「フィッシング詐欺」は「phishing」と表記される。総務省によれば、偽のメールやサイトをエサにして個人情報を釣ること(fishing)と、手口が洗練されていること(sophisticated)をかけた造語とのこと「フィッシング詐欺」は「phishing」と表記される。総務省によれば、偽のメールやサイトをエサにして個人情報を釣ること(fishing)と、手口が洗練されていること(sophisticated)をかけた造語とのこと

通販サイトのIDやパスワード、クレジットカード番号などの個人情報を奪うフィッシング詐欺の被害が拡大中だ。さらには、スマホを乗っ取る「SIMスワップ詐欺」なる進化版の手口も横行しているという。最新の詐欺手口と対策について、ITジャーナリストの三上 洋(みかみ・よう)氏に話を聞いた。

* * *

■止まらないフィッシング詐欺被害

今年8月の警察庁と金融庁の発表によると、今年上半期のインターネットバンキング関連の不正送金被害件数は過去最多の2322件、被害額も約30億円に上るという。

なぜ今、フィッシング詐欺が増えているのだろうか。ネット犯罪に詳しいジャーナリストの三上 洋氏は、この現状を次のように分析する。

「コロナ禍に前後して、スマホで各種ネットサービスを利用する人が多くなりました。とりわけガラケーやガラホでLINEが使えなくなったため、スマホに機種変更する高齢者が増えています。

その一方で、犯罪グループの組織が大規模になり、〝ダマしの手口〟が洗練されてきました。つまりダマされる側の人間が増え、ダマす側のテクニックがより高度化した。これが、詐欺被害急増の一因だと思われます」

では、その手口とはどういったものなのだろう?

「目立つのは、ショートメールを入り口とするフィッシング詐欺です。宅配便の配達、ケータイ料金などの未納などを告げるショートメールを送り、そのメールに記したURLからニセのサイトに誘導し、クレジットカード番号などを入力させるというものです。

最近は銀行を名乗るショートメールが増えてきました。『あなたの口座が不正使用されています。本人確認が必要です』と利用者を慌てさせ、氏名と住所、電話番号、口座番号、ネットバンキングのIDやパスワードなどを入力させます。

『二要素認証』といって、スマホのショートメールなどでわずかな時間だけ有効なワンタイムパスワードを送り、本人確認をする金融機関もあります。しかし、その場合も犯罪グループはそのワンタイムパスワードを入力させ、受信するやいなやリアルタイムで口座から送金操作を行なっているようです」

■「SIMスワップ詐欺」とは何か!?

三上氏によると、この手法をさらに発展させ、携帯電話契約を乗っ取り、クレジットカードの不正利用やネット銀行から現金を盗む、恐ろしい手口も登場しているという。

「『SIMスワップ詐欺』と呼ばれる手口です。犯罪グループはニセサイトで金融機関の口座情報に加え、『本人確認が必要なので』と、運転免許証など顔写真入りの身分証明書の画像も送らせます。

そしてその画像をもとに、顔写真を他人のものに貼り替えた精巧なニセの身分証明書を作成します。ここまでが第1段階です。

続いて、写真の人物がケータイのキャリアショップに行き、ニセの身分証明書を示して『スマホをなくした。今すぐ必要だから、SIMカードを再発行してほしい』と依頼します。首尾良く再発行できれば、第2段階が終了です」

キャリアショップとしては、顔写真どおりの身分証明書を持つ本人がいて、申告する住所や電話番号などにも間違いがないのだから、ダマされてしまうのも仕方がないだろう。

「再発行されたSIMカードを受け取った犯罪グループは、すぐさま別のスマホにそのカードを差し、被害者の口座にログインして、不正送金を行ないます。ワンタイムパスワードを記したショートメールもそのスマホに送られてくるので、二要素認証も楽々クリアできます。

ほかにも、クレジットカードから通販サイトまで、ショートメールで本人確認を行なうネット上のサービスは、次々に犯罪グループの手に落ちてしまうのです」

犯罪グループが不正に再発行したSIMカードをスマホに差すと同時に、被害者のSIMカードは無効になる。このとき、「あれ? スマホの故障かな」とそのままにしていると、被害はどんどん拡大してしまうというわけだ。

「口座情報を入手してリアルタイムで送金する手口では、ワンタイムパスワードの有効期限内に不正送金を終える必要があり、また被害者のメールアドレスに『送金完了メール』が届くため、その一度だけで犯罪が露見します。しかしSIMスワップ詐欺は、被害者が〝乗っ取り〟に気づくまで、拡大する被害を防げないのです」

ただSIMスワップ詐欺では、身分証明書の偽造、キャリアショップでのSIMカード再発行手続きなど、手間がかかるという側面もある。

「第1段階で得た銀行口座の情報などから、多額の預金残高がある口座をピックアップして実行しているのかもしれません。キャリアショップに足を運ぶ人間には『顔をさらす』というリスクがありますが、たぶん使い捨てしてもいい〝闇バイト〟として調達しているのでしょう」

■フィッシング詐欺の被害を防ぐには

では、こうした被害を防ぐにはどうしたらいいのだろう。

「ショートメールで送られてくるURLには、決してアクセスしないことです。もし何か心当たりがあれば、公式サイトにアクセスするなり、電話で問い合わせるなりしましょう。

また、急にスマホが使えなくなったら、キャリアに連絡してSIMカードの再発行が行なわれたかどうかを確認し、もし行なわれていたらただちに金融機関に連絡して口座のロックを依頼して、ネット関連サービスのパスワードもすべて変更しましょう。

ただ、被害者自身のスマホが使えない状態でこうした手続きをスムーズに進めるのは困難です。やはりキャリアショップには『SIMカードの再発行依頼があったら、その電話番号にいったん電話して、窓口に来た人間が本人かどうか確認する』『その場でのSIMカード再発行は行なわない』といった対応が求められるのではないでしょうか」

三上氏によると、こうした手口の横行を受け、海外ではショートメールでの本人確認そのものをやめる動きもあるという。自分でできる範囲で気をつけつつも、キャリア関係各社には迅速な対応をお願いしたいところだ。

●三上 洋(みかみ・よう) 
ITジャーナリスト。1965年生まれ、東京都世田谷区出身。東洋大学社会学部卒業。テレビ番組制作会社を経て、1995年からITジャーナリストとして活動。専門ジャンルは、セキュリティ、ネット事件、スマートフォン、ネット動画、携帯料金・クレジットカードポイント。毎週月曜21時に、ライブメディア情報番組『UstToday』制作・配信。企業での動画配信コンサルタントも行なう。