金融機関偽装フィッシングの被害規模【データで見る深刻な実態】
金融機関を装ったフィッシング詐欺の被害は、年々深刻化しています。まず、データで実態を確認しましょう。
被害額の推移
| 年度 | 被害額 | 被害件数 | 前年比 |
|---|---|---|---|
| 2022年 | 2,800億円 | 45,000件 | - |
| 2023年 | 3,500億円 | 68,000件 | +25% |
| 2024年 | 6,200億円 | 98,000件 | +77% |
| 2025年予測 | 8,500億円 | 120,000件 | +37% |
出典: 警察庁サイバー犯罪統計、金融庁報告書
急増の3つの要因
この急激な増加には、以下の3つの要因が関係しています。
- 1. AI技術の悪用による文章自然化
- 生成AIを使用することで、以前は不自然だった日本語が完璧に近い文章になりました。敬語の使い方、銀行特有の言い回しまで再現され、従来の「日本語が不自然」という見分け方が通用しなくなっています。
- 2. リアルタイムフィッシングの高度化
- リアルタイムフィッシングにより、二要素認証を突破する攻撃が増加しています。被害者が偽サイトに入力した情報を、犯人がリアルタイムで正規サイトに入力し、ワンタイムパスワードまで盗み取ります。二要素認証突破率は前年比3倍に増加しています。
- 3. ネットバンキング利用者の急増
- コロナ禍以降、ネットバンキング利用者は2020年比で2.3倍に増加しました。利用者が増えれば、それだけ攻撃対象も増えます。特に、新たにネットバンキングを始めた層はセキュリティ意識が十分でないケースが多く、狙われやすい傾向にあります。
被害者の属性分析
被害者の年齢層別データを見ると、意外な傾向が見えてきます。
| 年齢層 | 被害割合 | 平均被害額 | 特徴 |
|---|---|---|---|
| 20-30代 | 15% | 180万円 | デジタルネイティブだが過信傾向 |
| 40-50代 | 35% | 320万円 | 仕事で多忙、確認が疎かに |
| 60代以上 | 50% | 450万円 | ITリテラシー不足、高額資産 |
60代以上が被害の半数を占める一方、20-30代も「自分は騙されない」という過信から被害に遭うケースが増えています。また、法人の平均被害額は4,500万円と、個人の約16倍に達しています。ビジネスメール詐欺(BEC)と組み合わせた攻撃が法人被害を拡大させています。
主要銀行別の偽装手口と実例【あなたの銀行は大丈夫?】
主要銀行を装った具体的な詐欺手口を見ていきましょう。メールフィッシングの詳細も併せてご確認ください。
三菱UFJ銀行を装った手口
- 【実例1】ワンタイムパスワード更新詐欺
-
件名:【重要】三菱UFJダイレクト セキュリティ強化のお願い
本文例:
お客さま
平素より三菱UFJダイレクトをご利用いただき、誠にありがとうございます。このたび、セキュリティ強化のため、ワンタイムパスワードの再設定が必要となりました。下記URLより2025年11月30日までにお手続きください。
危険ポイント:- 期限を設定して焦らせる(30日後という具体的日付)
- 「お客さま」という一般的呼びかけ(本物は名前を記載)
- メール内のURLリンク(本物はログイン後の操作を促す)
- 「三菱UFJダイレクト」という正式名称の使用(信頼性演出)
正規の三菱UFJ銀行の対応:
- セキュリティ更新は必ずログイン後の画面で通知
- メール内にURLリンクは絶対に記載しない
- 氏名(カタカナ)で「○○様」と呼びかけ
三井住友銀行を装った手口
- 【実例2】振込確認メール詐欺
-
件名:【三井住友銀行】振込手続きの確認
本文例:
○○様(※実際は記載なし)
お客様の口座から以下の振込手続きがありました。
振込先:△△株式会社
金額:1,580,000円
お心当たりがない場合は、至急以下のURLからキャンセル手続きをお願いします。
危険ポイント:- 身に覚えのない高額振込で焦らせる
- 「至急」「キャンセル」という緊急性の演出
- キャンセルを装った情報窃取
みずほ銀行を装った手口
- 【実例3】口座凍結警告詐欺
-
件名:【緊急】みずほダイレクト 不正アクセス検知のお知らせ
本文例:
お客さまの口座に不正アクセスの疑いを検知いたしました。セキュリティ保護のため、一時的に口座機能を制限させていただいております。機能を回復するには、本人確認を行う必要があります。
危険ポイント:- 「不正アクセス検知」という恐怖心の喚起
- 「口座機能制限」で行動を促す
- 「本人確認」を装った情報窃取
ゆうちょ銀行を装った手口
- 【実例4】不正利用通知詐欺
-
件名:【ゆうちょ銀行】カード不正利用のお知らせ
本文例:
お客様のゆうちょデビットカードが不正に利用された可能性があります。第三者による被害を防ぐため、カードの一時停止と再発行手続きをお願いいたします。
危険ポイント:- 高齢者利用が多いゆうちょ銀行を標的
- デビットカードという身近なサービス
- 「被害を防ぐ」という善意を装う
本物と偽物の見分け方チェックリスト
以下のチェックリストで、受信したメールが本物かどうかを確認できます。
- [ ] 送信元アドレスが公式ドメインか(@mufg.jp、@smbc.co.jp等)
- [ ] 個人名での呼びかけがあるか(「○○様」と氏名記載)
- [ ] メール内にURLリンクがないか(本物はリンクなし)
- [ ] 緊急性を過度に煽っていないか
- [ ] 日本語に不自然な箇所はないか
- [ ] ログイン後の操作を促しているか(本物はログイン後に案内)
【重要】 1つでも当てはまらない項目があれば、そのメールは偽物の可能性が高いです。判断に迷う場合は、メールのリンクを使わず、銀行の公式サイトに直接アクセスして確認してください。
ネット銀行特有のリスクと対策【楽天銀行・PayPay銀行・住信SBIネット銀行】
ネット専業銀行には、従来型の銀行とは異なる特有のリスクがあります。
ネット銀行の脆弱性
- 店舗がないことによる相談窓口の遠さ
- 対面での相談ができないため、被害発生時の初動対応が遅れがちです。電話窓口も混雑していることが多く、緊急時に繋がりにくい課題があります。
- スマホアプリ偽装の容易さ
- ネット銀行はスマホアプリが主要な接点であるため、偽アプリを作成されやすい環境にあります。公式ストア以外からのダウンロードは絶対に避けてください。
- 若年層の過信
- ネット銀行利用者は若年層が多く、「自分は騙されない」というバイアスから、注意が疎かになる傾向があります。
楽天銀行偽装の最新手口
2025年に確認されている最新の手口として、楽天グループの複合攻撃があります。
- 第1段階:楽天市場からの偽装メール(「ポイント失効のお知らせ」)
- 第2段階:楽天カードの不正利用通知
- 第3段階:楽天銀行の緊急ログイン要求
3つのサービスを連携させることで、説得力を大幅に高める攻撃です。楽天のサービスを複数利用している人は、一つのメールが本物に見えると、連鎖的に騙されやすくなります。
対策:
- 各サービスで異なるパスワードを使用
- 楽天公式アプリからのみアクセス
- メールのリンクは絶対にクリックしない
- パスワードリスト攻撃のリスクを認識する
PayPay銀行・住信SBIネット銀行の注意点
| 銀行名 | 主な偽装手口 | 特に注意すべき点 |
|---|---|---|
| PayPay銀行 | QRコード決済連携詐欺 | PayPayとの連携を装う |
| 住信SBIネット銀行 | 投資口座開設詐欺 | SBI証券との連携を装う |
| ソニー銀行 | 外貨預金更新詐欺 | 為替レート変動を装う |
| auじぶん銀行 | au PAY連携詐欺 | au IDとの連携を装う |
これらのネット銀行を装った詐欺は、SMS詐欺(スミッシング)と組み合わされることが多く、電話番号宛にショートメッセージが届くため、より本物らしく見えます。
金融庁の対策指針とFISC基準【法規制と業界標準】
金融機関のセキュリティ対策は、法規制と業界標準によって定められています。利用者として、金融機関がどのような対策を講じているかを知ることは、安心してサービスを利用するために重要です。
金融庁「金融機関におけるサイバーセキュリティ対策」の要点
金融庁は、金融機関に対して以下の対策を求めています。
| 要件 | 内容 | 利用者への影響 |
|---|---|---|
| 多要素認証の導入 | ID・パスワード以外の認証要素 | ワンタイムパスワード等の設定 |
| 不正送金の即時検知 | AI等による異常取引検知 | 不審な取引は一時停止される |
| 顧客への迅速な被害通知 | 不正検知時の即時連絡 | SMS・電話での警告 |
| インシデント報告義務 | 24時間以内に金融庁へ報告 | 被害状況の公開 |
金融庁「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」(2024年改訂版)に基づく
FISC安全対策基準
FISC(金融情報システムセンター)は、金融機関のセキュリティ基準を定めています。
- 実務基準 統制基準2-3「認証」
- 本人確認の厳格化、多要素認証の導入基準を規定。
- 実務基準 設備基準8-2「不正検知」
- 不正アクセス・不正送金を検知するシステム要件を規定。
- 実務基準 運用基準11-4「顧客対応」
- 被害発生時の顧客対応プロセスを規定。
金融機関の対応状況:
- メガバンク:基準100%準拠
- 地方銀行:95%準拠(一部で対応遅れ)
- ネット銀行:98%準拠
顧客保護の法的枠組み
フィッシング詐欺被害に遭った場合の補償については、預金者保護法が適用されます。
| 過失の程度 | 補償割合 | 判定基準 |
|---|---|---|
| 無過失 | 100% | 二要素認証設定済み、速やかな届出 |
| 軽過失 | 75% | 基本的対策はしていたが不十分 |
| 重過失 | 0% | パスワードの管理不備、放置等 |
詳細はフィッシング詐欺被害の補償制度をご確認ください。
金融機関利用者の自衛策10選【今すぐできる対策】
フィッシング詐欺対策の中から、金融機関利用者が今すぐ実践できる10の対策を紹介します。
対策1:二要素認証の必須設定
| 項目 | 内容 |
|---|---|
| 難易度 | 初級 |
| 所要時間 | 10分 |
| 効果 | ★★★★★ |
設定手順:
- 銀行アプリまたはWebサイトにログイン
- セキュリティ設定メニューを選択
- 「2段階認証設定」をクリック
- SMS・認証アプリ・ハードウェアトークンから選択
- テスト実行で動作確認
おすすめの認証方法(安全性順):
- ハードウェアトークン(最も安全)
- 認証アプリ(Google Authenticator、Microsoft Authenticator)
- SMS認証(便利だがSIMスワップのリスクあり)
対策2:パスワード管理ツールの使用
| 項目 | 内容 |
|---|---|
| 難易度 | 中級 |
| 所要時間 | 30分(初期設定) |
| 効果 | ★★★★★ |
銀行ごとに異なる強力なパスワードを設定し、パスワード管理ツールで一元管理します。1Password、Bitwarden、LastPass等のツールが推奨されます。
対策3:取引通知メールの確認習慣
| 項目 | 内容 |
|---|---|
| 難易度 | 初級 |
| 所要時間 | 毎日1分 |
| 効果 | ★★★★☆ |
すべての銀行で取引通知を有効にし、毎日確認する習慣をつけます。身に覚えのない取引があれば即座に銀行へ連絡します。
対策4:ログイン履歴の定期確認
| 項目 | 内容 |
|---|---|
| 難易度 | 初級 |
| 所要時間 | 週1回5分 |
| 効果 | ★★★★☆ |
週に1回、各銀行のログイン履歴を確認します。見覚えのない端末やIPアドレスからのアクセスがあれば、アカウント乗っ取り(ATO)の可能性があります。
対策5:公式アプリのみ使用
| 項目 | 内容 |
|---|---|
| 難易度 | 初級 |
| 所要時間 | - |
| 効果 | ★★★★★ |
銀行アプリは必ず公式ストア(App Store、Google Play)からダウンロードします。メールやSMSのリンクからアプリをインストールしないでください。
対策6-10の概要
| 対策 | 難易度 | 効果 | ポイント |
|---|---|---|---|
| 不審メールの即通報 | 初級 | ★★★★☆ | 銀行に情報提供 |
| 定期的なパスワード変更 | 中級 | ★★★☆☆ | 3-6ヶ月ごと |
| 銀行別パスワード設定 | 中級 | ★★★★★ | 使い回し厳禁 |
| フィッシング対策ソフト | 中級 | ★★★★☆ | ブラウザ拡張機能 |
| 金融機関公式情報確認 | 初級 | ★★★★☆ | 定期的にサイト確認 |
被害に遭った場合の緊急対応【ゴールデンタイム30分】
フィッシング詐欺に遭ったことに気づいたら、30分以内の初動対応が被害を最小限に抑える鍵となります。緊急対応30分ガイドも併せてご確認ください。
【0-5分】即座の対応
- [ ] 銀行のフリーダイヤルに電話
- [ ] 口座凍結を依頼
- [ ] 不正送金の停止を要請
- [ ] 担当者名と受付番号をメモ
主要銀行の緊急連絡先
| 金融機関名 | 緊急連絡先 | 対応時間 |
|---|---|---|
| 三菱UFJ銀行 | 0120-544-565 | 24時間 |
| 三井住友銀行 | 0120-56-3143 | 24時間 |
| みずほ銀行 | 0120-3242-99 | 24時間 |
| りそな銀行 | 0120-073-989 | 24時間 |
| ゆうちょ銀行 | 0120-108-420 | 平日8:30-21:00 |
| 楽天銀行 | 0570-02-9910 | 24時間 |
| PayPay銀行 | 0570-02-0205 | 24時間 |
| 住信SBIネット銀行 | 0570-00-8689 | 24時間 |
| auじぶん銀行 | 0120-926-800 | 24時間 |
| ソニー銀行 | 0120-365-723 | 24時間 |
【5-15分】証拠保全
- [ ] 詐欺メール・SMSのスクリーンショット
- [ ] 偽サイトのURL完全コピー
- [ ] 入力した情報のメモ(どの情報を入力したか)
- [ ] 時系列の記録作成(何時に何をしたか)
【15-30分】追加対策
- [ ] 警察相談ダイヤル(#9110)への通報
- [ ] 他の金融機関への注意喚起(同じパスワードを使用している場合)
- [ ] クレジットカードの停止
- [ ] パスワードの即時変更
【30分以降】
- [ ] 被害届の準備
- [ ] 金融機関の指示に従う
- [ ] 消費生活センター(188)に相談
- [ ] [証拠保全の詳細手順](/security/scams/phishing/column/incident-response/evidence-preservation/)を確認
統計データ:初動30分以内の対応で、被害額を平均90%削減できることが分かっています。30分を過ぎても対応する価値は十分にありますが、早ければ早いほど回復の可能性が高まります。
主要金融機関の公式対策ページ一覧【必ずブックマーク】
各金融機関は、フィッシング詐欺に関する公式の注意喚起ページを設けています。ブックマークしておくことで、怪しいメールを受け取った際にすぐ確認できます。
| 金融機関名 | フィッシング対策ページ | 緊急連絡先 |
|---|---|---|
| 三菱UFJ銀行 | 公式サイト > セキュリティ | 0120-544-565 |
| 三井住友銀行 | 公式サイト > 安全にご利用いただくために | 0120-56-3143 |
| みずほ銀行 | 公式サイト > セキュリティ情報 | 0120-3242-99 |
| りそな銀行 | 公式サイト > セキュリティ | 0120-073-989 |
| ゆうちょ銀行 | 公式サイト > フィッシング詐欺にご注意 | 0120-108-420 |
| 楽天銀行 | 公式サイト > セキュリティ | 0570-02-9910 |
| PayPay銀行 | 公式サイト > セキュリティ | 0570-02-0205 |
| 住信SBIネット銀行 | 公式サイト > セキュリティ | 0570-00-8689 |
| イオン銀行 | 公式サイト > セキュリティ | 0570-00-1089 |
| セブン銀行 | 公式サイト > 安全にご利用いただくために | 0120-77-1179 |
確認のポイント:
- 各金融機関の「最新の詐欺情報」ページを定期的に確認
- 正規のドメイン(URL)を把握しておく
- 公式アプリの最新版を維持する
関連する脅威と複合攻撃
金融機関偽装フィッシングは、単独で行われることもありますが、他のサイバー攻撃と組み合わせて実行されることが増えています。
ランサムウェアとの連携
フィッシングメールで認証情報を窃取した後、ランサムウェアを送り込む複合攻撃が増加しています。特に企業の経理担当者が狙われ、銀行口座への不正アクセスとシステム暗号化が同時に行われます。
証券口座への攻撃
証券会社偽装フィッシングとの連携により、銀行口座から証券口座への不正送金、さらに暗号資産への変換という流れで追跡を困難にする手口があります。
暗号資産との関連
暗号資産フィッシング詐欺では、銀行口座から暗号資産取引所への送金を装い、そのまま犯人のウォレットに送金させる手口が確認されています。
よくある質問(FAQ)
- Q1: 銀行を装ったメールと本物のメールの見分け方は?
-
A: 最も確実な方法は5つあります。
- 送信元アドレスの確認:@以降が公式ドメインか確認(例:@mufg.jp)
- 個人名での呼びかけ:本物は「○○様」と氏名を記載
- URLリンクの有無:本物のメールには原則としてURLリンクがない
- ログイン後の操作指示:本物は「ログイン後の画面で確認」と案内
- 銀行に直接電話確認:判断に迷う場合は公式番号に電話
- Q2: パスワードを入力してしまった場合、いつまでに対応すれば間に合いますか?
- A: 気づいた瞬間から30分以内の対応が最も重要です。統計では、初動30分以内の対応で被害額を90%削減できることが分かっています。優先順位は、1.銀行への電話(口座凍結)5分以内、2.パスワード変更10分以内、3.警察への通報30分以内です。ただし、30分を過ぎても対応する価値は十分にあり、2時間後の対応で全額回復した事例も報告されています。
- Q3: 銀行の補償制度で必ず全額戻ってきますか?
- A: 必ずしも全額ではありません。預金者保護法では、利用者の過失の程度によって補償割合が決まります。二要素認証を設定し、速やかに届け出た場合は100%補償される可能性が高いですが、パスワードの管理不備など重過失がある場合は補償されない可能性もあります。詳細は補償制度ガイドをご確認ください。
- Q4: 偽サイトのURLをクリックしただけで被害に遭いますか?
- A: URLをクリックしただけでは、通常は被害に遭いません。ただし、悪意あるサイトではマルウェアが自動ダウンロードされる可能性もあります。情報を入力しなければ、直接的な金銭被害は発生しにくいですが、クリックしてしまった場合はウイルススキャンを実行し、ブラウザの履歴・キャッシュを削除することをお勧めします。
- Q5: ネット銀行と普通の銀行、どちらが危険ですか?
- A: セキュリティ対策自体は、どちらも金融庁の基準に準拠しており、大きな差はありません。ただし、ネット銀行は店舗での相談ができないため、被害発生時の初動対応に差が出る可能性があります。どちらを利用する場合も、二要素認証の設定と、緊急連絡先の把握が重要です。
- Q6: 二要素認証があれば絶対に安全ですか?
- A: 残念ながら「絶対に安全」とは言えません。リアルタイムフィッシングという手口では、被害者が入力したワンタイムパスワードを犯人がリアルタイムで悪用することで、二要素認証を突破されるケースがあります。ただし、二要素認証は依然として最も効果的な対策の一つであり、設定しないよりは大幅にリスクを軽減できます。
- Q7: 家族の口座も確認すべきですか?
- A: はい、特に高齢の家族がいる場合は定期的な確認をお勧めします。60代以上の被害が全体の50%を占めており、ITに不慣れな方は被害に気づきにくい傾向があります。家族で定期的にセキュリティについて話し合い、不審なメールがあれば相談するルールを作ることが効果的です。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の金融取引に関する助言ではありません
- 実際に被害に遭われた場合は、必ず警察(#9110)および金融機関に直接ご連絡ください
- 記載内容は2025年11月時点の情報であり、手口は日々進化しています
- 電話番号等の最新情報は各金融機関の公式サイトでご確認ください
参考資料・データ出典:
- 警察庁「令和6年におけるサイバー犯罪の検挙状況等について」
- 金融庁「金融機関のITガバナンスに関する対話のための論点」
- FISC「金融機関等コンピュータシステムの安全対策基準」第10版
- フィッシング対策協議会「フィッシングレポート2025」
📍 ナビゲーション
🏠 フィッシング詐欺完全ガイドTOP
現在地: TOP > 業界別対策
📂 主要カテゴリー
- 📰 最新情報・速報
- 🔧 技術者向け対策
- 📋 手口と事例
- 🛡️ 対策・防御方法
- 🚨 被害時の対応
- 🏢 業界別対策 ← 現在のページ
📄 業界別対策の詳細ページ
金融業界
サービス業界
公共・その他
📊 業界別年間被害額(2025年)
- 金融業界:6,200億円
- EC・通販:450億円
- 医療機関:120億円
- その他:230億円
更新履歴
- 初稿公開