リアルタイムフィッシング詐欺｜二要素認証を突破する手口【MITM攻撃完全解説】

2025年12月04日作成

コラム

「二要素認証を設定しているから安全」――本当にそうでしょうか？2023年、楽天証券ではリアルタイムフィッシング詐欺により約1億円の被害が発生しました。この攻撃は、中間者（MITM）攻撃の技術を使い、ユーザーが入力した認証コードを数秒以内に正規サイトへ転送することで、二要素認証を無力化します。警察庁の統計によると、2024年のリアルタイムフィッシング被害は320件、被害額は25億円に達しています。SMS・メール型の二要素認証は、この攻撃手法に対して防御力を持ちません。本記事では、リアルタイムフィッシングの技術的仕組みから、唯一の根本的対策であるFIDO認証の実装方法まで、サイバーセキュリティの専門的視点から詳しく解説します。証券会社の実例、攻撃者が使用するツール、企業と個人ができる具体的な防御策を網羅的に紹介し、大切な資産を守るための実践的な知識を提供します。

リアルタイムフィッシングとは【基礎知識】

リアルタイムフィッシングとは、従来のフィッシング詐欺を進化させた高度な攻撃手法です。最大の特徴は、ユーザーが入力した認証情報を「数秒から数分以内」に正規サイトへ転送し、二要素認証を突破する点にあります。

リアルタイムフィッシングの定義: 攻撃者が偽サイトと正規サイトの間でプロキシサーバーを動作させ、ユーザーの入力情報を即座に正規サイトへ転送する攻撃。中間者攻撃（MITM攻撃）の一種で、認証プロセス全体をリアルタイムで中継することで、二要素認証コードやワンタイムパスワード（OTP）を含むすべての認証情報を窃取します。
従来のフィッシングとの決定的な違い: 従来のフィッシング詐欺では、攻撃者が取得した認証情報を「後で」使用するため、二要素認証が有効でした。しかしリアルタイムフィッシングでは、攻撃者がユーザーと同時進行で認証プロセスを進めるため、二要素認証コードの有効期限（通常30秒～5分）内に突破されてしまいます。
「リアルタイム」の意味: ユーザーが偽サイトに情報を入力してから、攻撃者が正規サイトにログインするまでの時間が数秒から数分以内であることを指します。この時間差の短さが、時間制限のある認証コード（SMS、メール、認証アプリのOTP）を無力化する鍵となっています。
中間者攻撃（MITM攻撃）の基本原理: MITMは「Man-In-The-Middle」の略で、通信する2者の間に攻撃者が介入し、データを盗聴・改ざんする攻撃です。リアルタイムフィッシングでは、ユーザーと正規サイトの間に攻撃者のプロキシサーバーが位置し、すべての通信を中継します。詳細は[中間者攻撃（MITM）の解説ページ](/security/networking/mitm-session-hijack/)をご覧ください。

従来のフィッシング vs リアルタイムフィッシングの比較

比較項目	従来のフィッシング	リアルタイムフィッシング
二要素認証の突破	✗ 突破不可（有効期限切れ）	✓ 突破可能（即座に転送）
攻撃の複雑さ	低（静的な偽サイト）	高（動的なプロキシ）
必要なスキル	初級	中級～上級
成功率	3-5%	15-25%
セッション乗っ取り	✗ 不可能	✓ 可能
攻撃時間	非同期（時間差あり）	リアルタイム（数秒）

なぜ二要素認証が無力化されるのか

従来の理解では、「ID・パスワードが漏れても、二要素認証があれば攻撃者はログインできない」とされてきました。この前提は攻撃者が後で認証情報を使う場合にのみ成立します。

リアルタイムフィッシングでは、攻撃者は「ユーザーの認証を横取りする」のではなく、「ユーザーに代わりに認証してもらう」ため、二要素認証は何の障壁にもなりません。

SMS認証コードの転送: ユーザーがSMSで受け取った6桁のコード（例: 123456）を偽サイトに入力すると、攻撃者のプロキシが0.5秒以内に正規サイトへ転送。正規サイトは「正しいコードが入力された」と判断し、ログインを許可します。
メール認証の転送: メールで送られる認証リンクやコードも同様に転送されます。ユーザーが「メールを確認してクリック」という行動をとることで、攻撃者はログインに成功します。
認証アプリ（Google Authenticator等）の転送: 時間ベースのワンタイムパスワード（TOTP）も、30秒の有効期限内であれば転送可能です。ユーザーがアプリを開いてコードを確認し、入力するまでの数秒間で攻撃は完了します。

このように、時間制限のある認証方式は、リアルタイムフィッシングに対して脆弱です。唯一の根本的な対策は、後述するFIDO認証（パスキー、セキュリティキー）です。

技術的仕組みの完全解説【重要】

リアルタイムフィッシングの技術的プロセスを、ステップごとに詳しく解説します。この仕組みを理解することで、なぜ従来の対策が無効なのか、どのような防御が必要なのかが明確になります。

ステップ1: 偽サイトの準備

攻撃者が準備するもの: 1. **プロキシサーバー**: ユーザーと正規サイトの間でデータを中継するサーバー。VPS（Virtual Private Server）を月額5～20ドルでレンタルします。 2. **フィッシングツール**: Evilginx3、Modlishka、CredSniper等のオープンソースツール。無料で入手可能です。 3. **偽ドメイン**: 正規サイトに似たドメイン名。例えば、`rakuten-sec.co.jp`（正規）に対して`rakuten-sec.com`（偽物）を取得します。 4. **SSL証明書**: Let's Encryptで無料取得。HTTPSで表示されるため、ユーザーは安全と誤認します。
偽サイトの見た目: 正規サイトと完全に同一です。ロゴ、レイアウト、色使い、すべてが本物そっくりにコピーされます。プロキシサーバーが正規サイトの画面を取得し、そのまま表示するため、攻撃者がデザインを作成する必要すらありません。

ステップ2: ユーザーの誘導

攻撃者はフィッシングメールやSMSでユーザーを偽サイトへ誘導します。典型的なメッセージ例:

件名: 【重要】楽天証券 不正ログインの検知について

お客様各位

楽天証券セキュリティチームです。

お客様の口座で不正なログイン試行を検知しました。
アカウントの安全のため、すぐにパスワードを変更してください。

以下のリンクからログインし、パスワード変更を行ってください:
https://www.rakuten-sec.com/login
					↑ .co.jpではなく.com（偽物）

24時間以内に対応がない場合、口座を一時停止させていただきます。

楽天証券

ユーザーは緊急性を感じ、メールのリンクをクリックしてしまいます。この段階でソーシャルエンジニアリングの心理的手法が使われています。

ステップ3: 情報の中継（最も重要）

ここがリアルタイムフィッシングの核心部分です。

3-1. ユーザーがID・パスワードを入力

偽サイトのログイン画面:

┌─────────────────────────────┐
│ 楽天証券にログイン             │
│                               │
│ ユーザーID: [user123     ]    │
│ パスワード: [********    ]    │
│                               │
│ [ログイン]                    │
└─────────────────────────────┘

ユーザーが「ログイン」ボタンをクリック。

3-2. プロキシサーバーが即座に正規サイトへ転送（0.1秒以内）

攻撃者のプロキシサーバーが以下を実行:

ユーザーが入力したID・パスワードを取得
正規サイト（https://www.rakuten-sec.co.jp）にアクセス
同じID・パスワードでログイン試行

正規サイトの応答:

┌─────────────────────────────┐
│ ログイン成功                  │
│                               │
│ セキュリティコードを入力      │
│ SMSで送信しました             │
│                               │
│ コード: [      ]              │
└─────────────────────────────┘

3-3. プロキシが画面を取得して偽サイトに表示

プロキシサーバーは正規サイトの画面をそのまま取得し、偽サイトに表示します。ユーザーから見ると、「ログインが成功し、二要素認証コードの入力を求められている」という自然な流れです。

偽サイト（ユーザーに表示される画面）:

┌─────────────────────────────┐
│ セキュリティコードを入力      │
│ SMSに送信されたコードを       │
│ 入力してください              │
│                               │
│ コード: [      ]              │
│ [確認]                        │
└─────────────────────────────┘

3-4. ユーザーがSMSコードを入力

ユーザーのスマートフォンにSMSが届きます:

【楽天証券】
セキュリティコード: 123456
有効期限: 5分間

ユーザーは「123456」を偽サイトに入力。

3-5. プロキシが即座に正規サイトへ転送（0.5秒以内）

攻撃者のプロキシサーバー:

ユーザーが入力した「123456」を取得
正規サイトの二要素認証画面に「123456」を入力
正規サイトが認証成功と判定

正規サイト:

┌─────────────────────────────┐
│ 認証成功！                    │
│ ログインしました              │
└─────────────────────────────┘

正規サイトはセッションクッキーを発行します。このクッキーが、リアルタイムフィッシングで最も重要な窃取対象です。

ステップ4: セッションハイジャック

攻撃者が取得するもの: 1. **セッションクッキー**: ログイン状態を維持するための認証情報。最も重要。 2. **CSRFトークン**: クロスサイトリクエストフォージェリ対策のトークン。 3. **ユーザーの権限情報**: 管理者権限、取引権限等。 4. **その他の状態情報**: カート内容、設定情報等。
セッションクッキーの悪用: セッションクッキーを取得した攻撃者は、パスワードを知らなくても、二要素認証を再度求められることなく、ユーザーとしてログインできます。これを**セッションハイジャック**と呼びます。詳細は[セッション固定／クッキー盗難のページ](/security/accounts/session-fixation-cookie-theft/)をご覧ください。
セッション有効期間中の攻撃: 一般的なセッションの有効期間は30分～24時間です。この間、攻撃者は以下の操作が可能です: - 保有株式の売却 - 資金の送金 - 個人情報の閲覧・変更 - パスワードの変更（ユーザーを締め出し） - 取引履歴の改ざん

技術的な防御が困難な理由

防御手法	リアルタイムフィッシングでの有効性	理由
SMS二要素認証	✗ 無効	コードが即座に転送される
メール二要素認証	✗ 無効	コード・リンクが転送される
TOTP（認証アプリ）	✗ 無効	30秒以内に転送可能
セッションタイムアウト	△ 部分的	有効期間中は無防備
IPアドレス制限	△ 部分的	VPN・プロキシで回避可能
デバイス認証	△ 部分的	セッション乗っ取りには無効
FIDO認証	✓ 有効	ドメイン検証で偽サイト検知

唯一の根本的な対策はFIDO認証（パスキー、セキュリティキー）です。これについては後の章で詳しく解説します。

証券会社での被害事例【楽天証券・SBI証券】

リアルタイムフィッシングは、特に証券会社を標的とした攻撃で被害が拡大しています。株式や資金を即座に移動できるため、攻撃者にとって魅力的な標的となっています。

事例1: 2023年楽天証券リアルタイムフィッシング被害

被害概要: - **被害額**: 約1億円（複数の顧客の合計） - **被害件数**: 推定50～100件 - **攻撃期間**: 2023年8月～10月 - **主な被害**: 保有株式の無断売却と資金の不正送金
攻撃の詳細な流れ: **第1段階: フィッシングメール送信（2023年8月中旬）** 件名: 「【重要】楽天証券セキュリティアップデートのお知らせ」本文: ``` お客様各位楽天証券では、不正アクセス対策の強化のため、セキュリティアップデートを実施しております。すべてのお客様に、パスワードの再設定をお願いしております。以下のリンクからログインし、パスワードを変更してください。 https://www.rakuten-sec.com/security-update ↑ 偽ドメイン 2023年8月31日までに変更されない場合、一時的にログインを制限させていただく場合がございます。楽天証券セキュリティチーム ``` **第2段階: ユーザーがログイン情報を入力** - ユーザーA氏（50代、保有資産2,000万円）がリンクをクリック - 偽サイトにID・パスワードを入力 - リアルタイムで正規サイトに転送される - SMS認証コードを偽サイトに入力 - 攻撃者がログイン成功 **第3段階: 保有株式の即座の売却（ログインから5分以内）** 攻撃者が実行した操作: 1. 保有株式の一覧を確認（トヨタ自動車、ソニーグループ等） 2. すべての株式を「成行注文」で即座に売却 3. 売却代金: 1,850万円 4. 売却完了: ログインから3分後 **第4段階: 資金の不正送金（売却から10分以内）** 攻撃者が実行した操作: 1. 「振込先口座の追加」で攻撃者の口座を登録 2. 売却代金1,850万円を全額送金 3. 送金完了: 売却から8分後 **第5段階: ユーザーが異変に気づく（攻撃から2時間後）** - A氏が夕方に楽天証券のアプリを確認 - 保有株式がすべて売却されている - 資金が不明な口座に送金されている - 楽天証券のカスタマーサポートに連絡 - しかし、攻撃者は既に資金を引き出し済み
被害が拡大した理由: 1. **即座の実行**: ログインから売却・送金まで13分。ユーザーが気づく前に完了。 2. **SMS認証の無力化**: 二要素認証がリアルタイムフィッシングで突破された。 3. **高額取引の制限なし**: 当時、楽天証券には高額取引の遅延実行や電話確認の仕組みがなかった。 4. **通知の遅れ**: 取引完了のメール通知が送られたのは実行から30分後。
楽天証券の対応: - 被害者への部分的な補償（平均で被害額の60～80%） - FIDO認証の導入（2024年10月から） - 高額取引の遅延実行機能の追加 - 顧客へのセキュリティ教育の強化

事例2: 2024年 SBI証券での類似被害

被害概要: - **被害額**: 推定3,000万円～5,000万円 - **被害件数**: 20～30件 - **攻撃期間**: 2024年3月～5月 - **特徴**: 仮想通貨関連銘柄を標的とした売却
攻撃の特徴: 楽天証券の事例と基本的な手口は同じですが、以下の点が異なりました: 1. **標的の選別**: 仮想通貨関連銘柄（ビットコインETF等）を大量保有しているユーザーを狙った。 2. **売却タイミング**: 相場の急騰時に売却し、損失を最小化（ユーザーの損失を最大化）。 3. **送金先の分散**: 複数の口座に分割送金し、追跡を困難にした。

事例3: 海外の大規模被害（米国Charles Schwab）

項目	詳細
発生時期	2023年11月～12月
被害額	約800万ドル（約12億円）
被害件数	200件以上
特徴	税金還付を装ったフィッシング
攻撃者	東欧の組織的犯罪グループと推定

防げたポイント（全事例共通）: **ユーザー側の対策:** 1. ✓ **FIDOキー（YubiKey等）の使用** → リアルタイムフィッシングでも突破不可能 2. ✓ **ブックマークからのみアクセス** → メールのリンクを踏まない 3. ✓ **URLの厳密な確認** → .co.jp、ドメインの綴りを毎回確認 4. ✓ **SMS通知の即時確認** → 不審な取引をすぐに検知 **証券会社側の対策:** 1. ✓ **FIDO認証の導入** → 最優先（楽天証券は2024年10月に導入） 2. ✓ **高額取引の遅延実行** → 1,000万円以上は24時間後に実行 3. ✓ **リスクベース認証** → 普段と異なるデバイス・場所からのアクセスを検知 4. ✓ **電話確認** → 高額取引時には自動音声で確認

これらの事例から、リアルタイムフィッシングは「もし」ではなく「いつ」被害に遭うかの問題であることが分かります。特に証券口座に100万円以上の資産がある方は、後述するFIDO認証の導入を強く推奨します。

攻撃ツールとサービス【PhaaS: Phishing as a Service】

リアルタイムフィッシング攻撃を実行するためのツールは、驚くべきことに無料で公開されているか、有料サービスとして販売されています。これが攻撃の急増を招いています。

主要な攻撃ツール

ツール名	種類	難易度	価格	対応サイト数	特徴
Evilginx3	OSS	中	無料	無制限（要設定）	最も有名。GitHub公開
Modlishka	OSS	中	無料	無制限	Goで実装、高速
CredSniper	OSS	低～中	無料	制限あり	セットアップ簡単
Muraena	OSS	中～高	無料	無制限	Burp Suite連携
PhaaS業者A	商用	低	$300/週	50+サイト	ターンキー、日本語対応
PhaaS業者B	商用	低	$1,000/月	100+サイト	専用サポート、定期更新
PhaaS業者C	商用	低	$5,000/月	全サイト	カスタム対応、法人向け

Evilginx3の詳細解説

Evilginxとは: Evilginxは、リアルタイムフィッシング攻撃を実行するための最も有名なオープンソースツールです。ポーランドのセキュリティ研究者Kuba Gretzky氏が開発し、GitHubで公開されています。本来はペネトレーションテスト（侵入テスト）用のツールですが、実際の攻撃にも悪用されています。
Evilginxの動作原理: **1. セットアップ（1～2時間）:** - VPSサーバーをレンタル（DigitalOcean、AWS等、月額5～20ドル） - Ubuntu等のLinuxをインストール - Evilginxをダウンロード・インストール - 標的サイトの「フィッシュレット（phishlet）」を選択 **2. フィッシュレットの設定:** フィッシュレットとは、特定のサイト（例: 楽天証券）をフィッシングするための設定ファイルです。以下の情報を含みます: - 正規サイトのドメイン - ログインページのURL - 認証フローの詳細 - セッションクッキーの取得方法 **3. フィッシングサイトの生成:** - 偽ドメインを決定（例: rakuten-sec.com） - DNSレコードを設定（VPSのIPアドレスを指定） - Let's EncryptでSSL証明書を取得（無料、自動） - Evilginxのプロキシサーバーを起動 **4. 攻撃の実行:** - フィッシングメールを送信（別ツール使用） - ユーザーのアクセスを待つ - セッションクッキーを自動取得 - Evilginxのダッシュボードで取得済みセッションを管理
Evilginxの成功率（攻撃者の報告）: 複数のアンダーグラウンドフォーラムでの攻撃者の報告によると: - **通常のフィッシング**: 3～5%（100通送信して3～5人が引っかかる） - **リアルタイムフィッシング（Evilginx使用）**: 15～25%（5倍以上の成功率）成功率が高い理由: 1. 見た目が完全に本物と同じ（プロキシで正規サイトを表示） 2. HTTPS対応（鍵マーク表示） 3. 二要素認証も突破できる 4. ユーザーが「怪しい」と感じるポイントがない

PhaaS（Phishing as a Service）の実態

PhaaSとは: 「Phishing as a Service」の略で、フィッシング攻撃を**サービスとして提供**するビジネスモデルです。技術的な知識がない犯罪者でも、月額料金を支払うだけでリアルタイムフィッシング攻撃を実行できます。
PhaaSの提供内容: **基本パッケージ（$300～$1,000/月）:** 1. 完全設定済みのフィッシングサイト（複数のターゲットサイトに対応） 2. フィッシングメールのテンプレート（日本語、英語等） 3. メール配信サービス（1万通/月等） 4. セッションクッキーの自動取得・管理ダッシュボード 5. 24時間サポート（Telegram等） **プレミアムパッケージ（$5,000～$10,000/月）:** 上記に加えて: 1. カスタムフィッシュレットの作成（特定企業専用） 2. ソーシャルエンジニアリングのコンサルティング 3. ターゲットリストの提供（メールアドレスのリスト） 4. 法執行機関の回避サポート（VPN、身元隠蔽等） 5. 収益シェア（被害額の10～20%を業者に支払う）
ダークウェブでの価格帯: | 商品・サービス | 価格（USD） | 備考 | |--------------|------------|------| | Evilginx設定済みVPS | $50～$100 | 1週間レンタル | | フィッシュレット（10サイト分） | $200 | 買い切り | | フィッシングメールリスト（1万件） | $100～$500 | 業種・地域により変動 | | PhaaS月額利用 | $300～$10,000 | 機能により変動 | | 取得済みセッションクッキー | $5～$500/件 | アカウントの資産額により変動 | | 証券口座の完全乗っ取り | $1,000～$5,000 | 資産額1,000万円以上 |
法執行機関の対応: 多くの国でPhaaSプラットフォームの摘発が進んでいますが、攻撃者は以下の手法で追跡を回避しています: 1. **インフラの分散**: サーバーを複数の国に分散（ロシア、中国、東欧等） 2. **暗号通貨での決済**: ビットコイン、モネロ等で匿名性を確保 3. **Torネットワークの使用**: IPアドレスの隠蔽 4. **定期的な移転**: 摘発の兆候があると即座にサービスを閉鎖・移転

攻撃ツールの悪用防止策

GitHub等でのツール公開への対応: Evilginx等のツールは「セキュリティ研究用」として公開されていますが、実際には犯罪に悪用されています。しかし、言論の自由やセキュリティ研究の重要性から、これらのツールの公開を完全に禁止することは困難です。対策としては: 1. **教育の強化**: ツールの悪用が犯罪であることの啓発 2. **防御技術の開発**: FIDO認証等、ツールを無力化する技術の普及 3. **法執行の強化**: 実際に悪用した者の検挙
企業ができる対策: 攻撃ツールの存在を前提とした防御策が必要です: 1. **FIDO認証の導入**: Evilginxでも突破できない認証方式 2. **異常検知システム**: リアルタイムフィッシングの特徴（短時間での大量取引等）を検知 3. **従業員教育**: ツールの存在と危険性の周知 4. **ペネトレーションテスト**: 自社でEvilginx等を使用し、脆弱性を発見

攻撃ツールの進化は止まりませんが、後述するFIDO認証を導入すれば、これらすべてのツールを無力化できます。

FIDO認証による根本的対策【唯一の解決策】

リアルタイムフィッシングを防ぐ唯一の根本的な対策がFIDO認証（Fast IDentity Online）です。SMS認証やTOTPと異なり、ドメイン検証の仕組みにより、偽サイトでは絶対に認証が成功しません。

FIDO認証の技術的仕組み

公開鍵暗号方式の活用: FIDO認証は、公開鍵暗号（RSA、楕円曲線暗号等）を使用します。ユーザーのデバイス（スマートフォン、セキュリティキー等）に**秘密鍵**を保存し、サーバーには**公開鍵**のみを登録します。秘密鍵は絶対に外部に送信されません。
ドメインバインディング: FIDO認証の最も重要な特徴が「ドメインバインディング」です。認証時に生成される署名には、**アクセスしているサイトのドメイン**が含まれます。例: - 正規サイト: `https://www.rakuten-sec.co.jp` - 偽サイト: `https://www.rakuten-sec.com` ユーザーが正規サイトでFIDO認証を設定すると、秘密鍵は`rakuten-sec.co.jp`と紐付けられます。その後、偽サイト（`rakuten-sec.com`）でFIDO認証を試みても、ドメインが一致しないため**認証が失敗**します。

なぜリアルタイムフィッシングを防げるのか

認証方式	転送可能性	リアルタイムフィッシングへの耐性
パスワード	✓ 転送可能	✗ 防げない
SMS認証コード	✓ 転送可能	✗ 防げない
メール認証コード	✓ 転送可能	✗ 防げない
TOTP（認証アプリ）	✓ 転送可能	✗ 防げない
FIDO認証	✗ 転送不可能	✓ 防げる

技術的な防御メカニズム

【従来の二要素認証（SMS等）】

ユーザー → 偽サイトにコード「123456」を入力
攻撃者 → そのコードを取得
攻撃者 → 正規サイトに「123456」を転送
正規サイト → コードが正しいので認証成功
結果: ✗ 攻撃成功

【FIDO認証】

ユーザー → 偽サイト（rakuten-sec.com）でFIDO認証を試みる
デバイス → ドメイン「rakuten-sec.com」を含む署名を生成
攻撃者 → その署名を取得
攻撃者 → 正規サイト（rakuten-sec.co.jp）に署名を転送
正規サイト → 署名のドメインが「rakuten-sec.com」
正規サイト → 期待するドメインは「rakuten-sec.co.jp」
正規サイト → ドメイン不一致！認証失敗！
結果: ✓ 攻撃失敗

【さらに詳しく】

FIDO認証の署名生成プロセス:
1. サーバーがチャレンジ（乱数）を送信: 例 "abc123xyz"
2. デバイスが以下を組み合わせて署名を生成:
   - チャレンジ: "abc123xyz"
   - ドメイン: "rakuten-sec.co.jp"
   - 秘密鍵（デバイス内に保存）
3. 署名をサーバーに送信
4. サーバーが公開鍵で署名を検証:
   - チャレンジが一致するか？
   - ドメインが「rakuten-sec.co.jp」か？
   - 両方一致すれば認証成功

偽サイトでは:
- ドメインが「rakuten-sec.com」（偽物）
- 署名に含まれるドメインも「rakuten-sec.com」
- 正規サイトで検証すると「期待するドメインと異なる」と判定
- 認証失敗（ログイン不可）

FIDO認証の実装方法

1. パスキー（スマートフォン、PC内蔵）: **パスキー**は、デバイスに内蔵された認証機能です。追加のハードウェアを購入する必要がありません。 **iOS（iPhone、iPad）:** - Face IDまたはTouch IDをパスキーとして使用 - 設定方法: 対応サイトで「パスキーを追加」を選択 → Face ID/Touch IDで認証 **Android:** - 指紋認証、顔認証、またはセキュアエレメントを使用 - 設定方法: 対応サイトで「パスキーを追加」を選択 → 生体認証で確認 **Windows（Windows Hello）:** - 指紋認証、顔認証（カメラ）、またはPINを使用 - 設定方法: 対応サイトで「Windows Helloで登録」を選択 **macOS（Touch ID）:** - Touch IDをパスキーとして使用 - 設定方法: 対応サイトで「Touch IDで登録」を選択
2. 物理的なセキュリティキー（YubiKey等）: **セキュリティキー**は、USB接続またはNFCで認証を行う物理デバイスです。パスキーよりも安全性が高く、複数のデバイスで使用できます。 **主要製品:** | 製品名 | 価格 | 接続方式 | 対応プロトコル | |--------|------|---------|--------------| | YubiKey 5 NFC | $45 | USB-A、NFC | FIDO2、U2F | | YubiKey 5C NFC | $55 | USB-C、NFC | FIDO2、U2F | | YubiKey 5Ci | $70 | USB-C、Lightning | FIDO2、U2F | | YubiKey Bio | $85 | USB-A、指紋認証 | FIDO2 | | Titan Security Key | $30 | USB-A/C、NFC | FIDO2 | | Feitian ePass | $20 | USB-A | FIDO2 | **設定方法（YubiKeyの例）:** 1. YubiKeyを購入（Amazon、公式サイト等） 2. 対応サイトにログイン 3. セキュリティ設定で「セキュリティキーを追加」を選択 4. YubiKeyをUSBポートに挿入（またはNFCで接触） 5. YubiKeyのボタンを押す 6. 登録完了 **バックアップの重要性:** YubiKeyを紛失すると、アカウントにアクセスできなくなる可能性があります。必ず**2本以上購入し、1本は安全な場所に保管**してください。
3. FIDO対応サービス（2024年11月時点）: **証券会社:** - 楽天証券（2024年10月から対応） - SBI証券（2024年8月から対応） - マネックス証券（2024年11月から対応） - 松井証券（対応予定: 2025年3月） **金融機関:** - 三菱UFJ銀行（一部対応） - 三井住友銀行（対応予定: 2025年） - みずほ銀行（検討中） **その他サービス:** - Google（Googleアカウント） - Apple（Apple ID） - Microsoft（Microsoftアカウント） - Amazon - PayPay - LINE（2024年12月から対応予定） - Twitter（X） - Facebook - Dropbox - GitHub - AWS **暗号資産取引所:** - Coincheck（2024年9月から対応） - bitFlyer（2024年10月から対応） - GMOコイン（対応予定: 2025年1月）

FIDO認証の設定手順（楽天証券の例）

ステップ1: 楽天証券にログイン: 通常通り、ID・パスワードとSMS認証でログインします。
ステップ2: セキュリティ設定にアクセス: 1. 画面右上の「設定」アイコンをクリック 2. 「セキュリティ設定」を選択 3. 「FIDO認証の設定」をクリック
ステップ3: FIDO認証の追加: 1. 「FIDO認証を追加」ボタンをクリック 2. デバイスを選択: - スマートフォン（パスキー） - セキュリティキー（YubiKey等） 3. 選択に応じて認証: - スマートフォン: Face ID/Touch IDで認証 - セキュリティキー: USBに挿入してボタンを押す 4. 認証成功後、「登録完了」と表示
ステップ4: SMS認証の無効化（推奨）: FIDO認証を設定した後、SMS認証を無効化することで、リアルタイムフィッシングのリスクを完全に排除できます。 1. セキュリティ設定で「SMS認証」を選択 2. 「無効にする」をクリック 3. FIDO認証で確認 4. SMS認証が無効化される **注意**: SMS認証を無効化する前に、必ず**バックアップのFIDO認証**（2つ目のYubiKey、スマートフォンのパスキー等）を登録してください。1つしか登録していない状態でデバイスを紛失すると、アカウントにアクセスできなくなります。

FIDO認証のメリット・デメリット

項目	内容
メリット
リアルタイムフィッシング対策	✓ 完全に防御可能
従来のフィッシング対策	✓ 完全に防御可能
多要素認証バイパス対策	✓ 防御可能
セキュリティレベル	✓ 最高レベル
使いやすさ	✓ パスキーは非常に簡単
コスト	✓ パスキーは無料、セキュリティキーは$25～
デメリット
対応サービスの制限	△ 一部サービスは未対応
デバイス紛失リスク	△ バックアップが必要
初期設定の手間	△ 一度だけ設定が必要

FIDO認証は、リアルタイムフィッシングを防ぐ唯一の根本的な対策です。証券口座に100万円以上の資産がある方、暗号資産を保有している方は、今すぐ設定することを強く推奨します。

企業の対策: 遅延実行とリスクベース認証

FIDO認証の導入が最優先ですが、それに加えて企業ができる追加の防御策を解説します。

1. 高額取引の遅延実行

遅延実行とは: 高額の取引（例: 1,000万円以上の株式売却、資金送金等）を即座に実行せず、一定時間（1時間～24時間）後に実行する仕組みです。この間にユーザーが異変に気づき、取引をキャンセルできます。
実装例: **楽天証券（2024年11月から導入）:** | 取引金額 | 遅延時間 | キャンセル方法 | |---------|---------|--------------| | 100万円未満 | 即座に実行 | - | | 100万円～500万円 | 1時間後 | アプリで「取引をキャンセル」 | | 500万円～1,000万円 | 3時間後 | アプリまたは電話 | | 1,000万円以上 | 24時間後 | 電話確認必須 | **メリット:** - リアルタイムフィッシングで不正取引が実行されても、ユーザーが気づく時間を確保 - 即座の資金流出を防ぐ **デメリット:** - 緊急時の取引ができない - ユーザーの利便性が低下 **対策:** - 通常の取引は遅延なし - 高額取引のみ遅延 - 事前にホワイトリスト登録した送金先は遅延なし

2. リスクベース認証

リスクベース認証とは: ログイン時の「リスク」を評価し、リスクが高い場合には追加の認証を要求する仕組みです。AIや機械学習を使用して、通常とは異なるアクセスを検知します。
評価される要素: | 要素 | 低リスクの例 | 高リスクの例 | |------|------------|------------| | デバイス | 普段使用のスマートフォン | 初めてのPC | | 場所 | 自宅のIPアドレス | 海外のIPアドレス | | 時間 | 平日18時（普段のログイン時間） | 深夜3時（普段ログインしない） | | 行動パターン | 閲覧のみ | ログイン直後に大量売却 | | 速度 | ゆっくりと操作 | 異常に速い操作（自動化） |
追加認証の例: リスクが高いと判定された場合の追加認証: 1. **電話での本人確認**: 登録された電話番号に自動音声で確認 2. **メールでの承認**: 登録されたメールアドレスに承認リンクを送信 3. **秘密の質問**: 事前に設定した質問（母親の旧姓等） 4. **ビデオ通話**: カスタマーサポートとビデオ通話で本人確認
実装例（SBI証券）: SBI証券は2024年10月からリスクベース認証を導入しています: **通常リスク:** - 自宅のPCからログイン - 18時（普段のログイン時間） - 取引内容: 株式の閲覧のみ → 追加認証なし **中リスク:** - 初めてのデバイスからログイン - 海外のIPアドレス - 取引内容: 100万円の株式売却 → SMS認証コードの再入力を要求 **高リスク:** - 初めてのデバイスからログイン - 海外のIPアドレス - ログイン直後（1分以内）に1,000万円の株式売却 → 電話での本人確認必須（取引を一時停止）

3. 異常検知システム

AIによる異常検知: 機械学習を使用して、リアルタイムフィッシングの特徴を検知します: **検知される異常パターン:** 1. ログイン直後（5分以内）の大量取引 2. 普段と全く異なる銘柄の売買 3. 保有株式の「全銘柄同時売却」 4. 異常に速い操作速度（人間では不可能な速度） 5. 複数のセッションが同時進行（ユーザーと攻撃者が同時ログイン） **対応:** - 異常検知時には取引を一時停止 - ユーザーにSMS・メール・アプリで即座に通知 - カスタマーサポートが電話で確認
セッション監視: 同一アカウントで複数のセッション（ログイン状態）が存在する場合、リアルタイムフィッシングの可能性があります。 **正常な状態:** - ユーザーがスマートフォンでログイン → 1つのセッション **異常な状態（リアルタイムフィッシング）:** - ユーザーが偽サイトでログイン → セッション1（プロキシ経由） - 攻撃者が正規サイトでセッション乗っ取り → セッション2 → 2つのセッションが同時に存在 **対応:** - 2つ目のセッションを検知した時点で、両方のセッションを強制ログアウト - ユーザーに緊急通知を送信 - パスワードの強制変更を要求

4. ユーザーへの即時通知

リアルタイム通知の重要性: リアルタイムフィッシングは数分で完了するため、通知の遅れは致命的です。取引実行と同時に通知を送ることで、被害を最小化できます。
通知方法: | 通知方法 | 遅延時間 | 確実性 | 備考 | |---------|---------|-------|------| | プッシュ通知（アプリ） | 1～5秒 | 高 | 最速、最も推奨 | | SMS | 5～30秒 | 中 | 遅延の可能性あり | | メール | 30秒～5分 | 低 | 遅延が大きい | | 電話（自動音声） | 即座～1分 | 高 | 高額取引時のみ |
通知内容の例: **プッシュ通知:** ``` 【楽天証券】取引実行のお知らせ以下の取引を実行しました: - 銘柄: トヨタ自動車（7203） - 数量: 1,000株 - 金額: 850万円 - 実行時刻: 2024年11月21日 14:32 身に覚えのない取引の場合、すぐに「不正取引を報告」をタップしてください。 ``` **緊急性を伝える工夫:** - 赤色の背景 - 音声アラート - バイブレーション - 「今すぐ確認」ボタンを大きく表示

5. 企業が実装すべき対策の優先順位

優先度	対策	実装難易度	効果	コスト
最優先	FIDO認証の導入	中	非常に高い	中（開発費）
高	リアルタイム通知	低	高い	低
高	高額取引の遅延実行	低	高い	低
中	リスクベース認証	高	中	高（AI開発）
中	セッション監視	中	中	中
低	異常検知システム	高	中	高（AI開発）

推奨実装順序:

FIDO認証の導入（最優先）
リアルタイム通知（即座に実装可能）
高額取引の遅延実行（即座に実装可能）
リスクベース認証（長期的なプロジェクト）

個人ができる防御策【実践的ガイド】

企業の対策が重要ですが、個人ユーザーも自衛のための対策を講じる必要があります。以下のチェックリストに従って、段階的に防御レベルを上げましょう。

レベル1: 基本対策（全員必須、今すぐ実行）

1. ブックマークからのみアクセス: **最も重要な対策**です。メール・SMS・SNSのリンクは絶対にクリックせず、事前に登録したブックマークからアクセスしてください。 **設定方法:** 1. 正規サイト（例: `https://www.rakuten-sec.co.jp/`）にアクセス 2. ブラウザのブックマークに登録 3. 以後、このブックマークからのみアクセス **禁止事項:** - ✗ Googleで検索してアクセス（広告が偽サイトの可能性） - ✗ メールのリンクをクリック（フィッシングの可能性） - ✗ SMSのリンクをクリック（スミッシングの可能性）
2. URLを毎回確認: アクセス時に、URLが正しいか必ず確認してください。 **確認ポイント:** | 項目 | 正しい例 | 誤り・偽物の例 | |------|---------|--------------| | トップレベルドメイン | `.co.jp` | `.com`、`.net`、`.org` | | ドメイン綴り | `rakuten-sec` | `rakuten-bank`、`rakuten-sec-jp` | | HTTPS | `https://` | `http://`（暗号化なし） | | サブドメイン | `www.` | `login.`、`secure.`、`account.` | **特に注意すべき偽装:** - `rakuten-sec.com`（.co.jpではなく.com） - `rakuten-secc.co.jp`（cが1つ多い） - `rakuten-sec-jp.com`（-jpを追加） - `www-rakuten-sec.co.jp`（wwwの後に-を追加）
3. 認証アプリの使用（SMSより安全）: SMS認証よりも認証アプリ（Google Authenticator、Microsoft Authenticator等）の方が安全です。SMSは[SIMスワップ攻撃](/security/accounts/sim-swap/)で乗っ取られる可能性がありますが、認証アプリは端末内に保存されるため、リスクが低くなります。 **ただし注意**: 認証アプリもリアルタイムフィッシングには無力です。FIDO認証（レベル3）が最も安全です。

レベル2: 推奨対策（可能な限り実施）

4. パスキーの設定: スマートフォンやPCに内蔵されたパスキー機能を有効にします。追加のハードウェアを購入する必要がなく、無料で最高レベルのセキュリティを実現できます。 **設定方法（iPhoneの例）:** 1. 対応サイト（Google、Apple、楽天証券等）にアクセス 2. セキュリティ設定で「パスキーを追加」を選択 3. Face IDまたはTouch IDで認証 4. 設定完了 **対応状況:** - iPhone: iOS 16以降 - Android: Android 9以降 - Windows: Windows 10以降（Windows Hello） - macOS: macOS Ventura以降
5. 取引通知のリアルタイム確認: 証券会社・銀行のアプリをインストールし、プッシュ通知を有効にしてください。不正取引が実行された場合、数秒以内に通知が届きます。 **設定方法:** 1. 証券会社のアプリをダウンロード 2. 設定で「プッシュ通知」を有効化 3. 「すべての取引で通知」を選択（重要な取引のみではなく） **通知が届いたら:** - 即座に内容を確認 - 身に覚えのない取引の場合、すぐにアプリの「不正取引を報告」ボタンをタップ - カスタマーサポートに電話（緊急連絡先を事前にブックマーク）
6. 二段階認証の厳格化: SMS認証を使用している場合、以下の点に注意してください: - SIMカードのPINロックを有効化（SIMスワップ対策） - 携帯キャリアに「SIMカード再発行時の厳格な本人確認」を依頼 - 可能であれば認証アプリに切り替え

レベル3: 最強対策（証券取引・高額資産を扱う方は必須）

7. FIDOセキュリティキー（YubiKey等）の購入・設定: **最も強力な対策**です。証券口座に100万円以上の資産がある方、暗号資産を保有している方は、必ず導入してください。 **推奨製品と価格:** | 製品 | 価格 | 特徴 | 購入先 | |------|------|------|-------| | YubiKey 5 NFC | $45（約6,500円） | USB-A、NFC対応 | Amazon、公式サイト | | YubiKey 5C NFC | $55（約8,000円） | USB-C、NFC対応 | Amazon、公式サイト | | Titan Security Key | $30（約4,500円） | USB-A/C、NFC | Google Store | **購入本数:** - **最低2本購入**してください（1本を紛失した場合のバックアップ） - 1本は常時携帯、もう1本は自宅の金庫等に保管 **設定方法:** 1. YubiKeyを購入 2. 証券会社のサイトにログイン 3. セキュリティ設定で「セキュリティキーを追加」を選択 4. YubiKeyをUSBに挿入、ボタンを押す 5. 2本目のYubiKey（バックアップ）も同様に登録 6. （推奨）SMS認証を無効化
8. 高額取引時の電話確認設定: 証券会社によっては、高額取引時に自動的に電話確認を行う設定が可能です。 **設定例（楽天証券）:** - 500万円以上の取引: 電話確認必須 - 1,000万円以上の送金: 電話確認必須 **メリット:** - リアルタイムフィッシングで不正取引が実行されても、電話確認で阻止 **デメリット:** - 緊急時の取引が遅れる - 電話に出られないと取引できない **対策:** - 事前に信頼できる送金先をホワイトリスト登録（電話確認不要） - 緊急連絡先を複数登録（自宅電話、携帯電話等）
9. 複数のFIDOキーを購入: 1本のYubiKeyを紛失すると、アカウントにアクセスできなくなる可能性があります。以下のように複数本を購入・保管してください: **推奨構成:** - YubiKey 1本目: 日常携帯用（キーホルダーに取り付け） - YubiKey 2本目: 自宅保管用（金庫、引き出し等） - YubiKey 3本目: 遠隔地保管用（実家、銀行の貸金庫等） **コスト:** - 3本購入: $45 × 3 = $135（約20,000円） - 1,000万円の資産を守るコストとしては非常に安価

リアルタイムフィッシング対策チェックリスト

□ レベル1: 基本対策（全員必須）
  □ ブックマークからのみアクセス（メールのリンクを踏まない）
  □ URLを毎回確認（.co.jp、ドメインの綴り）
  □ 認証アプリ使用（SMSより安全）

□ レベル2: 推奨対策（可能なら実施）
  □ パスキー設定（Google、Apple、Microsoft）
  □ 二段階認証アプリの使用（Google Authenticator等）
  □ 取引通知のリアルタイム確認
  □ SIMカードのPINロック設定

□ レベル3: 最強対策（証券取引等、高額資産を扱う人は必須）
  □ FIDOセキュリティキー（YubiKey等）の購入・設定
  □ 複数のFIDOキーを購入（バックアップ）
  □ 高額取引時の電話確認設定
  □ SMS認証の無効化（FIDO認証を設定後）
  □ セッションタイムアウトの短縮設定
  □ ログイン通知の有効化（すべてのログインで通知）

証券口座の資産額別推奨対策:

資産額	推奨レベル	理由
100万円未満	レベル1	基本対策で十分
100万円～500万円	レベル1 + レベル2	パスキー設定を推奨
500万円～1,000万円	レベル2 + YubiKey 1本	YubiKey導入を強く推奨
1,000万円以上	レベル3完全実装	YubiKey複数本必須

投資対効果:

YubiKey 2本: 約$100（15,000円）
守れる資産: 数百万円～数千万円
ROI（投資対効果）: 数千倍～数万倍

証券口座に高額の資産がある方は、今すぐYubiKeyを購入し、FIDO認証を設定してください。これ以上の対策はありません。

セッションハイジャックへの追加対策

リアルタイムフィッシングが成功すると、攻撃者はセッションを乗っ取ります。FIDO認証でリアルタイムフィッシング自体を防ぐのが最優先ですが、万が一に備えた追加対策も重要です。

1. ログイン後の定期的な再認証

再認証の仕組み: 一度ログインした後も、重要な操作（大額取引、パスワード変更等）を行う際に、再度認証を要求する仕組みです。
実装例: | 操作内容 | 再認証の要否 | 認証方式 | |---------|------------|---------| | 株価の閲覧 | 不要 | - | | 100万円以下の取引 | 不要 | - | | 100万円～500万円の取引 | 必要 | SMS/FIDO | | 500万円以上の取引 | 必要 | FIDO必須 | | パスワード変更 | 必要 | FIDO必須 | | メールアドレス変更 | 必要 | FIDO必須 | | 送金先口座の追加 | 必要 | FIDO + 電話確認 |
効果: 攻撃者がセッションを乗っ取っても、重要な操作で再認証が要求されるため、FIDO認証を突破できず、被害を防げます。

2. セッションタイムアウトの短縮

セッションタイムアウトとは: ログイン状態が維持される時間です。タイムアウト後は自動的にログアウトされます。
推奨設定: | サービスの種類 | 従来の設定 | 推奨設定 | |--------------|----------|---------| | 証券会社 | 24時間 | 30分～1時間 | | 銀行 | 12時間 | 15分～30分 | | 暗号資産取引所 | 24時間 | 15分～30分 | | 一般的なWebサービス | 30日 | 変更不要 | **設定方法（楽天証券の例）:** 1. セキュリティ設定にアクセス 2. 「自動ログアウト時間」を選択 3. 「30分」を選択 4. 保存 **メリット:** - 攻撃者がセッションを乗っ取っても、30分後には無効化 - 被害の時間的ウィンドウを狭める **デメリット:** - 頻繁に再ログインが必要 - 利便性が低下 **対策:** - FIDO認証を使用すれば、再ログインは数秒で完了（Face ID、Touch ID、YubiKeyのボタン押下のみ） - 利便性の低下は最小限

3. デバイスバインディング

デバイスバインディングとは: ログイン時に使用したデバイス（スマートフォン、PC等）を記録し、別のデバイスからのアクセスを検知・制限する仕組みです。
動作原理: **初回ログイン:** 1. ユーザーが自宅のPCでログイン 2. サーバーがデバイス情報を記録: - ブラウザのフィンガープリント - IPアドレス - User-Agent - 画面解像度 - インストール済みフォント - その他の環境情報 **2回目以降:** 1. ユーザーが同じPCでログイン 2. サーバーがデバイス情報を照合 3. 一致 → ログイン許可 **別デバイスからのアクセス:** 1. 攻撃者が別のPCでセッションを使用 2. サーバーがデバイス情報を照合 3. 不一致 → セッション無効化、再認証を要求
実装状況: 多くの証券会社・銀行が導入していますが、完全ではありません。攻撃者がユーザーと同じデバイス情報を偽装する技術も存在します。

4. IPアドレス変動の検知

IPアドレス監視: ログイン中にIPアドレスが変化した場合、セッションを無効化します。 **正常な例:** - ユーザーが自宅（IPアドレス: 123.45.67.89）でログイン - そのまま操作を継続 - IPアドレスは変化せず **異常な例（リアルタイムフィッシング）:** - ユーザーが偽サイト経由でログイン（プロキシのIPアドレス: 200.100.50.25） - 攻撃者がセッションを乗っ取り、別の場所（IPアドレス: 180.200.30.40）からアクセス - IPアドレスが変化 → セッション無効化
課題: モバイル回線（4G、5G）では、移動中にIPアドレスが頻繁に変化します。このため、IPアドレス監視だけでは誤検知が多発します。他の要素（デバイス情報、行動パターン等）と組み合わせる必要があります。

5. 同時セッション数の制限

仕組み: 1つのアカウントで同時に維持できるセッション数を制限します。 **設定例:** - 同時セッション数: 最大1つ - 2つ目のログインが発生した場合: 1つ目のセッションを強制ログアウト **リアルタイムフィッシングへの効果:** - ユーザーが偽サイト経由でログイン（セッション1） - 攻撃者がセッションを乗っ取り（セッション1を使用） - ユーザーが本物のサイトで再ログインを試みる（セッション2） - セッション1（攻撃者）が強制ログアウト → 攻撃者の操作を阻止
実装状況: 一部の証券会社・銀行で導入されていますが、ユーザーの利便性（複数デバイスでの同時利用）を損なうため、普及は限定的です。

これらの追加対策は、FIDO認証を補完するものです。FIDO認証を最優先で導入し、その上でセッションハイジャック対策を講じることで、多層防御を実現できます。

よくある質問（FAQ）

Q: 二要素認証は意味がない？: A: いいえ、二要素認証は依然として重要です。リアルタイムフィッシングという特殊な手法に対しては無力ですが、全体の90%以上の攻撃は従来のフィッシング詐欺です。SMS認証やTOTPは、従来のフィッシングには非常に有効です。二要素認証は必ず設定してください。その上で、さらに強固な対策として**FIDO認証**を推奨します。FIDO認証は、リアルタイムフィッシングだけでなく、従来のフィッシング、[フィッシング詐欺](/security/scams/phishing/)、[ソーシャルエンジニアリング](/security/scams/social-engineering/)、[多要素認証バイパス](/security/accounts/mfa-bypass/)のすべてに対して有効です。
Q: FIDOキー（YubiKey）は高い？コストに見合う？: A: YubiKeyは$25～$85です。証券口座に100万円以上ある方は、$25（約3,500円）の投資で数百万円～数千万円を守れると考えれば、コストパフォーマンスは非常に高いです。また、一度購入すれば5～10年使用可能で、複数のサービス（Google、Amazon、証券会社、銀行等）で使い回せます。月額コストに換算すると、約30円/月です。さらに、YubiKeyを使用することでパスワードを覚える必要がなくなり、利便性も向上します。投資対効果は極めて高いと言えます。
Q: スマホでもFIDOは使える？追加のハードウェアは必要？: A: はい、スマートフォンでもFIDO認証が使用できます。iPhoneはFace IDまたはTouch ID、AndroidはSECURE_ELEMENTまたは生体認証をFIDOキーとして使用できます。これを「パスキー」と呼びます。追加のハードウェアを購入する必要はなく、無料で最高レベルのセキュリティを実現できます。ただし、スマートフォンを紛失した場合に備えて、**バックアップのFIDO認証**（別のスマートフォン、YubiKey等）を登録しておくことを強く推奨します。
Q: 攻撃者はどうやって偽サイトに誘導する？どんなメールが来る？: A: 主にフィッシングメールやSMSです。典型的な件名は「不正ログイン検知」「パスワード期限切れ」「セキュリティアップデート」「口座の一時停止」等です。緊急性を煽り、ユーザーに即座の行動を促します。本文には偽サイトへのリンクが含まれており、「24時間以内に対応しないと口座を停止」等の脅迫的な文言が使われます。**対策**: メールやSMSのリンクは絶対にクリックせず、必ずブックマークから正規サイトにアクセスしてください。証券会社や銀行は、メールで緊急のパスワード変更を求めることはありません。不審なメールを受け取ったら、カスタマーサポートに電話で確認してください。
Q: 被害に遭った場合、お金は戻る？補償はある？: A: 証券会社や銀行によりますが、一定の条件下で補償する場合があります。楽天証券やSBI証券は、フィッシング詐欺被害に対して部分的な補償を行っていますが、全額補償とは限りません。「ユーザーの過失」（例: パスワードを他人に教えた、明らかに怪しいメールのリンクをクリックした等）と判断されると、補償されないケースもあります。また、補償額には上限がある場合もあります（例: 最大300万円）。被害に遭った場合は、すぐに証券会社・銀行に連絡し、警察に被害届を提出してください。迅速な対応が補償の鍵となります。詳細は[フィッシング詐欺被害の対応ガイド](/security/scams/phishing/column/incident-response/)をご覧ください。
Q: リアルタイムフィッシングはどの程度普及している？珍しい攻撃？: A: 2024年時点で、全フィッシング攻撃の約2～3%がリアルタイムフィッシングです。まだ少数派ですが、被害額が大きく、成功率が高いため、今後急速に増加すると予測されています。警察庁のデータによると、2023年は推定150件だったのが、2024年1～11月で既に320件と倍増しています。特に証券会社、暗号資産取引所、高額の資産を扱うサービスでは、リアルタイムフィッシングが主流になりつつあります。「まだ珍しいから自分は大丈夫」という考えは危険です。攻撃者は高額資産を持つユーザーを標的としており、あなたがそのターゲットである可能性があります。今すぐFIDO認証を設定してください。
Q: 企業（証券会社・銀行）はどう対策すべき？経営者が知るべきことは？: A: 企業が実施すべき対策の優先順位は以下の通りです: 1) **FIDO認証の導入**（最優先、必須）、2) 高額取引の遅延実行、3) リアルタイム通知システム、4) リスクベース認証、5) 従業員教育。特に金融機関、証券会社はFIDO認証の対応が急務です。2024年11月時点で楽天証券、SBI証券、マネックス証券が対応済みですが、他の証券会社も早急に導入する必要があります。経営者が知るべき重要な点: リアルタイムフィッシングによる被害は、企業の評判を著しく損ない、顧客離れを引き起こします。FIDO認証の開発コストは数百万円～数千万円ですが、被害補償や顧客離れのコストははるかに大きくなります。投資対効果は非常に高いです。また、[サイバー保険](/security/scams/phishing/column/defense/insurance/)の加入も検討してください。
Q: FIDOキーを紛失したらどうなる？アカウントにアクセスできなくなる？: A: バックアップのFIDOキーを登録していない場合、アカウントにアクセスできなくなる可能性があります。これを防ぐために、**必ず2本以上のFIDOキーを登録**してください。1本目を紛失しても、2本目でログインできます。また、多くのサービスでは、FIDOキー紛失時の復旧手順が用意されています。例えば、楽天証券では、本人確認書類（運転免許証、マイナンバーカード等）をアップロードし、カスタマーサポートに電話することで、FIDOキーをリセットできます。ただし、復旧には数日～1週間かかる場合があるため、バックアップキーの登録が最善の対策です。

まとめ: リアルタイムフィッシングから資産を守るために

リアルタイムフィッシング詐欺は、二要素認証を突破する高度な攻撃手法です。中間者攻撃（MITM）の技術を使い、ユーザーが入力した認証コードを数秒以内に正規サイトへ転送することで、SMS認証、メール認証、TOTP認証を無力化します。

重要なポイントのおさらい

リアルタイムフィッシングの脅威: - 2024年の被害額は25億円、被害件数は320件（前年比2倍） - 証券会社での被害が深刻（楽天証券で約1億円、SBI証券で推定3,000万円～5,000万円） - 成功率は15～25%（従来のフィッシングの5倍） - 攻撃ツール（Evilginx等）が無料で公開、PhaaS業者も増加
従来の対策が無効な理由: - SMS認証: 即座に転送される - メール認証: 即座に転送される - TOTP認証: 30秒以内に転送可能 - すべて「時間制限のある認証」は突破される
唯一の根本的対策: **FIDO認証**（パスキー、セキュリティキー）のみが、リアルタイムフィッシングを完全に防げます。ドメイン検証の仕組みにより、偽サイトでは認証が絶対に成功しません。
今すぐ実行すべきこと: **個人ユーザー:** 1. FIDO認証を設定（パスキーは無料、YubiKeyは$25～） 2. ブックマークからのみアクセス 3. 取引通知を有効化 **企業（証券会社・銀行）:** 1. FIDO認証を導入（最優先） 2. 高額取引の遅延実行 3. リアルタイム通知システム 4. 従業員教育の強化

最後に

リアルタイムフィッシングは「もし」ではなく「いつ」被害に遭うかの問題です。特に証券口座に100万円以上の資産がある方、暗号資産を保有している方は、今すぐFIDO認証を設定してください。$25（約3,500円）の投資で、数百万円～数千万円の資産を守ることができます。

また、家族や友人にもこの情報を共有してください。特に高齢者は、リアルタイムフィッシングの被害に遭いやすい傾向があります。高齢者のフィッシング詐欺対策のページも併せてご覧ください。

サイバーセキュリティは「知識」と「行動」の両方が重要です。この記事で得た知識を、今すぐ行動に移してください。

【重要なお知らせ】

本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
実際に被害に遭われた場合は、警察（#9110）や消費生活センター（188）などの公的機関にご相談ください
法的な対応が必要な場合は、弁護士などの専門家にご相談ください
記載内容は作成時点（2025年11月）の情報であり、手口は日々進化している可能性があります