありません。2025年2月に全世界で観測されたメール攻撃活動のトップ10のうち、9つが日本をターゲットにしたものでした。量としても、全世界への新種のメール攻撃のうち、80.2%が日本を狙っているのです。この傾向はさらに加速しており、4月にはこの割合は83.6%になっています。

世界で最もメール攻撃を受けているのが日本です(画面は、Proofpointのブログ記事「日本が今、最も狙われている? 急増するDDoS攻撃とメール攻撃の実態」より)

 この理由の1つとして、Proofpointでは、生成AIの性能が格段に向上したため、言語の壁がなくなったことを挙げています。

 かつてのフィッシング詐欺メールは、明らかにおかしな日本語のものがほとんどでした。知識のない人には日本語の文章を作ることが、それだけ難しかったのでしょう。しかし、生成AIで誰もが簡単に日本語の文章を作れるようになったことで、自然な日本語の詐欺メールがあふれ、文章の不自然さから見分けることはできなくなりました。いまだに「詐欺メールは日本語がおかしい」という思い込みを持っている人は、「自然な日本語だから本物だろう」と、かえって騙されやすくなっている可能性もあります。

 詐欺の成功率が高くなるのであれば、日本は魅力的なターゲットです。日本人の住所や氏名、電話番号、メールアドレス、クレジットカードなどの個人情報はダークウェブなどのアンダーグラウンド市場で高値で取引されています。日本企業の保有する情報も価値が高く、ネット詐欺師にとっては魅力的です。

 Proofpointは、これらのメール攻撃のほとんどが「CoGUIフィッシングキット」と呼ばれるフレームワーク――いわば“簡単にフィッシング詐欺を始められるツールのセット”を使って行われていると指摘しています。

 CoGUIは「ジオフェンシング」「ヘッダーフェンシング」「フィンガープリンティング」といった高度な技術を搭載しており、ブラウザーやセキュリティツールの検知を回避します。特定の地域を選択的にターゲットにすることができ、現在はターゲットとなった日本の被害者にとって重大な脅威となっているのです。

 CoGUIによる攻撃活動では、AmazonやPayPay、MyJCB、Apple、楽天など、主に消費者向けの有名ブランドや決済・金融ブランドを騙り、ユーザー名やパスワード、クレジットカード情報などを盗みます。

 特に最近は、証券会社を装ったフィッシングサイトが急増していますが、CoGUIの活動は、日本の金融庁が発表した、金融窃盗につながるフィッシング攻撃活動に関する報告と一致していると、Proofpointも述べています。

今年急増した証券口座の不正取引被害

 証券口座のアカウントをフィッシング詐欺で乗っ取られても、出金先口座の変更や出金自体が厳しく制限されているため、犯人が直接現金を引き出すことは困難です。

 犯人の目的は、株価操縦による利益獲得なのです。具体的には、乗っ取った証券口座で被害者の保有株を売却し、その資金で流動性の低い中国株などを大量に購入します。犯人は事前に自分の証券口座で同じ銘柄を安値で買っておき、乗っ取った複数の口座から一斉に買い注文を入れることで株価を吊り上げます。その後、高騰したタイミングで自分の口座の株を売却し、不当な利益を得る「ポンプ・アンド・ダンプ」と呼ばれる手法です。

 こうした不正な取引は、国内株よりも外国株(特に中国株)で行われる傾向があり、証券会社や金融当局の監視を逃れやすいという背景もあります。

 金融庁の発表によると、2025年1月の証券会社不正アクセス件数は65件で、売却金額は約0.8億円、買付金額は約0.7億円でした。しかし、4月には4852件、売却金額は約1481億円、買付金額は約1308億円と激増しています。

フィッシング詐欺などで盗んだアカウント情報を使い、証券口座で不正取引する事件が多発しています(画面は、金融庁の注意喚起ぺージ「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」より)

 フィッシング詐欺はありふれたネット詐欺ですが、その分、膨大な数のフィッシング詐欺メールが出回っています。偶然、自分が使っているサービスを装ったものだったりすると、ころっと信じてしまう可能性があります。特に、寝起きやお酒に酔っているときなどは判断力が落ちているので注意が必要です。

 フィッシング詐欺対策の基本となるのは、メールやSMSに記載されたリンクを安易にクリックしないことです。正規サイトには必ず公式アプリや検索エンジンからアクセスしましょう。

 多要素認証の設定も効果的な防御策となります。パスワードに加えて、SMSやアプリでの認証を組み合わせることで、万が一パスワードが漏えいしても被害を最小限に抑えられます。もちろん、パスワードの使い回しは厳禁です。パスワード管理アプリなどを活用し、サービスごとに独自の複雑なパスワードを設定してください。

 フィッシング詐欺は「自分は大丈夫」という油断が最大の敵です。常に警戒心を持ち、少しでも怪しいと感じたら立ち止まって確認する習慣を身に付けましょう。

NPO法人DLIS(デジタルリテラシー向上機構)

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。

※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考:ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと