大荒れのサイバー空間 激増するフィッシングに対抗する3つの防御策：半径300メートルのIT

フィッシング攻撃が激増しています。対策としては事業者側での多要素認証の導入などが挙がっているものの、これを回避する事例なども話題になっており十分とはいえません。大荒れするサイバー空間で個人ができることはあるのでしょうか。

[宮田健，ITmedia]

　インターネット空間の治安が急激に悪化しているのを感じます。前回は証券会社での多要素認証必須化の動きを紹介しましたが、入稿した直後に有名な個人投資家が被害を発表し、大きく報道されました。さらにはバックドアにもなり得る、多要素認証設定をスキップしてログインできるWebサイトが存在する、そもそもの多要素認証が図柄を合わせる特殊なもので耐性が低いなど、証券会社側にも問題がある構成が目立つなど、対応が後手に回っていることが見受けられます。

　筆者自身も、証券会社における被害は増えているというざっくりとした認識しかなかったのですが、2025年5月8日にアップデートされた、金融庁の「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」と題する注意喚起では、それが数値情報として公開されています。

　以前取り上げたタイミングでは不正売却金額が374億円と発表されていましたが、その後15日間で何と総額1481億円にまで増加しました。これにはさすがに驚くとともに、「フィッシング対策をしよう」「多要素認証を使おう」という利用者側の対策では済まされないように思えました。それでも、基礎的な対策を確実に実施するとともに、引き続き動向をウォッチしてください。万が一の際、対策の不備を指摘されないことが、今後の補償にも響いてくるように思えます。

インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています（出典：金融庁のWebサイト）

荒れるサイバー空間　フィッシング攻撃の脅威を数値で見る

　証券会社に注目が集まっているかもしれませんが、それ以外のフィッシング攻撃も激化しているようです。定期的にレポートを公開しているトビラシステムズの「特殊詐欺・フィッシング詐欺に関するレポート（2025年3月）」では、迷惑電話の増加や詐欺SMSの傾向などの注意喚起が実施されています。

　フィッシングは個人、そして企業の中にいる個人である従業員にとって、最も身近な脅威です。特に電話からやってくる脅威は、企業版振り込め詐欺ともいえる「ビジネスメール詐欺」「サポート詐欺」につながるものも多く、こちらもばかにできない被害額となっています。

トビラシステムズ 特殊詐欺・フィッシング詐欺に関するレポート（2025年3月）（出典：トビラシステムズのWebサイト）

　筆者も迷惑電話は明らかに増えていると実感しています。電話を取るといきなり中国語の自動音声が流れるというのも体験しました。一体誰をだまそうとしているのか……。最近のスマートフォンには、連絡先に登録していない電話を全て留守番電話に送り、それをテキスト化できる機能がついています。こちらを活用するのも一つの手です。

もう一度考える「フィッシング対策のためのパスワード管理」

　今回の証券会社における、認証を突破する攻撃は、あまりセキュリティの話をしない家族からも「自分のは大丈夫だろうか？」と心配になったようで、パスワードを変更していました。もはや“普通の人”もそのリスクを理解するほどの、強烈なサイバー攻撃だったといえるでしょう。

　その作業を横で手伝っていたのですが、アドバイスしたのは下記の通りです。

その1：　金融機関と証券会社だけでも「パスワードを変える」

　もちろん全てのWebサービスのそれぞれを、パスワードを変えて使い回さないことが原則です。しかしそれはあくまで理想。一体どれだけの人が、使い回しをゼロにできているでしょうか。利用するWebサービスが増え続けていく今、使い回しをしないということは不可能です。

　ならば……。今回のように、お金に絡むサービスだけでも、使い回しを避けるようにするのが現実解でしょう。筆者のお薦めは「覚えない」ことです。パスワード管理ソフト、もしくはブラウザが提示する、長いパスワードを自動生成させ、覚えさせることがベストでしょう。

　ただ、これは少々勇気のいる設定方法です。有事の際にいきなり切り替えできないので、平穏なタイミングで、一つだけその方法に変えるテストをしてみることをお勧めします。一度試してみると、使い勝手も変わらずパスワードを強化したことすら忘れてしまうかもしれません。

　その上で、利用できるサービスには多要素認証を設定しましょう。ここまでが“基本のキ”になると思います。

その2：　Webブラウザの機能拡張を見直す

　「Google Chrome」では、これまでたくさんの機能拡張がリリースされ、さまざまな記事で便利だと紹介されていたと思います。それがインストールされたまま、使っていないということもあるかもしれません。これを全て、一度削除することをお勧めします。機能拡張があるタイミングで乗っ取られ、Webブラウザに保存している情報を盗まれる可能性があるからです。

　Google Chrome側も、最近では情報を盗み出せないよう、かなり厳しい制限を課しているため、いつのまにか利用していた機能拡張が使えなくなっているケースもあるでしょう。その際も、安易に「これが代わりになります」というのを信じないこと。特に仕事で使っているWebブラウザであれば、基本的には何も機能拡張を使用しないことが自衛策となります。

その3：　金融機関は「アプリ」を中心に利用する

　特に金融機関のネットバンキングなどでは、Webブラウザ利用では悪意が侵入する経路が多いことに気を付けなくてはなりません。例えば上記の機能拡張であったり、偽のWebサイトであったり、電子メールに記載されたリンクだったりがあります。

　残念ながらフィッシングサイトは、ドメインを見てもWebサイトの画面を見ても判断が難しく、これまで紹介してきた「検索からではなく、あらかじめブックマークしておきそこから見る」ことや、「パスワード管理ソフトが記憶していたドメインを判断し、自動的にID／パスワードが入力されているか」を判断する必要があります。

　しかし、最も悪意が入りにくいのは、やはり「専用アプリ」です。専用のアプリをスマートフォンにインストールし、振込や売買の取引はアプリから実施すれれば、一般的なフィッシングからは身を守りやすい状況を作れます。筆者も家族には、これを守るように伝えました。もちろん、アプリの脆弱（ぜいじゃく）性やバグが存在する可能性がありますが、スマートフォンのアプリであれば定期的に自動でアップデートもされるはずです。

　PCの環境では、マルウェアが侵入する可能性もあります。最近ではインフォスティーラーのような認証情報を盗むタイプのものもあります。実はWebブラウザに保存された認証情報を盗み出し、「認証された状態」を作り出すことも問題となっています。スマートフォンであればマルウェアがそういった情報を盗み出すことは（root化などかなりの細工をしなければ）難しいはずです。その点でも、そろそろ一般の人はPCからスマホやタブレットに移行したほうが、安全で便利なのかもしれません。

　なお、Google Chromeに関しては認証情報を含むクッキー情報に、端末固有の情報を含めることで、クッキーが盗まれても他のPCで認証できないようにする仕組みをテスト中です。この仕組みが状況を一変させることに期待しております。

利用者だけの対策では限界がある……

　証券会社に対する被害については、ここまで被害が大きくなっているにもかかわらず、その手口や意図が明らかになっていないという点で、大変不気味です。恐らく一般的なフィッシングによる不正アクセス、もしくは認証情報を丸ごと盗むマルウェアによるものであろうとは推測できますが、今のままでは利用者側の対策だけで守れるものではなく、多くの人が不安とともにサービスを利用している状況です。

　もはやサービス側だけで改善ができなければ、厳しい規制と処罰が下されることになるでしょう。問題はそれまでどうやって身を守るかです。まずは基礎的な対策を講じること。金融機関からの指示に従うこと。個人的には、この不安を気分的も解消するため、ここで「パスワード管理ソフト」の導入にもつながるといいと思っているのですが……。

　個人においても法人においても、インターネット利用のリスクバランスがかなり変化するので、いずれかの著名なツールを手に入れてみて、触ってみてほしいと思います。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。