注目すべき脅威 TOP3
第1位:生成AIによるフェイク動画・音声
最も注目された脅威は「生成AIによるフェイク動画・音声」でした。近年、人工知能(AI)が自動でコンテンツを作り出す「生成AI」の進化により、本人の声や顔に似せた動画や音声を短時間で作成できるようになりました。これにより、詐欺の説得力が飛躍的に高まっています。
この技術は、ロマンス詐欺や投資詐欺、SNSを使った勧誘型の詐欺(リクルーティング詐欺)だけでなく、家族や勤務先になりすまして緊急の送金を促したり、本人確認(KYC:金融機関などが顧客の身元を確認すること)を突破しようとしたりするなど、複数の脅威と結びついて高度化しています。今後は、通話やビデオ通話、音声メッセージといった身近な連絡手段が、詐欺の入り口として悪用される可能性が非常に高まると考えられます。
第2位:フィッシングメール・偽メール
第2位は、古くから存在する脅威である「フィッシングメール・偽メール」です。「フィッシング」とは、偽のウェブサイトやメールを使って、ユーザーの個人情報(ID、パスワードなど)をだまし取る詐欺のことです。しかし、その手口は大きく変化しています。
特に問題となっているのが「リアルタイムフィッシング」です。これは、ログイン情報だけでなく、二要素認証(パスワードに加えて、SMSで送られてくるコードなどで本人確認を行うこと)に使われる認証コードまでもその場で奪い取る手口で、二要素認証を設定していても被害につながるケースが増えています。また、生成AIによって日本語がより自然になり、メールやSMS、SNSのダイレクトメッセージ(DM)でも、不審な点を見抜きにくくなっています。証券口座、銀行口座、ECサイトのアカウントなど、資産に直結するサービスが狙われやすいのも近年の特徴です。
第3位:QRコードを用いた詐欺(クイッシング)
第3位は「QRコードを用いた詐欺(クイッシング)」でした。QRコードは、QR決済の普及に加え、店舗での注文、ログイン、各種手続き、キャンペーン応募など、私たちの日常のさまざまな場面で使われています。
しかし、QRコードは見た目だけではリンク先を判断しにくく、偽のサイトへ誘導されても気づきにくいという課題があります。例えば、チラシや店頭の掲示物、宅配物の案内、駐車場の精算機など、「その場で読み取ってしまう」ような状況では、被害が拡大しやすくなります。今後もQRコードの利用が増えるにつれて、詐欺に悪用される機会も増えるでしょう。
利用者とサービス提供者に求められる対策
今回選定された脅威の多くは、利用者の注意だけでは完全に防ぐことが難しいのが実情です。利用者が「不審なリンクを開かない」「急かされても送金やログイン、個人情報の入力をしない」といった基本的な行動をとることはもちろん重要ですが、それだけでは限界があります。
そのため、SNS、金融、決済、EC、通信、アプリ配信、広告事業者などの「サービス提供者側」にも、より一層の対策強化が求められます。
-
なりすまし・詐欺広告への対策強化: 著名人や企業をかたる広告や投稿が被害の入り口となることがあります。広告審査や出稿者確認の強化、通報への迅速な対応、なりすましアカウントの検知・凍結の徹底が必要です。
-
フィッシング耐性の高い認証への移行: SMS認証や、利用者に入力させるタイプの認証コードは狙われやすくなっています。パスワードを使わずに生体認証などでログインする「パスキー」などの新しい認証技術の導入支援、異常なログインの検知、リスクに応じた追加認証、ログイン時や送金時の注意喚起など、多層的なセキュリティ設計が重要です。
-
不正送金・不正利用の検知と被害抑止: 金融、決済、ECサービスでは、端末変更、短時間での高額取引、通常とは異なる地域や時間帯からの操作など、異常な兆候を前提とした検知・保留・確認を行う仕組みが求められます。
-
QRコード悪用への設計面の配慮: 利用者がリンク先を確認しやすい表示、短縮URLの扱い方、正規ドメインの明確化、偽サイトの迅速な遮断など、QRコードを読み取らせるだけで完了しないような安全設計が必要です。
-
正規マーケット・アプリ配布の管理強化: 正規のアプリストアであっても、悪意のあるアプリや不適切な広告が混入する可能性を前提に、審査・監視・削除の強化と、被害発生時の迅速な情報周知が重要です。
スマートフォンを安全に利用するためには、技術だけで被害を100%防ぐことは難しくなっています。だからこそ、利用者が「よくある手口」を知り、迷ったときに立ち止まれるような情報提供が欠かせません。同時に、被害の入り口を減らすためには、サービス提供者側が設計と運用の両面で対策を強化することが不可欠です。
JSSEC利用部会は、今後も利用者視点で安心・安全なスマートフォン利用環境を目指し、具体的で分かりやすい情報発信を継続していくとのことです。
より詳細な情報は、JSSECのウェブサイトで確認できます。