読めば身に付くネットリテラシー
誰もが被害者になりうるサイバー攻撃の脅威――2025年上半期、AI詐欺とランサムウェアが日本を揺るがす
2025年10月17日 12:07
トレンドマイクロは、2025年1月から6月までの日本国内におけるサイバーリスクの動向をまとめたレポート「国内サイバーリスクラウンドアップ 2025 Midyear」を9月25日に公開しました。今回は、このレポートからいくつかのポイントを紹介します。
個人を狙う「フィッシング詐欺」が猛威。証券口座の多要素認証も突破
想像以上に、個人を狙うネット詐欺の被害が大きく、驚きました。トレンドマイクロの調査によると、ネット・電話を介した詐欺や詐欺と思われる不審な体験をした人の割合は64.4%で、そのうち実際に被害に遭った割合が30.3%にも上っているのです。金銭的被害が発生した人においては、平均被害額が263万7000円という高額なのも深刻な状況といえます。しかも、被害に遭ったにもかかわらず、誰にも報告・相談しなかった人が31.5%もいることから、実際の被害はさらに大きい規模になっていると思われます。
ネット詐欺の手口は日々巧妙化しています。特に、生成AIやディープフェイク技術の悪用は、さらに詐欺を見破りにくくしています。かつて詐欺の被害者は高齢者が中心というイメージがありましたが、今や若年層や現役世代の被害も急増しており、全世代がターゲットとされているのです。
中でも「フィッシング詐欺」は手口を変えながら猛威を振るっています。2025年上半期は、ネットバンキングやクレジットカード情報だけでなく、証券会社の口座を狙ったフィッシングが急増しました。
証券会社からはセキュリティ強化策が発表されましたが、攻撃者はそれを逆手に取って、「デバイス認証」や「補償制度の適用」を装うメールを送り付けてきます。その文面は生成AIによって、人間が書いたかのような自然な日本語で作成されており、一見しただけでは偽物と見分けることは難しくなっています。「不正操作防止のため口座を保護した」などと緊急性を煽るメッセージで焦らせて、偽サイトへ誘導する手口が横行しています。
証券口座のアカウントの認証情報を盗んだら、次は不正アクセスして証券口座を乗っ取り、相場を操作します。攻撃者が用いたのは「Hack, Pump And Dump」と呼ばれる古典的ながらも悪質な手法です。まず、フィッシングなどで不正に入手した認証情報で他人のアカウントの証券口座にログイン(Hack)。次に、流動性の低い株式などを大量に買い注文を入れ、株価を意図的につり上げ(Pump)、最後に、攻撃者が自身で保有していた同じ銘柄を高値で売り抜けて不正な利益を得るのです(Dump)。一方で、乗っ取られた口座には暴落した銘柄が残り、金銭的な損失が発生します。金融庁の発表によると、2025年上半期における証券口座の不正アクセス件数は1万3099件、不正売買額は約5745億円となっています。
多くの証券会社では、セキュリティ対策として多要素認証(MFA)の導入を進めています。しかし、攻撃者はその上を行きます。AiTM(Adversary-in-the-Middle)攻撃による「リアルタイムフィッシング」は、正規サイトと利用者の間の通信に割り込み、ワンタイムパスワードや絵文字認証、電話認証といった多要素認証の情報までリアルタイムで窃取します。強固なはずのセキュリティがいとも簡単に突破されてしまうのです。
「ランサムウェア」「ボイスフィッシング」など、法人にも深刻な被害
個人のみが脅威に晒されているわけではありません。法人を狙う「ランサムウェア」の攻撃は、2024年に過去最多を記録したあとも勢いを増し、2025年上半期だけで50件もの被害が公表されています。これは過去2番目に多い数字で、深刻な被害が出ているのです。
近年のランサムウェア攻撃は、単にデータを暗号化して身代金を要求するだけではありません。データを人質に取るだけでなく、窃取した情報を暴露すると脅す多重脅迫をしてくるのです。50件の被害のうち、半数にあたる25件で情報漏えいがあったとされており、事業停止と情報漏えいという二重の損害をもたらしています。
さらに警戒すべきは「データサプライチェーンリスク」です。2025年2月に発生した保険代理店の事例では、当初「顧客情報の漏えいは確認されていない」と発表されましたが、のちの調査で約510万件もの情報漏えいの恐れがあることが判明しました。漏えいした情報には、業務委託元の保険会社20社以上から預かっていた個人情報も含まれていたのです。
自社のセキュリティが強固であっても、取引先のセキュリティが脆弱であれば、そこを起点として情報が流出してしまう。もはや、どの企業も単独でビジネスが完結することはありません。何年も前から言われていることですが、サプライチェーン全体でリスクを捉え、対策を講じることが不可欠な時代です。
サイバー攻撃は、メールやウェブサイトだけでなく、電話も悪用するようになってきています。2025年に入り、法人を狙った、電話の音声による「ボイスフィッシング」が急増しています。攻撃者は銀行のヘルプデスクなどを名乗り、「口座情報の更新が必要です」などと自動音声で電話をかけ、担当者を名乗る詐欺師に繋げます。そして、言葉巧みに偽サイトへ誘導し、口座情報を入力させたり、電子証明書の再発行を促して認証情報を盗み取ったりするのです。金融庁によると、2025年1月~3月期における法人口座の不正送金被害は、被害総額20億円超となっています。
若い世代にも被害が拡大。「ニセ警察詐欺」ではディープフェイクによるビデオ通話
さらに、生成AIは、詐欺の手口をより悪質で巧妙なものへ進化させました。日本でも、警察官を騙る「ニセ警察詐欺」において、ディープフェイク技術で別人の顔を合成し、ビデオ通話で警察官を装う事例が確認されています。映像で顔を見せられると、多くの人はそれを本物だと信じてしまうでしょう。しかし、映っている人物は実在しないのです。最新技術により、ネット詐欺はさらに見抜きくことが困難になっています。
レポートを見ると、日本の個人も法人も、次々と新たに登場するサイバーリスクにさらされ続けていることが分かります。生成AIを駆使したネット詐欺は私たちの警戒をすり抜け、ランサムウェア攻撃はサプライチェーン全体を揺るがしています。これらの脅威は、もはや騙される方が悪いという自己責任論で片付けられる問題ではありません。攻撃者は、人間の心理的な隙やシステムの脆弱性を徹底的に突いてきます。
トレンドマイクロのレポートでは、これまでの「何か起きてから対応する」というリアクティブ(受動的)な姿勢から、「攻撃を未然に防ぐ」ためのプロアクティブ(能動的)な対策へと、思考を転換する必要があると述べています。
「国内サイバーリスクラウンドアップ 2025 Midyear」では、他にもQRコード詐欺、SNS型投資・ロマンス詐欺、サポート詐欺など、多数のネット詐欺について解説されています。全文はトレンドマイクロのサイトからダウンロードできるので、興味のある方はぜひ読み込んで、自衛に役立ててください。
高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。
※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考:ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと