ネット上の資産を守る！フィッシング詐欺対策5つのポイント

フィッシング詐欺とは、金融機関や有名企業などを装った犯罪者がメールやウェブサイトなどを活用してユーザーの個人情報を盗み出す詐欺のことです。フィッシングのスペルは「phishing」で、「魚釣り（fishing）」と「洗練された（sophisticated）」を組み合わせた造語だといわれています。

下記がフィッシング詐欺の手口の典型例です。
①金融機関（を名乗る犯罪者）から「あなたの口座が不正アクセスの被害に遭い、取引が制限されています」などとメールが届く
②解除するためにメール内のURL（アドレス）から金融機関のウェブサイト（のように見せかけた偽のサイト）にアクセスさせ、ログインIDやパスワードを入力させる
③犯罪者にログインIDやパスワードが漏えいし、口座内のお金が奪われたり使われたりする
メールだけでなく、ウェブサイトに張られたリンクやSMS（ショートメッセージサービス）、SNSなどから被害に遭うケースも報告されています。

2025年、急激に話題になったのが証券会社（ネット証券）への不正アクセスや不正取引です。実在する証券会社を装って偽のサイト（フィッシングサイト）に誘導してログインIDとパスワードをだまし取ります。
金融庁によると、証券会社への不正アクセス・不正取引件数・被害額は次のようになっています。

＜不正アクセス・不正取引の件数・金額＞

• この表は横にスクロールできます

金融庁「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」より（株）Money＆You作成

2025年1月・2月の段階では、不正アクセス件数はまだそれほど多くなかったのですが、3月になると急増し、4月のピーク時には5,351件もの不正アクセスが発生しています。この件数はあくまで「判明した件数」ですから、実際にはもっとたくさんの不正アクセスが起こっている可能性が高いでしょう。
不正アクセス件数が増えるとともに、不正取引件数も増えています。特に4月は、売却金額・買付金額ともに1,000億円を大きく上回る規模になっています。

今回の証券会社を利用した不正アクセス・不正取引では、不正アクセスした口座の株などを売却し、その資金で別の国内外の小型株を買い付ける取引が多数発生しています。
犯罪者はあらかじめ自分の口座で対象の小型株を購入し、不正アクセスした口座を使ってその小型株を大量に購入します。大量の買い注文を受けてその小型株の株価が上昇したところで、自分の口座の小型株を売却すれば、購入価格と売却価格の差額が犯罪者の利益になります。犯罪者は口座の資産を直接盗み出すのではなく、相場操縦を行って間接的に儲けているようなのです。

被害者の口座には、不正に買われた株がそのまま残ります。それを売れば、いくらかは資産を取り戻せるでしょう。そのため、厳密には不正取引の売買金額が「被害総額」となるわけではありません。とはいえ、保有していた資産が勝手に売られ、知らない株を勝手に買われることは、由々しき事態です。

2025年5月・6月には、多要素認証の対応など金融機関側の対策が整ってきたこともあり、不正アクセス・不正取引の件数も減少に転じています。しかし、犯罪者の手口が巧妙化することで、新たな被害が生まれる可能性は十分にあります。「自分が被害に遭うことはないだろう」と対策しないでいると、いつの間にか被害者になってしまう可能性もあります。フィッシング詐欺に遭わないよう、しっかり対策を講じておきましょう。
ここでは、5つの対策を紹介します。

多要素認証とは、ウェブサイトへのログイン時など、本人確認を行う際に2つ以上の情報を組み合わせる認証の方法です。
認証には大きくわけて3つの情報の要素があります。

• 記憶情報…パスワード・「秘密の質問」・PINコードなど、本人だけが覚えている情報
• 所持情報…スマホ・パスワード生成トークンなど、本人だけが持っているものの情報
• 生体情報…顔・指紋・虹彩など、本人の体の特徴の情報

万が一、フィッシング詐欺にあって「記憶情報」であるIDやパスワードが盗まれてしまったとしても、ID・パスワードの入力後に「所持情報」であるスマホに届くメールのワンタイムパスワード（30秒程度で更新される1回限りのパスワード）がないとログインできない…となれば、不正アクセスを防げます。あるいは、ID・パスワードの入力後に「生体情報」である顔認証が求められる設定にすることもよいでしょう。記憶情報だけでなく、所持情報や生体情報を組み合わせた多要素認証を設定することで、不正アクセスを大きく減らせるでしょう。

古典的なようで、意外としている方が多いのがパスワードの使い回しです。「キーボードの配列順」「名前＋誕生日」、果ては「password」というパスワードにしている方もいるようです。パスワードを使い回し、一度どこかのサイトや金融機関で漏えいしたら、他のサイトや金融機関でも使えるかもしれないと総当たりでチェックされ、被害が拡大する恐れがあります。できるだけ、英語の大文字・小文字、数字、記号も組み合わせた、他人に推測されにくいパスワードを設定しましょう。また、金融機関の口座に直結するサイトへの登録が複数あるなら、それぞれ別のパスワードにしましょう。

フィッシングサイトやフィッシングメールのアドレスは、公式のアドレスと1文字違うだけなど、わかりにくく偽装されていることがあります。小文字の「o」（オー）のはずが数字の「0」（ゼロ）になっている、小文字の「l」（エル）のはずが数字の「1」（イチ）になっているというような例があります。さらに、公式のアドレスと同じように偽装してあり、まったく同じ文字列に見えるにも関わらず実は偽物だったという事例もあるようです。それと気づかず、届いたメールやSMSなどのアドレスからサイトに遷移しようとすると、フィッシングサイトにアクセスしてしまうかもしれません。

あらかじめ公式サイトのURL（アドレス）をブックマークしておき、そのブックマークからしか金融機関のサイトにアクセスしないようにした方がよいでしょう。

たとえばログイン後の画面に「最終ログイン日時」と表示されることがあります。自分がログインしていない時間にもかかわらず最終ログイン日時が更新されていたら、不正アクセスの被害に遭っている可能性があります。また、金融機関によっては取引したことをメールなどで知らせてくれる場合もあります。身に覚えのない売買などがあったら、不正アクセスされている可能性が濃厚です。

インターネットカフェやホテルなどにある、誰でも自由に利用できるPCのように、他人が利用する可能性のある端末では、情報が漏れてしまう可能性もあります。公共の場などにある無料のWi-Fiも同様です。なかにはセキュリティ設定が不十分なものもあります。通信内容が盗まれる可能性もあるのでご注意ください。
また、パソコンを使う場合は、Windowsなどの基本ソフトや、インターネットを見るためのアプリ（ブラウザ）を最新の状態に更新し、修正プログラムが適用されていることを確認しましょう。

フィッシング詐欺の手口は巧妙です。一説には、生成AIの影響によって誰でも「自然な日本語」が使えるようになったことがフィッシング詐欺増加の要因になっているもいわれています。「自分だけは大丈夫」と思わずにフィッシング詐欺への対策をしておくことが大切です。

それでも、フィッシング詐欺に遭ってしまうこともあるかもしれません。そんなときは慌てずにまずはお使いの金融機関に連絡しましょう。金融機関では被害の拡大を防ぐ処置を行うとともに、警察の相談窓口を紹介してくれますので、警察にも連絡しましょう。行動を起こさなければ被害が拡大する恐れもあるのですから、最優先で手続きしましょう。

なお、イオン銀行では今回紹介したスマホによる認証（ワンタイムパスワード）や合言葉の認証を取り入れています。また、通帳アプリから取引履歴も手軽に参照できますので、定期的にログインして第三者による取引がないか確認するとよいでしょう。
その他、イオン銀行のセキュリティ対策に関する詳細はこちらをご覧ください。

フィッシング詐欺被害に遭わないためには、自衛が何より大切です。できる対策を早めに取り入れ、安心して金融機関を利用できるようにしましょう。

• 本ページは2025年7月時点での情報であり、その正確性、完全性、最新性等内容を保証するものではありません。また、今後予告なしに変更されることがあります。