ログイン前でも手遅れ…｢入力しただけで｣犯罪者に情報窃取される手口も？多要素認証では安心できない！被害者続出の“フィッシング手法3選”

しかも、犯罪グループ同士が“いかにメールセキュリティをすり抜けるか”、“いかに巧妙なフィッシングサイトを簡単に構築できるか”と競い合っており、偽装の精度や機能は日々向上しているのです。

今回の証券口座への不正アクセス事案も、どこかのグループが手法を編み出して成功事例を示したことで、多くの犯罪者が流れに相乗りし、多数のフィッシングキットが日本の証券会社の模倣に対応し、結果として不正アクセス件数を拡大させてしまったと考えられます。

もちろん、生成AIの登場によってこれまで以上に自然な日本語表現が可能になり、犯罪者側が違和感のない表現でフィッシングサイトを構築できるようになったという技術的な側面もありますが、何よりもサイバー犯罪行為自体がビジネス化してしまったことが根本的な問題だと考えておくべきです。

証券会社を騙（かた）るフィッシングの報告状況

改めて、フィッシング攻撃がどの程度増えているかを見ておきましょう。フィッシングに対する情報収集・提供、注意喚起などの活動を行うフィッシング対策協議会に提供いただいた下記データをもとにご紹介します。

（画像：マクニカ提供）

上記の左側のグラフは、フィッシング対策協議会へ報告された証券系フィッシングメールの報告件数、右側はその中から重複を排除したユニークなフィッシングURLの件数のグラフです。

初めて証券会社を騙（かた）るフィッシングサイトが報告されたのが、2024年12月。そこから翌年2月にかけては、少量の報告件数でした。おそらく犯罪者側は、この期間中に一連のスキームのテストや大規模侵害への準備を行い、3月から本格的に犯行を開始したと見受けられます。

同時に、前述のとおり複数の犯罪者グループの参入があったためか、4月から5月には爆発的に件数が増加しています。

全体として証券会社を騙るフィッシングサイトの報告件数は右肩上がりのため、引き続き注意が必要です。5月にはフィッシング対策協議会に寄せられたフィッシング報告件数の32.3%、URLベースでは37.2%を占めるまでに急増しています。