2025年7月28日8:05
サイバー攻撃による「深刻な被害」ゼロを目指す一般社団法人サイバーセキュリティ連盟は、2025年7月10日、急増する証券口座の乗っ取り被害に対し、行政・セキュリティ専門家が結集する緊急オンラインセミナーを開催した。2025年に入り、フィッシング詐欺を発端とする証券口座の不正アクセス・不正売買の被害が過去最大規模に拡大。被害件数は累計1万件を超え、売買額は5,240億円を突破した。警視庁による捜査も始まり、証券16社への被害波及、金融庁・日証協による対応強化など、官民一体の対策が進められている中、今回のセミナーは「社会インフラとしての金融サービスの安全性」をあらためて問い直す機会となった。当日は最新の被害傾向、今後の対応方針、そして企業・投資家が講じるべき実践的対策までを共有した。
元経産省で決済業界の不正対策推進
フィッシングによる証券口座被害が拡大
まずは金融庁 ITサイバー・経済安全保障監理官室 専門官 小西啓介氏が登壇した。小西氏は、2021年からクレジットカードなどの取引を規律する割賦販売法を所管する経済産業省 商取引監督課において、不正利用やフィッシング対策(DMARC導入促進など)を削減させる取り組みを行うなど、決済業界のセキュリティ向上にも従事してきた。2024年により金融庁でIT・サイバー関係を統括するITサイバー・経済案保室に専門官として着任している。
インタネットバンキングによる預金などの不正払戻しが増加しており、特に2024年度は、犯罪グループが銀行関係者を騙り、企業に荷電してメールアドレスを聞き出し、フィッシングメールを送付する「ボイスフィッシング」などによる法人口座の不正送金被害が増えている。2024年におけるインターネットバンキングにかかわる不正送金事犯の発生件数は約86億9,000万円となっており、フィッシングがその手口の9割だ。
昨今では、実在する証券会社のウェブサイトを装った偽のウェブサイトなどで窃取した顧客情報によるインターネット取引サービスで不正アクセス・取引が増えている。各証券会社では多要素認証の必須化を進めているが、自身が利用する証券口座で多要素認証を利用し、早急にセキュリティ強化をしてもらいたいとした。日本は資産運用立国に向けた取り組みを推進する一方で、「セキュリティが低い、怖くてサービスが使えない」という声も寄せられているそうだ。小西氏は「フィッシングに耐性のある強固な認証を導入していく必要があります」とした。例えば、2020年には銀行口座と決済サービスの連携先でのインシデントを含め、サービス全体を見たセキュリティ担保が必要だとした。小西氏は「利用者の資産を守る顧客本位の姿勢が重要」だと話す。
警察庁等の検討会でパスキー普及促進などを提唱
金融機関にDMARC導入やフィッシングサイト閉鎖促進
警察庁では、令和5年度に「キャッシュレス社会の安全・安心の確保に関する検討会」を開催。これを受け、令和6年3月に「キャッシュレス社会の安全・安心の確保に向けた検討会 報告書」を取りまとめた。この中でフィッシング対策における技術的対策として、①送信側におけるDMARCの導入促進等、②受信側におけるDMARCの導入促進等、③フィッシングサイトのテイクダウン促進、④次世代認証技術の普及促進、という4つを挙げている。中でもFIDOアライアンスが推奨する「パスキー」は、大手ITベンダーが導入を進めており、日本でもキャリアやショッピングモール、フリマサービスなどで導入が進んでいるが、まだ導入が十分でないそうだ。警察庁の報告書では、関係省庁と連携して、金融機関やEC加盟店などのサービスにおけるパスキーの採用や、利用者に対するパスキーの利用を働き掛ける必要があるとされている。
金融庁でも利用者に対して、フィッシングサイトで、メールやSNSに記載されたリンクからIDやワンタイムパスワードを入力しないように注意喚起を複数回実施している。
また、2022年9月に各金融機関に対し、DMARCの導入やフィッシングサイトのテイクダウンなどを含む、不正送金対策の強化についての要請文を出した。2024年12月には「国民を詐欺から守るための総合対策」を踏まえ、各金融機関に対して、DMARCへの対策促進、フィッシングサイトの閉鎖促進、パスキーの普及促進を求める要請文を発出している。その際、被害が拡大しているから対策を講ずるのではなく、あらかじめ対策を進めてもらいたいとしている。また、対応が不十分な差異は、経営陣自らの問題として対応を求めている。
2024年4月には、警察庁、金融庁、全国銀行協会などの関係機関が協力し、警察庁のウェブサイト、SNSを通じ、金融機関やその法人顧客に向けて、ボイスフィッシングの手口や対策に関する注意喚起を実施した。
