フィッシング詐欺にご注意を（４）

～最近の証券口座乗っ取りの話題から～

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2025.5.14

有名企業や権威ある公的機関などを騙ったメールで偽サイトへ誘導し、個人情報やパスワード情報等を騙し取るフィッシング詐欺が多発しています。

特に最近、マスコミをにぎわせているのは、「証券口座乗っ取り」＝証券口座が乗っ取られ、株を勝手に取引される被害です。

〇証券会社を装うフィッシング詐欺の例

新ＮＩＳＡ（小額投資非課税制度）によってネット証券口座を開設する人が急増しました。

アプリやシステムの操作に慣れていなかったり、購入後に口座を放置してしまったりしているユーザーの手元にも、以下のようなフィッシングメールやＳＭＳ（ショートメッセージ）が到来することがあります。

「現在、お客様の証拠金維持率が危険水準に低下しており、強制ロスカット（強制決済）が発生する可能性がございます。速やかにご対応くださいますようお願いいたします。」

攻撃者は上記のように正規の証券会社を装い、ユーザーの不安をあおり、本文に記されたURLを開くよう誘導します。

URLを開くと、本物の証券サイトそっくりのログイン画面が表示されます。

指示通りユーザーIDやログインパスワード、さらには株取引に使用する取引パスワードを入力してしまうと、攻撃者に証券口座が乗っ取られ、勝手に利用されてしまいます。

〇2段階認証を突破する攻撃者も

偽サイトにログイン情報が入力されると、攻撃者側ではその情報を利用してリアルタイムに本物のサイトにログインし、発行されるワンタイムパスワードなどをユーザーに転送することで2段階認証も突破するケースが昨今では報告されています。

「2段階認証があるから安心」とは必ずしも言えない状況になってきているようです。

〇対策：落ち着いて、フィッシングメール本文中のURLは開かないで

メールやSMSの文章で驚かせ、不安をあおることで私達の冷静な判断を阻害し、情報を窃取することが攻撃者の狙いです。

そのようなメッセージが来てもそれは「だましのテクニック」だと理解し、まずは落ち着きましょう。攻撃者の言いなりになる必要はありません。

フィッシングメールへの対策として、以下のような内容にご留意ください。

・普段から公式の利用サイトURLをブックマークしておき、たとえ不安をあおるメールやSMSが到来しても、文中に示されたURLはクリックしないようにしましょう。

・現在どのようなフィッシング詐欺の手口が横行しているのか、ネットの検索やマスコミの情報、警察庁、IPA（独立行政法人情報処理推進機構）など信頼できる公的機関が発信する情報を参照・活用するなど情報収集にも注意を払いましょう。

〇もしも被害を受けたら：一人で悩まず相談を

残念なことですが、「フィッシングメール」などフィッシング詐欺の手口は時間とともに進歩し巧妙化しています。誰が被害を受けても、不思議ではない状況です。

もしも被害を受けたら、一人で悩まず警察、国民生活センター、該当の金融機関、地域の消費生活センター等へ相談しましょう。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。