カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報, 流通・コマースNavi

手口が巧妙化・組織化する詐欺犯罪からビジネスを守る対策とはかっこが勉強会開催、2025年振り返りと2026年の見通し

2026年1月13日8:00

かっこは、クレジットカードの不正利用から闇バイトまで、深刻化する詐欺被害に関する2025年のトレンドと、今後の対策のあり方について考える勉強会を開いた。詐欺・悪質商法に詳しいジャーナリストの多田文明氏とサイバーセキュリティクラウド代表取締役CTOの渡辺洋司氏、かっこ取締役の岡田知嗣氏が登壇し、セキュリティの現場で起こっている事件の背景や、セキュリティ事業者による対策の最前線について語った。

詐欺事件の背後にトクリュウの存在、垣根を超えた連携が重要に

ジャーナリストの多田氏は、「詐欺被害の増加に拍車をかけるトクリュウの存在～クレジットカードの不正利用から闇バイトまで総合的な犯罪対策の必要性～」と題し、取材現場で目撃した詐欺被害の実態などを語った。最近の詐欺事件では、役割分担された組織性が特徴で、警察を語る詐欺では「指示役」をはじめ、詐欺の電話をかける「かけ子」、お金を取る「受け子」、お金を指示役に運ぶ「運搬役」など、役割分担してお金をだまし取る。

もうひとつの特徴は、個人情報を取得してから、詐欺を行うことだ。被害の大きかった証券口座乗っ取り事件の場合は、個人情報を取得してから詐欺を行っている。証券口座のっとりの手口はこうだ。まず、顧客の口座に不正アクセスして、乗っ取る。次に、勝手に株（中国株など）を売買して金銭的被害を負わせる。そして、株価操縦して、株価をつり上げ、事前に購入した株を売却して利益を得る。

多田氏は「これまでのように、被害者の口座からお金を取るのではなく、被害者の口座を踏み台にした詐欺行為であることが新しい手口です。犯罪グループは常に対策を上回ることを考えています。また、詐欺グループは複数あり、お金を増やす方法が指南されている恐れがあります。被害者の話を聞くと、『勝手に株を買われているときに、証券会社に電話をしたが全くつながらなかった』と恐怖を語っていて、企業の急務の対策として、コールセンターの充実やセキュリティ対策の強化が求められています」と警鐘を鳴らす。

クレジットカードの不正利用の場合も、背後にトクリュウの存在があると指摘する。表面だけの対策では、解決することは難しく、トクリュウにメスを入れるなど総合的な対策が重要になるという。また、闇バイトの募集も、「簡単に稼げる仕事」だと思わせて、犯罪であることを巧妙に隠して、SNSなどの募集を通じて応募者を募っているという。

多田氏は「カードの不正利用阻止の対策とともに、犯罪収益を生み出させない、資金洗浄をさせないための取り組みが必要です。不正に口座の売買、アカウントを売買させない、闇バイト募集への啓発、防止などを含めた総合的対策が求められています。犯罪グループは悪の連携をして、金を奪う。カードの不正利用を防ぐためにも、ECサイト、カード会社だけではなく、垣根を超えた、業種、業態の連携が不可欠です」と話した。

生成AI活用により技術を入手しやすく、専門知識がなくても攻撃者に

続いて、サイバーセキュリティクラウド代表取締役CTOの渡辺氏は「2025年の脅威動向と企業防衛の現在地―日本企業が直面した攻撃の実態と2026年への備え―」と題したプレゼンを行った。

2025年の振り返りでは、サイバー攻撃による脅威・実被害ともに増加傾向にあることを紹介した。サイバー攻撃数の推移では、2025年７月から９月の３か月で５億件超のサーバー攻撃を検知（同社サービスへの検知数）した。１日約579万回で、攻撃は絶え間なく発生し、あらゆる規模の企業が標的になっている。

最もセキュリティインシデントが多い業種はサービス業で、全体の約４分の１を占めている。発生原因として最も多いのは「不正アクセス」で、全体の60.7％を占める。Webへの攻撃種別で最も多いのは、脆弱性を探すなどの「攻撃の予兆」である「Web scan」で47％だった。

サーバー攻撃が増え続けている理由としては、「クラウド化・AI化・IoT化による攻撃ポイントの増加」がある。IT環境の複雑化や守備範囲の拡大により攻撃の「入口」となる接点が大幅に増加したほか、クラウド設定の不備やリモート接続のすき間から、外部へのデータアクセスやウイルス感染の標的になっている。生成AI活用による攻撃の「自由化」と「民主化」によって、専門知識がなくても攻撃者になれる状況がある。

「サプライチェーン構造の脆弱性」により、取引先を含めたサプライチェーン全体が標的となり、１社の被害が全体に影響するようになっている。また、「サイバーセキュリティ人材の需給ギャップ」が大きく、日本では約11万人のサイバーセキュリティ人材が不足しているという。

2025年にはDDoS攻撃が2024／2025年末年始に多数発生したほか、生成AIを活用したサイバー攻撃やフィッシングメールによる攻撃、ランサムウェア攻撃などによる被害が目立った。渡辺氏は「詐欺とは知らずに料金の支払い方を尋ねる人もいるようで、ITリテラシーの低い人たちが被害に遭わないような仕組みの構築が急務です」と指摘した。

2026年のサーバー攻撃予測では、AI活用で顕在化する新たなサイバーセキュリティリスクを紹介した。具体的には、AIによる攻撃の難易度低下、AIアプリケーション固有の脆弱性、AI搭載マルウェアによる脅威の高度化などがある。セキュリティ運用のトレンドとして、セキュリティ運用体制の変化、進化し続けるサイバー攻撃環境、セキュリティ運用モデルの変化がある。企業が備えるべき３つのポイントとして、「自動防御の導入」「API周りの保護強化」「運用アウトソース・文化育成」を挙げた。