最新のフィッシング詐欺重大事例TOP5【緊急度★★★★★】
【第1位】証券会社を装った大規模フィッシング攻撃
━━━━━━━━━━━━━━━━━━━━
発生日時:2025年11月18日 14:00頃~(継続中)
被害規模:確認済み約580件、推定2万件以上
被害額:確認済み約5,200万円、推定数億円規模
緊急度:★★★★★(現在も進行中・拡大傾向)
━━━━━━━━━━━━━━━━━━━━
手口の詳細
大手証券会社複数社を装ったフィッシングメールが同時多発的に配信されています。「ご本人様確認のお願い」「不正アクセス検知による緊急ロック」という件名で、24時間以内の対応を求める内容です。リンク先の偽サイトは本物と見分けがつかないほど精巧で、AI生成技術により各証券会社のデザインを完全再現しています。ログイン情報入力後、すぐに二要素認証コードを要求し、リアルタイムで本物のサイトへ不正ログインを実行します。
特徴的なポイント
- AI生成による自然な日本語:誤字脱字が一切なく、証券業界の専門用語も正確に使用
-
本物そっくりのドメイン:
smbc-nikko-jp.com(正規はsmbcnikko.co.jp)など、微妙に異なるドメインを使用 - リアルタイムフィッシング技術:被害者が入力した情報を即座に本物のサイトで悪用し、二要素認証も突破
- SMS認証コードの即時要求:「システムセキュリティ強化のため」として、SMSで届いた認証コードの入力を促す
見分け方のポイント
- URLの確認
- 証券会社の正規ドメインは必ず公式サイトで確認。メール内のリンクは絶対にクリックしない
- 送信元アドレスの精査
- 表示名が正規でも、実際のメールアドレス(@以降)が異なる場合は偽物
- 緊急性の煽り文句
- 「24時間以内」「即時対応が必要」など、焦らせる文言は詐欺の典型的パターン
- 認証コードの要求
- 正規の証券会社がメールやSMSで二要素認証コードの入力を求めることは絶対にない
緊急対策(今すぐ実施)
- 証券口座の即時確認:公式アプリまたはブックマークから直接ログインし、不審な取引がないか確認
- パスワードの変更:少しでも心当たりがある場合は、すぐにパスワードを変更
- 証券会社への連絡:不審なメールを受信した場合は、電話で証券会社に確認(メールでの問い合わせは避ける)
【第2位】AI音声クローンによる経営層なりすまし詐欺
━━━━━━━━━━━━━━━━━━━━
発生日時:2025年11月19日 10:30頃
被害規模:都内中堅企業1社で確認
被害額:約1,800万円
緊急度:★★★★★(企業の経理担当者は要警戒)
━━━━━━━━━━━━━━━━━━━━
手口の詳細
東京都内の製造業A社で、社長の音声を完全に再現したAI音声による詐欺が発生しました。経理担当者の携帯電話に「社長」から直接電話があり、「取引先への緊急支払いが必要。今すぐ1,800万円を指定口座へ振り込んで欲しい。守秘義務があるため他の役員には相談しないように」と指示。音声は社長本人の話し方や口癖まで完璧に再現されており、担当者は疑うことなく送金してしまいました。後に、社長本人に確認したところ、そのような指示は一切出していないことが判明しました。
AI音声クローン技術の脅威
最新のAI技術では、わずか3~5秒の音声サンプルから85%の精度で声を複製できます。企業の社長や役員の声は、会社のプロモーション動画、ウェビナー、インタビュー動画などから簡単に入手可能です。攻撃者はこれらの公開されている音声を収集し、AI音声クローン技術で本人そっくりの音声を生成します。
見分け方のポイント
- 通話品質の微妙な違い:AI生成音声は、時折不自然な間や機械的な抑揚が混じる場合がある
- 背景音の不自然さ:完全に無音、または不自然なホワイトノイズが含まれている
- 質問への対応の遅れ:予期しない質問をすると、答えるまでに不自然な間が生じることがある
緊急対策(企業向け)
- 高額送金の複数承認制度:一定額以上の送金は必ず複数人の承認を必須とする
- 折り返し確認ルールの徹底:電話での送金指示は、一度電話を切って公式の連絡先から折り返し確認
- 秘密の質問の設定:本人確認のため、事前に秘密の質問と答えを社内で共有しておく
- 従業員教育の実施:AI音声詐欺の存在と手口を全従業員に周知
【第3位】Amazon偽装による大規模配信攻撃
━━━━━━━━━━━━━━━━━━━━
発生日時:2025年11月18日 15:00頃~
被害規模:推定15万通以上のフィッシングメール配信
被害額:個別被害は数万円~数十万円規模
緊急度:★★★★☆(現在も配信継続中)
━━━━━━━━━━━━━━━━━━━━
手口の詳細
「Amazonプライム会費の自動更新に失敗しました」という件名のフィッシングメールが大量配信されています。メール本文には「お支払い方法の更新が必要です。24時間以内に更新しない場合、アカウントが停止されます」と記載され、リンク先の偽サイトでクレジットカード情報の入力を求めます。偽サイトのデザインは本物のAmazonサイトと完全に一致しており、URLもamazon-co-jp-update.comなど、一見本物と見間違うドメインを使用しています。
特徴的なポイント
| 項目 | 詳細 |
|---|---|
| 配信タイミング | ブラックフライデー前の需要期を狙った攻撃 |
| ターゲット層 | Amazonプライム会員を中心に無差別配信 |
| 入力要求情報 | クレジットカード番号、有効期限、セキュリティコード、住所、電話番号 |
| 被害の二次拡大 | 入力した情報で即座に不正購入や転売サイトでの悪用 |
見分け方のポイント
-
送信元メールアドレスの確認:Amazonからのメールは必ず
@amazon.co.jpまたは@amazon.comから送信される - 緊急性を煽る文言:「24時間以内」「アカウント停止」など、焦らせる表現は詐欺の特徴
- リンクの確認:メール内のリンクにカーソルを合わせ、実際のURLを確認(クリックはしない)
- 公式サイトから確認:メールの内容が本当か、必ず公式サイトまたはアプリから直接ログインして確認
緊急対策
- メール内のリンクを絶対にクリックしない
- Amazonアカウントの確認:公式アプリまたはブックマークから直接ログインし、支払い方法に問題がないか確認
- クレジットカード会社への連絡:万が一情報を入力してしまった場合は、すぐにカード会社に連絡してカード停止を依頼
【第4位】宅配便不在通知を装ったスミッシング(SMS詐欺)
━━━━━━━━━━━━━━━━━━━━
発生日時:2025年11月17日~(継続中)
被害規模:1日あたり約1,200件の報告
被害額:個別被害は2万円~15万円
緊急度:★★★★☆(スマートフォン利用者全般に影響)
━━━━━━━━━━━━━━━━━━━━
手口の詳細
ヤマト運輸や佐川急便を装った不在通知SMSが大量配信されています。「お荷物をお届けしましたが不在のため持ち帰りました。こちらから再配達をご依頼ください」というメッセージと共に、不正なURLが記載されています。リンクをタップすると、公式アプリのインストールを促す画面が表示されますが、実際には不正アプリ(マルウェア)がインストールされます。この不正アプリは、スマートフォン内の連絡先情報を盗み出し、さらに同様の詐欺SMSを拡散させます。また、電子決済アプリの情報も窃取され、不正決済の被害に遭うケースも報告されています。
Android端末での被害が深刻
iPhoneユーザー:不正アプリのインストールは困難なため、フィッシングサイトへ誘導されクレジットカード情報を盗まれるパターン
Androidユーザー:不正アプリ(トロイの木馬)がインストールされ、以下の被害が発生
- 連絡先情報の窃取と詐欺SMSの大量配信
- 電子決済アプリの認証情報窃取
- SMSの認証コード傍受による二要素認証突破
- 銀行アプリの不正操作
見分け方のポイント
| 項目 | 正規の不在通知 | 詐欺SMS |
|---|---|---|
| 送信元番号 | 0570-X000-XXX(固定番号) | 090や080で始まる携帯番号 |
| URL | 公式ドメイン(kuronekoyamato.co.jp等) | 短縮URLや不審なドメイン |
| メッセージ内容 | 伝票番号や具体的な配達情報 | 曖昧な表現で緊急性を煽る |
| アプリ要求 | 公式ストアからのDLを推奨 | 直接インストールを促す |
緊急対策
- SMSのリンクは絶対にタップしない:不在通知は必ず公式サイトまたはアプリから確認
-
不正アプリをインストールしてしまった場合:
- すぐに機内モードにしてネットワークを遮断
- 専門業者に相談してアプリを削除
- 電子決済アプリのパスワードをすぐに変更
- 銀行やカード会社に連絡して不正利用をチェック
【第5位】Apple IDロック偽装フィッシング
━━━━━━━━━━━━━━━━━━━━
発生日時:2025年11月19日 20:00頃~
被害規模:推定8万通以上のメール配信
被害額:Apple ID乗っ取りによる不正課金(個別被害1万円~30万円)
緊急度:★★★☆☆(iPhone/iPadユーザーが対象)
━━━━━━━━━━━━━━━━━━━━
手口の詳細
「お使いのApple IDが不正アクセスの試みにより一時的にロックされました」という件名のフィッシングメールが配信されています。メール本文には「異なるデバイスからのログイン試行を検知しました。本人確認のため、以下のリンクから再度ログインしてください」と記載され、偽のApple IDログインページへ誘導します。偽サイトでApple IDとパスワードを入力すると、「二段階認証の確認」として、SMSで受信した6桁のコードの入力を求められます。これらの情報を入力すると、攻撃者は即座に本物のApple IDアカウントへログインし、以下の被害が発生します。
被害の内容
- App StoreやiTunesでの不正課金:高額アプリの購入や課金
- iCloudに保存されている個人情報の窃取:写真、連絡先、メールデータなど
- デバイスのリモートロック:「iPhoneを探す」機能を悪用し、デバイスをロックして身代金を要求
- 他のAppleサービスへの不正アクセス:Apple Pay、App Store、iCloudメールなど
特徴的なポイント
- メール文面がApple公式と完全に一致(ロゴ、フォント、レイアウト)
- 偽サイトのURLが
appleid-secure-verify.comなど、本物と酷似 - 二段階認証コードまで要求する巧妙な手口
- メール送信元が
@apple.comと偽装されている場合もある
見分け方のポイント
- Apple公式の確認方法
- Appleは緊急のアカウント確認をメールで求めることはありません。必ず公式サイト(appleid.apple.com)から直接ログインして確認
- 送信元アドレスの確認
- 表示名だけでなく、実際のメールアドレス(@より後ろ)を必ず確認。@apple.comでない場合は詐欺
- リンクURLの確認
- リンクにカーソルを合わせ、実際のURLを確認(クリックしない)。appleid.apple.com以外は偽物
緊急対策
- Apple IDの二段階認証設定を確認:公式サイトから二段階認証が有効になっているか確認
- パスワードの変更:少しでも不審なメールに反応してしまった場合は、すぐにパスワードを変更
- 不正課金の確認:App StoreまたはiTunes Storeの購入履歴を確認し、身に覚えのない課金がないかチェック
- Appleサポートへの連絡:被害に遭った場合は、すぐにAppleサポート(0120-277-535)へ連絡
新たに確認された手口【NEW】
今週初めて確認された、または急増している手法を3件紹介します。これらの手口は今後さらに拡大する可能性が高いため、特に注意が必要です。
1. ディープフェイク動画を使ったビデオ会議詐欺
確認日:2025年11月19日
手法:ZoomやTeamsなどのビデオ会議で、AI生成の動画を使って経営層や取引先担当者になりすます
危険度:★★★★★
詳細
海外で多発しているディープフェイク動画詐欺が、ついに日本国内でも確認されました。ビデオ会議で「社長」や「取引先の担当者」として参加し、緊急の送金や機密情報の開示を要求します。AI技術により、顔の動きや表情が本物そっくりに再現されるため、参加者は疑うことなく指示に従ってしまいます。2025年第1四半期だけで、世界全体でディープフェイク詐欺による被害額は約300億円に達しており、日本でも今後急増することが予想されます。
対策
- 本人確認の徹底:ビデオ会議での重要な指示は、必ず別の方法(電話や対面)で確認
- 事前共有の秘密情報:ビデオ会議開始時に、事前に共有した秘密の質問で本人確認
- 録画と記録の保存:重要な会議は必ず録画し、後で確認できるようにする
- 不自然な動きの注意:顔の輪郭のぼやけ、まばたきの不自然さ、音声と口の動きのズレなどに注意
2. QRコード付き偽駐車場料金請求
確認日:2025年11月17日
手法:有料駐車場の正規QRコードの上に、偽のQRコードシールを貼付
被害地域:東京都心部の有料駐車場(渋谷区、港区で複数確認)
危険度:★★★★☆
詳細
コインパーキングの料金支払い機に貼られた正規のQRコードの上に、偽のQRコードシールが貼り付けられている事例が複数確認されました。利用者がスマートフォンでQRコードを読み取ると、本物そっくりの偽決済ページに誘導され、クレジットカード情報や電子マネー情報を入力してしまいます。実際には料金は支払われず、入力した決済情報が盗まれます。
見分け方
- QRコードシールが浮いていたり、重なって貼られていないか確認
- QRコード読み取り後、URLが駐車場運営会社の公式ドメインかを必ず確認
- 決済ページのデザインや文言に違和感がないかチェック
- 可能であれば、現金または駐車場内の機械で直接支払い
対策
- QRコードの目視確認:シールが重なっていないか、剥がれかけていないかをチェック
- URLの確認:QRコードを読み取った後、必ずブラウザのURLバーで正規サイトかを確認
- 運営会社への報告:不審なQRコードを見つけた場合は、すぐに駐車場運営会社に報告
- 現金支払いの活用:可能な限り、駐車場内の現金精算機を利用
3. 生成AIチャットボットによる対話型フィッシング
確認日:2025年11月19日
手法:ChatGPTなどの生成AIを模倣したチャットボットで、自然な対話の中で個人情報を聞き出す
危険度:★★★★☆
詳細
公式を装ったカスタマーサポートチャットに、生成AIを悪用した対話型フィッシングが登場しました。銀行やクレジットカード会社、ECサイトのカスタマーサポートを装い、「本人確認のため」として以下の情報を自然な対話の流れで聞き出します。
聞き出される情報の例:
- 氏名、生年月日、住所
- クレジットカード番号、有効期限、セキュリティコード
- 銀行口座情報、暗証番号
- 過去の取引内容や秘密の質問の答え
特徴
- 人間と区別がつかない自然な日本語
- 24時間365日、即座に応答
- 個人の状況に合わせたカスタマイズされた質問
- 段階的に情報を聞き出すため、警戒心を抱きにくい
対策
- 公式サイトからのアクセス:チャットサポートは必ず公式サイトのものを利用
- 機密情報は絶対に入力しない:正規のサポートでも、チャットで暗証番号や認証コードを聞くことは絶対にない
- 電話での確認:重要な手続きは、必ず公式の電話番号に電話して確認
- URLの確認:チャットボットが表示されているページのURLが公式ドメインかを必ず確認
被害拡大中の注意案件【48時間以内】
現在進行形で被害が拡大している3案件について、最新の状況と緊急対策を解説します。
| 案件名 | 開始時刻 | 現在の被害報告数 | 状況 | 緊急対応 |
|---|---|---|---|---|
| 三井住友カード偽装 | 11/19 20:00 | 約520件/時間 | 拡大中 | メールリンク即ブロック |
| Amazon偽装(プライム) | 11/18 15:00 | 約380件/時間 | 継続中 | 公式サイトから確認必須 |
| ヤマト運輸偽装SMS | 11/17 12:00 | 約1,100件/日 | やや収束 | SMSリンクは絶対に開かない |
案件1:三井住友カード偽装フィッシング【緊急】
現状:2025年11月19日20時頃から、「【三井住友カード】ご利用確認のお願い」という件名のフィッシングメールが大量配信されています。メール文面は本物と完全に一致しており、見分けることが非常に困難です。
手口:
- 「お客様のカードで不正利用の可能性がある取引を検知しました」と通知
- リンク先の偽サイトで「本人確認」として、カード番号、有効期限、セキュリティコード、暗証番号を要求
- さらに、ワンタイムパスワード(SMS認証コード)の入力も要求
- 入力した情報で即座に不正利用が開始される
見分け方:
- 送信元メールアドレスが
@smbc-card.comでない(多くは@vpass-info.comなどの類似ドメイン) - URLが
https://www.smbc-card.com/で始まらない - ワンタイムパスワードをメール経由のリンクで入力させることは絶対にない
緊急対策:
- メール内のリンクは絶対にクリックしない
- 三井住友カードVpass公式サイトまたはアプリから直接ログインして確認
- 少しでも情報を入力してしまった場合は、すぐにカード会社(0120-919-456)に連絡
- カードの利用停止と再発行を依頼
案件2:Amazon偽装(プライム会費更新)【継続中】
現状:2025年11月18日15時頃から継続している大規模フィッシング攻撃です。ブラックフライデーセール開催前のこの時期を狙った計画的な攻撃と見られます。
手口の詳細:
- 「Amazonプライムの自動更新に失敗しました」「お支払い方法を更新してください」というメール
- 「24時間以内に更新しないとアカウントが停止されます」と緊急性を煽る
- リンク先の偽サイトはデザイン、文言、機能が本物と完全に一致
- クレジットカード情報だけでなく、Amazon IDとパスワードも要求
被害の二次拡大:
- 盗まれたクレジットカードで即座に高額商品を不正購入
- Amazon IDとパスワードで本物のアカウントに侵入し、ギフトカードを購入
- 登録されている他のクレジットカード情報も盗まれる
- 住所・氏名・電話番号が他の詐欺にも悪用される
緊急対策:
- メールは削除し、リンクは絶対にクリックしない
- Amazon公式サイト・アプリから「アカウントサービス」→「お支払い方法」で確認
- 実際に支払い方法に問題がある場合も、必ず公式サイトから修正
- 情報を入力してしまった場合:
- Amazonパスワードの即時変更
- クレジットカード会社への連絡とカード停止
- 購入履歴の確認と不正購入の報告
案件3:ヤマト運輸偽装SMS(不在通知)【やや収束傾向】
現状:2025年11月17日12時頃から配信が始まりましたが、報道や注意喚起の効果で被害報告数は減少傾向にあります。ただし、完全に収束したわけではなく、引き続き注意が必要です。
手口:
- 「お荷物をお届けしましたが不在のため持ち帰りました」というSMS
- 「こちらから再配達をご依頼ください」として不正URLを記載
- リンクをタップするとAndroid端末では不正アプリがインストールされる
- iPhone端末ではフィッシングサイトに誘導される
Androユーザーへの被害:
- 不正アプリ(トロイの木馬型マルウェア)がインストールされる
- 連絡先情報が盗まれ、自動的に同様のSMSが送信される(加害者にもなってしまう)
- SMSで届く認証コードが傍受され、二要素認証が突破される
- 電子決済アプリの情報が盗まれ、不正決済の被害に遭う
iPhoneユーザーへの被害:
- フィッシングサイトに誘導され、個人情報とクレジットカード情報を要求される
- 「配送料金の未払い」として少額決済を要求されるケースも
現在の対策:
- SMS内のリンクは絶対にタップしない
- 不在通知は公式サイト(kuronekoyamato.co.jp)またはアプリ「クロネコメンバーズ」から確認
- 不正アプリをインストールしてしまった場合:
- すぐに機内モードにする
- 専門業者に相談してアプリを削除(自分で削除しようとすると被害が拡大する恐れ)
- 銀行・カード会社・電子決済サービスに連絡
- 友人・知人に「不審なSMSが届いても開かないで」と連絡
企業・組織の被害事例(公表済み情報)
今週公表された企業・組織の被害事例を紹介します。いずれも従業員のフィッシング被害が発端となっており、企業セキュリティの重要性を示しています。
事例1:中堅製造業での経営層なりすまし詐欺(11月19日公表)
業種:製造業(従業員約300名)
被害:約1,800万円の不正送金
原因:AI音声クローンによる社長なりすまし電話で、経理担当者が送金してしまった
事案の詳細
11月19日午前10時30分頃、経理担当者の携帯電話に「社長」から直接電話がありました。音声は社長本人の声と完全に一致しており、話し方や口癖まで再現されていました。「取引先への緊急支払いが必要。今すぐ1,800万円を指定口座へ振り込んで欲しい。守秘義務があるため他の役員には相談しないように」という指示を受け、担当者は疑うことなく送金手続きを実行しました。
その後、別の用件で社長に確認したところ、そのような指示は一切出していないことが判明し、詐欺被害であることが発覚しました。すぐに警察と金融機関に連絡しましたが、既に送金先から資金が引き出されており、被害金額の全額回収は困難な状況です。
攻撃者の準備
調査の結果、攻撃者は以下の方法で社長の音声サンプルを入手していたことが判明しました。
- 会社のYouTube公式チャンネルに投稿された経営方針説明動画
- 業界団体のウェビナーでの登壇動画
- 地元ニュースサイトに掲載されたインタビュー動画
わずか数秒の音声サンプルがあれば、AI音声クローン技術で本人そっくりの音声を生成できます。
企業が学ぶべき教訓
- 高額送金の承認プロセス不備
- 1,000万円を超える送金が、一人の判断で実行できてしまった。複数人の承認制度が必要
- 本人確認手順の欠如
- 電話での指示を鵜呑みにし、折り返し確認や他の役員への相談を行わなかった
- 従業員教育の不足
- AI音声詐欺の存在や手口について、従業員への周知が不十分だった
- 公開情報の管理
- 経営層の音声や映像が、容易に入手可能な状態で公開されていた
事例2:地方自治体での情報漏洩(11月18日公表)
組織:関東地方の市役所
被害:職員約120名分の個人情報(氏名、住所、電話番号、メールアドレス)流出
原因:職員がフィッシングメールのリンクをクリックし、ログイン情報が窃取された
事案の経緯
11月15日、複数の職員に「【重要】システムメンテナンスに伴うパスワード変更のお願い」という件名のメールが届きました。メール文面は情報システム課からの正式な通知と見分けがつかないほど精巧で、リンク先も庁内システムのログインページとそっくりでした。
数名の職員がリンクをクリックし、ユーザーIDとパスワードを入力してしまいました。攻撃者はこの情報を使って庁内システムに不正アクセスし、職員名簿データベースから個人情報を窃取しました。
11月17日、外部からの通報により不正アクセスが発覚し、すぐにシステムを停止して調査を開始。11月18日に記者会見で被害を公表しました。
被害の詳細
- 流出した情報:職員約120名分の氏名、住所、電話番号、メールアドレス、所属部署
- 二次被害の可能性:流出した情報を使った標的型攻撃(スピアフィッシング)のリスク
- 業務への影響:システム停止により、一部の行政サービスが3日間利用不可となった
対応策
自治体は以下の対応を実施しました。
- 被害に遭った職員全員への個別連絡と謝罪
- 全職員へのパスワード変更指示
- 多要素認証の導入(2週間以内に実施予定)
- フィッシング対策訓練の定期実施(月1回)
- メールセキュリティシステムの強化
自治体・公的機関への警鐘
公的機関を狙ったフィッシング攻撃が増加しています。理由は以下の通りです。
- 職員数が多く、セキュリティ意識にばらつきがある
- 予算制約によりセキュリティ対策が不十分
- 保有する個人情報の量が多く、攻撃者にとって魅力的
- 被害が公表されるため、攻撃の「成功事例」として拡散される
すべての公的機関は、セキュリティ対策の見直しと職員教育の強化が急務です。
事例3:大学での研究データ流出未遂(11月19日公表)
組織:首都圏の私立大学
被害:研究データへの不正アクセス未遂(流出は防止)
原因:研究室のメーリングリストに届いたフィッシングメールから、複数の研究者がログイン情報を入力
事案の概要
11月18日、研究室のメーリングリストに「論文査読システムからのお知らせ」という件名のメールが届きました。有名な学術出版社を装ったメールで、「あなたの論文が査読を通過しました。以下のリンクから最終版をアップロードしてください」という内容でした。
複数の研究者がリンクをクリックし、大学のアカウント情報を入力してしまいました。攻撃者はこの情報を使って大学の研究データベースへの侵入を試みましたが、幸いにも大学のセキュリティシステムが異常なアクセスを検知し、自動的にアカウントをロックしました。これにより、研究データの流出は防ぐことができました。
大学特有のリスク
| リスク要因 | 詳細 |
|---|---|
| 研究者の国際的な活動 | 海外からのメールが日常的に届くため、不審なメールを見分けにくい |
| オープンな情報環境 | 研究成果の公開を重視するため、セキュリティが後回しになりがち |
| 学生・教員の入れ替わり | 毎年多数の新入生・新任教員が加わり、セキュリティ教育が追いつかない |
| 高価値な研究データ | 最先端の研究データは産業スパイの標的になりやすい |
大学が実施した対策
- 全学生・教職員へのセキュリティ警告:学内システムから緊急メールを配信
- 多要素認証の必須化:研究データベースへのアクセスは多要素認証を必須とする
- VPN接続の義務化:学外から研究データにアクセスする際はVPN接続を必須とする
- 定期的なセキュリティ訓練:学期初めに全員参加のフィッシング対策訓練を実施
- 異常アクセス検知システムの強化:AIを使った不正アクセス検知システムの導入
個人の被害事例と教訓(匿名化)
実際の被害者の声を紹介します。「まさか自分が騙されるとは」という言葉に、フィッシング詐欺の巧妙さが表れています。
事例1:会社員Aさん(40代男性・IT企業勤務)
「IT企業で働いているので、フィッシング詐欺くらい見破れると思っていました。でも、まさか自分が騙されるとは......」
被害額:約75万円
騙された理由:証券会社から届いたメールが本物と完全に一致していた
きっかけ:「24時間以内にご本人様確認が必要です」という緊急性を煽る文言
後悔:メール内のリンクをクリックせず、公式サイトから確認すべきだった
被害の詳細
Aさんは普段から証券口座で株式投資を行っていました。11月18日の昼休み、スマートフォンに証券会社から「不正アクセスの疑いがあるため、ご本人様確認をお願いします」というメールが届きました。
ちょうど昼休みで、スマートフォンでさっとメールをチェックしていたAさんは、時間もなかったため「後で確認すればいい」と思いながらも、「24時間以内に確認しないとアカウントがロックされます」という文言に焦りを感じ、メール内のリンクをタップしてしまいました。
リンク先の画面は、普段使っている証券会社のログイン画面と完全に一致していました。ログインID、パスワード、さらにSMSで届いた二要素認証コードも入力してしまいました。
その日の夕方、本物の証券会社から「不正取引を検知しました」という連絡が入りました。すぐに確認したところ、保有していた株式が勝手に売却され、約75万円が不正な口座に送金されていました。
Aさんからのメッセージ
「ITの知識があっても、『24時間以内』という文言に焦ってしまい、冷静な判断ができませんでした。どんなに急いでいても、メール内のリンクは絶対にクリックしてはいけません。必ず公式サイトやアプリから直接アクセスしてください。自分のような被害者が一人でも減ることを願っています」
事例2:主婦Bさん(50代女性)
「Amazonからのメールだと完全に信じていました。いつも利用しているので、まさか偽物だとは......」
被害額:約32万円(クレジットカード不正利用)
騙された理由:Amazonプライム会費の更新案内メールが本物と見分けがつかなかった
きっかけ:「お支払い方法の更新が必要です」という通知
後悔:クレジットカード情報をすぐに入力してしまったこと
被害の詳細
Bさんは日常的にAmazonで買い物をしており、プライム会員でもあります。11月18日の夕方、「Amazonプライムの自動更新に失敗しました」というメールが届きました。
「また支払い方法に問題が出たのかな」と思ったBさんは、メール内の「お支払い方法を更新する」ボタンをクリックしました。リンク先の画面はいつものAmazonのログイン画面で、特に違和感を覚えることはありませんでした。
ログイン後、「お支払い方法の更新」として、クレジットカード情報の再入力を求められました。「たまに更新が必要になるよね」と思いながら、カード番号、有効期限、セキュリティコード、さらに住所や電話番号も入力してしまいました。
翌日、クレジットカード会社から「不正利用の疑いがある取引がありました」と連絡が入りました。確認したところ、家電量販店のオンラインサイトや転売サイトなどで、合計約32万円の不正購入がされていました。
Bさんの心理状態
「普段からAmazonを使っているので、メールが届いても特に疑問に思いませんでした。それに、以前にも本当に支払い方法の更新が必要になったことがあったので、『またか』くらいの感覚でした。メールのURLなんて、いちいち確認していませんでした」
現在の状況
クレジットカード会社の補償制度により、不正利用された約32万円は全額補償されることになりました。しかし、カードの再発行や各種サービスの登録情報変更など、手続きに多くの時間と労力を費やしています。
「お金は戻ってきましたが、信頼していたAmazonからのメールを疑わなければならなくなったことがショックです。これからはメール内のリンクは絶対にクリックせず、必ず公式サイトから確認するようにします」
事例3:大学生Cさん(20代男性)
「宅配便の不在通知だと思って、何の疑いもなくリンクをタップしてしまいました」
被害額:約8万円(電子マネー不正利用) + 友人・知人への二次被害
騙された理由:ヤマト運輸からの不在通知SMSだと信じてしまった
きっかけ:ネット通販で注文した商品の配達予定日だった
後悔:SMS内のリンクを安易にタップしてしまったこと、友人に詐欺SMSを送ってしまったこと
被害の詳細
Cさんは11月17日、ネット通販で注文した商品が届く予定でした。昼過ぎ、スマートフォンにヤマト運輸からとおぼしき不在通知SMSが届きました。「お荷物をお届けしましたが不在のため持ち帰りました。こちらから再配達をご依頼ください」というメッセージと共に、URLが記載されていました。
「あ、配達に来てたんだ。すぐに再配達を依頼しなきゃ」と思ったCさんは、何の疑いもなくリンクをタップしました。「ヤマト運輸公式アプリをインストールしてください」という画面が表示され、指示に従ってアプリをインストールしました。
その後、スマートフォンの動作が不安定になり、友人から「変なSMSが届いたけど、何これ?」と連絡が入りました。確認すると、Cさんのスマートフォンから、連絡先に登録されている全員に、同様の詐欺SMSが勝手に送信されていました。
さらに、スマートフォンにインストールしていた電子マネーアプリから、約8万円が不正に送金されていることが判明しました。
二次被害の拡大
Cさんのスマートフォンにインストールされた不正アプリ(トロイの木馬)は、以下の活動を行っていました。
- 連絡先情報の全件窃取
- 連絡先の全員に自動的に詐欺SMSを送信(約150名)
- SMSで届く認証コードの傍受
- 電子マネーアプリの認証情報窃取と不正送金
Cさんは自分が被害者であると同時に、友人・知人を詐欺の加害に巻き込んでしまう結果となりました。
現在の対応
- すぐにスマートフォンを機内モードにし、ネットワークを遮断
- セキュリティ専門業者に依頼して不正アプリを削除
- 電子マネーサービスに連絡し、不正送金を報告
- 警察に被害届を提出
- 連絡先の全員に個別連絡し、詐欺SMSへの注意を呼びかけ
- 新しいスマートフォンを購入し、初期設定からやり直し
Cさんからの警告
「配達予定日だったので、全く疑いませんでした。SMS内のリンクをタップするだけで、こんなに大きな被害になるとは思っていませんでした。友人にまで迷惑をかけてしまい、本当に申し訳ない気持ちでいっぱいです。宅配便の不在通知は、絶対にSMS内のリンクからではなく、公式サイトやアプリから確認してください」
海外の注目事例(日本上陸警戒)
日本への波及が懸念される海外のフィッシング詐欺事例を紹介します。これらの手口は近い将来、日本でも確認される可能性が高いため、事前に知識を持っておくことが重要です。
事例1:アメリカ - 大規模AIフィッシングキャンペーン「Riya攻撃」
発生地:アメリカ全土(被害の75%)、EU(10%)
発生時期:2025年1月
被害規模:7,300社以上の企業、4万人以上の個人
手法:ハッキングされた旅行会社のメールアカウントを悪用し、暗号資産投資詐欺を展開
日本上陸予測:1-2ヶ月以内(類似手口が既に確認されている)
攻撃の特徴
Riya(旅行会社)のメールアカウントがハッキングされ、既存の顧客リストを使って大規模なフィッシングメールが配信されました。メールには「ApolloX」「Bitrock」などの暗号資産取引所への投資を勧める内容が記載されており、偽の取引サイトへ誘導されました。
最も深刻なのは、正規の企業アカウントから送信されているため、SPFやDKIMなどのメール認証をすべて通過してしまうことです。従来のメールセキュリティシステムでは検知が困難でした。
日本での予防策
- 取引先からの不審なメールは、別の連絡手段(電話など)で確認
- 暗号資産投資を勧めるメールは基本的に詐欺と疑う
- メール認証だけでなく、メール本文の内容や文脈を重視
- 企業は自社のメールアカウントのセキュリティを強化(多要素認証の必須化、定期的なパスワード変更)
事例2:EU - GDPR偽装による情報収集フィッシング
発生地:ドイツ、フランス、オランダなど
発生時期:2025年3月~
被害規模:推定20万人以上
手法:GDPR(EU一般データ保護規則)の「データ削除要求」を装い、本人確認として個人情報を収集
日本上陸予測:日本版(個人情報保護法)の偽装として、半年以内に発生する可能性
攻撃の詳細
「GDPRに基づき、あなたの個人データの削除要求を受け付けました。本人確認のため、以下の情報を入力してください」というメールが大量配信されました。EUでは個人データの削除要求が法的権利として認められているため、多くの人が正規の手続きだと信じてしまいました。
入力を求められる情報:
- 氏名、生年月日、住所
- パスポート番号または運転免許証番号
- メールアドレス、電話番号
- 場合によってはクレジットカード情報(「本人確認の一環」として)
日本版フィッシングの予測
日本では個人情報保護法に基づく「開示請求」や「利用停止請求」の手続きが存在します。これらを装ったフィッシング詐欺が今後発生する可能性が高いと予測されます。
想定される手口:
- 「個人情報保護法に基づき、あなたの個人情報の開示請求を受け付けました」
- 「マイナンバーカード情報の確認が必要です」
- 「本人確認のため、以下の情報を入力してください」
対策
- 個人情報の開示請求や削除要求は、自分で行った場合のみ対応
- 企業や組織から突然「本人確認」を求められた場合は、公式サイトで確認
- 法的手続きを装ったメールは、必ず公的機関(個人情報保護委員会など)に確認
事例3:東南アジア - 組織化された暗号資産投資詐欺
発生地:タイ、フィリピン、カンボジアなど
発生時期:2024年後半~現在も継続中
被害規模:世界全体で推定500億円以上
手法:SNSでの接近→恋愛感情の構築→暗号資産投資への誘導→出金不可
日本上陸予測:既に日本でも多数の被害が発生中
詐欺組織の実態
東南アジアに拠点を置く大規模な詐欺組織が、以下のような組織的なフィッシング詐欺を展開しています。
| 役割 | 業務内容 |
|---|---|
| リクルーター | SNS(Instagram、TikTok、Facebook)で日本人をターゲットにして接近 |
| オペレーター | 日本語で自然な会話を継続し、恋愛感情を醸成(ロマンス詐欺) |
| 投資アドバイザー | 「私も投資で成功した」として、偽の暗号資産取引所を紹介 |
| テクニカルサポート | 偽の取引画面を作成し、利益が出ているように見せかける |
| 出金担当 | 出金しようとすると「税金が必要」「手数料が必要」とさらに送金を要求 |
典型的な流れ
- SNSでの接触(1週間~1ヶ月):魅力的なプロフィール写真の人物から突然メッセージが届く
- 親密化(1~3ヶ月):毎日のやり取りで恋愛感情を構築、ビデオ通話(ディープフェイク使用)も実施
- 投資への誘導(1週間~1ヶ月):「私も投資で成功した」として、暗号資産投資を勧める
- 少額投資と利益(1週間~1ヶ月):最初は少額投資で利益が出たように見せ、信頼させる
- 高額投資(1週間~1ヶ月):「今が大チャンス」として、大金の投資を促す
- 出金不可(突然):いざ出金しようとすると「税金が必要」「手数料が必要」とさらに要求、最終的に連絡が取れなくなる
日本での被害実態
日本国内でも既に多数の被害が報告されており、警察庁によると2024年のロマンス詐欺被害額は約177億円に達しています。特に40代~60代の独身者が狙われやすい傾向にあります。
見分け方と対策
危険信号:
- SNSで突然知らない外国人(または海外在住の日本人)からメッセージが届く
- プロフィール写真が非常に魅力的で、モデルのような外見
- 短期間で恋愛感情を伝えてくる(「運命を感じる」「あなたは特別」など)
- 投資の話題を頻繁に出す
- 実際に会おうとすると理由をつけて断る
- ビデオ通話の画質が不自然、または顔の動きに違和感
対策:
- SNSで知り合った人物からの投資話は100%詐欺と疑う
- 実際に会ったことのない人物に金銭を送ることは絶対にしない
- 暗号資産取引所は、必ず日本の金融庁に登録された事業者を利用
- 家族や友人に相談する(詐欺師は「秘密にして」と頼むことが多い)
最新の統計サマリー
- 📊 報告件数(11月18日-20日の3日間)
- 3,892件(前週比+15%)うち企業288件、個人3,604件
- 💰 推定被害総額
- 8.2億円(確認済み3.1億円、推定5.1億円)
※確認済み被害額は警察への届出ベース、推定被害額は報告件数から算出 - 🎯 最多手口ベスト5
-
1位:証券会社偽装(22%・前週比+8pt)
2位:EC偽装(Amazon、楽天等)(20%・前週比-3pt)
3位:宅配便偽装SMS(18%・前週比-5pt)
4位:銀行・カード偽装(15%・前週比+2pt)
5位:Apple ID偽装(10%・前週比+1pt) - 🆕 新規手口
- 3件確認(AI音声詐欺、QRコード詐欺、生成AIチャットボット詐欺)
- 📱 デバイス別被害
- スマートフォン:68%(前週比+3pt)
PC:28%(前週比-2pt)
タブレット:4%(前週比-1pt) - 🌍 攻撃元の地域
- 中国・香港:42%
東南アジア:28%
東欧:18%
その他:12% - 👥 年代別被害割合
- 20代:8%
30代:15%
40代:23%
50代:28%
60代以上:26%
最新推移とトレンド分析
11月18日-20日の特徴は、証券会社を標的としたフィッシング攻撃の急増です。背景には、年末の株式市場の活況と、ボーナス時期を狙った計画的な攻撃があると考えられます。
また、AI技術を悪用した新たな手口が複数確認されており、従来の「怪しいメール」という常識が通用しなくなってきています。音声クローン、ディープフェイク動画、自然な日本語のメール文面など、技術の進歩が詐欺の精度を飛躍的に向上させています。
一方で、従来型の宅配便偽装SMSは、メディア報道や注意喚起の効果により、被害報告数が減少傾向にあります。ただし、完全に収束したわけではなく、引き続き警戒が必要です。
今後の予測:
- ブラックフライデー(11月24日)を狙ったEC偽装フィッシングの急増
- 年末調整シーズンを狙った企業の人事部・経理部偽装
- ボーナス時期を狙った投資詐欺・ローン詐欺の増加
来週の注意予報【先読み対策】
予測される脅威と事前対策を紹介します。これらの情報を事前に知っておくことで、被害を未然に防ぐことができます。
🚨 高:ブラックフライデー便乗詐欺(11月24日)
予測:EC偽装メールが通常の5倍以上に急増
標的:Amazon、楽天市場、Yahoo!ショッピング利用者
手口:
- 「ブラックフライデー特別セール!90%OFF」などの魅力的なオファー
- 「クーポンを受け取るにはこちらをクリック」として偽サイトへ誘導
- 「在庫わずか、24時間限定」など緊急性を煽る文言
- 偽のカウントダウンタイマーで焦らせる
事前対策:
- セール情報は必ず公式サイト・アプリから確認:メールのリンクは絶対にクリックしない
- ブックマークの活用:普段から利用するサイトはブックマークし、そこから直接アクセス
- あまりにも好条件のオファーには警戒:90%OFFなど、非現実的な割引は詐欺の可能性大
- クレジットカードの利用限度額を一時的に引き下げる:万が一情報が盗まれても被害を最小限に
🟡 中:年末調整偽装の開始(11月下旬~)
予測:企業の人事部・総務部を装ったフィッシングメールの増加
標的:会社員全般(特に大企業の従業員)
手口:
- 「年末調整書類の提出期限が迫っています」というメール
- 「マイナンバーカード情報の再登録が必要です」
- 偽の人事システムへのログインを促し、個人情報を窃取
- 社内メールシステムを装い、添付ファイル(マルウェア)を開かせる
事前対策:
- 年末調整の手続きは必ず社内システムから:メールのリンクや添付ファイルは開かない
- 人事部への直接確認:不審なメールが届いたら、人事部に電話で確認
- マイナンバー情報の慎重な取り扱い:メールでマイナンバーを送信することは絶対にない
- 社内での情報共有:詐欺メールが届いたら、すぐに社内で共有して注意喚起
🟡 中:ボーナス時期の投資詐欺・ローン詐欺(12月上旬~)
予測:「ボーナスで資産運用を始めませんか」という投資詐欺の増加
標的:30代~50代の会社員、特にボーナス支給のある企業の従業員
手口:
- SNS広告やメールで「月利10%確実」など非現実的なリターンを約束
- 「ボーナス運用キャンペーン」として、偽の投資サイトへ誘導
- 最初は少額で利益を出したように見せ、高額投資を促す
- いざ出金しようとすると「手数料が必要」とさらに要求
事前対策:
- 金融庁登録業者の確認:投資を始める前に、必ず金融庁のサイトで登録業者か確認
- 非現実的なリターンは詐欺:「確実に儲かる」「月利10%以上」は100%詐欺
- 家族や友人に相談:大きな投資判断は、必ず信頼できる人に相談
- 少額から始める:本物の投資でも、最初は少額から始めて様子を見る
よくある質問(FAQ)
- Q1: 最新のフィッシング詐欺事例はどこで確認できますか?
- A: 本ページを毎週月曜日に更新しています。緊急性の高い事例は、発生から24時間以内に掲載するよう努めています。また、フィッシング対策協議会やIPA(情報処理推進機構)のサイトも併せて確認することを推奨します。特にフィッシング対策協議会の「緊急情報」ページでは、リアルタイムで最新の詐欺手口が公表されています。
- Q2: 自分もフィッシング詐欺の被害に遭っている可能性がありますか?
- A: 本ページで紹介した事例と類似のメールやSMSを受信し、リンクをクリックしたり情報を入力したりした場合は、被害に遭っている可能性があります。すぐに以下の対応を行ってください:①該当サービスのパスワードを変更、②クレジットカード会社・銀行に連絡して不正利用をチェック、③二要素認証を有効化、④警察(#9110)や消費生活センター(188)に相談。早期発見・早期対応が被害拡大を防ぐ鍵です。
- Q3: フィッシング詐欺の速報を受け取る方法はありますか?
- A: 現在、当サイトではメール通知サービスは提供していませんが、RSSフィードで更新情報を配信しています。また、IPA「安心相談窓口だより」への登録もお勧めします。さらに、フィッシング対策協議会のX(旧Twitter)アカウント(@antiphishing_jp)をフォローすることで、リアルタイムの情報を入手できます。
- Q4: 企業名が公表される基準は何ですか?
- A: 企業が自主的に公表した情報、または個人情報保護委員会への報告義務により公表された情報のみを掲載しています。推測や未確認情報は一切掲載していません。また、被害企業への配慮から、被害の詳細よりも「学ぶべき教訓」と「対策」に焦点を当てた記述を心がけています。
- Q5: フィッシングメールかどうか確認する方法を教えてください
- A: フィッシングメールを見分ける5つのポイント:①送信元メールアドレスの確認(@より後ろのドメインが正規か)、②URLの確認(リンクにカーソルを合わせて実際のURLを見る、クリックはしない)、③緊急性を煽る文言(「24時間以内」「今すぐ」などは要注意)、④不自然な日本語や文法ミス(ただし最近のAI生成メールは完璧な日本語)、⑤添付ファイルの有無(正規の企業が突然添付ファイルを送ることは稀)。少しでも疑わしい場合は、メールのリンクは使わず、公式サイトから直接アクセスして確認してください。
- Q6: AI音声やディープフェイクの詐欺を見分けることはできますか?
- A: AI音声やディープフェイク動画は年々精巧になっており、完全に見分けることは困難です。しかし、以下の不自然なポイントに注目してください:①音声の場合、予期しない質問への回答に不自然な間がある、背景音が完全に無音または不自然なノイズ、②動画の場合、顔の輪郭がぼやける、まばたきが不自然、口の動きと音声がわずかにずれる、③会話の内容が一般的・抽象的で、具体的な個人情報(「あの時の出来事」など)に触れない。最も確実な対策は、重要な指示や依頼は必ず別の方法(折り返し電話、対面など)で本人確認することです。
- Q7: 家族がフィッシング詐欺に騙されそうです。どう説明すればいいですか?
- A: 高齢者や インターネットに不慣れな方へ説明する際は、以下のポイントを強調してください:①「メールやSMSのリンクは絶対にクリックしない」を鉄則とする、②「○○(銀行名・カード会社名など)からメールが来たら、まず私(家族)に見せて」とルール化、③よく使うサイトはブックマークして、そこからしかアクセスしない、④「緊急」「24時間以内」など焦らせる言葉は詐欺のサイン。また、実際の詐欺メールの例を一緒に見せて、「こういうのが届いたら詐欺だよ」と具体例で説明すると理解しやすくなります。
関連記事・リンク
当サイト内の関連ページ
- フィッシング詐欺とは?2025年最新の手口から対策まで完全ガイド - ピラーページ
- フィッシング被害直後30分の緊急対応 - 被害に遭った場合の初動対応
- AI・ディープフェイクフィッシング詐欺 - AI悪用手口の詳細解説
- 証券会社偽装フィッシング詐欺 - 証券口座を狙う詐欺の全て
- 個人のフィッシング詐欺対策完全ガイド - 今すぐできる対策
関連する攻撃手法
- ソーシャルエンジニアリング - 人の心理を狙う攻撃
- スミッシング・ビッシング - SMS・電話を使った詐欺
- ビジネスメール詐欺(BEC) - 企業を狙う高度な詐欺
- ロマンス詐欺 - 恋愛感情を悪用した詐欺
- 不正アクセス - アカウント乗っ取りの手口と対策
公的機関・相談窓口
- 警察相談専用電話:#9110(平日8:30-17:15)
- 消費者ホットライン:188(いやや)
- フィッシング対策協議会:https://www.antiphishing.jp/
- IPA 情報セキュリティ安心相談窓口:https://www.ipa.go.jp/security/anshin/
- 警察庁サイバー犯罪対策プロジェクト:https://www.npa.go.jp/cyber/
- 国民生活センター:https://www.kokusen.go.jp/
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
- 実際に被害に遭われた場合は、警察(#9110)や消費生活センター(188)などの公的機関にご相談ください
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
- 記載内容は作成時点(2025年11月20日)の情報であり、手口は日々進化している可能性があります
- 被害額等の数値は、警察への届出や報道機関からの情報を基にした推定値であり、実際の被害規模とは異なる場合があります
最新情報をいち早く入手するため、このページをブックマークすることをお勧めします。また、フィッシング対策協議会やIPAのサイトも併せてご確認ください。
情報参照:フィッシング対策協議会、IPA、警察庁、各セキュリティベンダー
更新履歴
- 初稿公開