もしあなたの身近な人が、ある日突然ネット詐欺の被害に遭ったらどう思うでしょうか?例えば親しい友人や家族が、自分の証券口座を乗っ取られて大損失を被ったとしたら――他人事では済まされないはずです。実はいま、日本の投資家やネット銀行利用者がまさにそのような深刻なリスクに晒されています。最新の報道によれば、世界中で観測された不審な詐欺メール約7億7千万通のうち8割以上が日本向けだったという衝撃的なデータが明らかになりました。日本語で書かれた巧妙なフィッシング詐欺メールが急増し、証券会社になりすました偽サイトも相次いで確認されています。被害は大手から中堅まで少なくとも17社の証券会社に広がり、今年だけで不正取引件数は数千件、被害総額は実に5,240億円規模に上るといいます。今回は、この前代未聞のフィッシング詐欺被害の実態と、それを許してしまっている日本人のセキュリティ意識の問題点について一緒に考えてみましょう。
日本が標的となるフィッシング詐欺の実態
2025年に入り、フィッシング詐欺による被害が日本で急増しています。金融庁や日本証券業協会の発表によれば、今年1月から5月までに証券口座の不正利用被害が5,958件発生し、合計で5,240億円もの見知らぬ株式の売買が行われたことが確認されています。特に被害が集中しているのは大手の野村證券、SBI証券、楽天証券などですが、それ以外にもコスモ証券、岡三証券、GMOクリック証券など中堅以下も含め合計17社に被害が広がっているのです。これらは単なる金銭被害に留まらず、投資家の大切な資産や信用を根底から揺るがす深刻な事態と言えます。
被害手口の多くは、証券会社や銀行を装ったフィッシングメールです。例えば「緊急のセキュリティ確認」や「口座凍結回避のためログインしてください」といった内容でメールやSMSが送られ、記載された偽サイトのリンクをクリックすると、一見本物そっくりのログインページに誘導されます。何も疑わずにID・パスワードを入力してしまうと、その情報を盗まれ、知らぬ間に証券口座を乗っ取られて株式が勝手に売買されてしまうのです。中には中国株を大量に買い付けるといった手口で、マーケット操作に悪用されたケースも報じられています(犯人は、不正に買い支えて株価をつり上げた後、自分たちが保有する株を高値で売り抜けて利益を得ようとしたと見られています)。
被害がここまで拡大している背景には、「日本人はサイバー犯罪の格好の標的になっている」という現実があります。冒頭で触れたように、米セキュリティ企業プルーフポイントの調査では今年5月に世界で観測された新種の詐欺メール(フィッシングメール)は約7億7千万通と過去最多を更新し、その詳細を分析できた2億4千万通のうち実に81.4%が日本向けだったことが判明しました。つまり世界中の詐欺師が「日本人を狙え!」とばかりにメールを送りつけている計算です。日本人の資産が狙われ、ネット詐欺の格好の餌食になっている現状に、もっと強い危機感を持つ必要があるでしょう。
巧妙化する攻撃手法:フィッシング・キットと生成AIの悪用
かつてのフィッシング詐欺メールといえば、どこか日本語が不自然だったり誤字が多かったりして、「怪しいメールだ」と比較的見抜きやすい面がありました。しかし現在では状況が一変しています。犯人たちは高度なフィッシング・キットと生成AI(人工知能)を駆使し、「言葉の壁」をも乗り越えてきました。プルーフポイント日本法人の増田氏は「従来の日本語の詐欺メールは間違った言葉遣いで見破りやすかったが、生成AIの進歩によって自然な文章を作り出している。『言葉の壁』を突破し、日本が標的にされている」と指摘しています。実際、英語が苦手な日本人を狙って日本語メールで詐欺を仕掛ける海外犯罪グループが後を絶たず、生成AIによって彼らの日本語はもはやネイティブ同様に洗練されたものとなっています。
さらに、フィッシング・キットと呼ばれる犯罪ツールの存在も見逃せません。フィッシング・キットとは、偽のログインページや大量メール送信の仕組みをテンプレート化した攻撃パッケージで、闇市場で売買されています。高度なプログラミング知識がなくてもキットを購入して使えば、誰でも短時間で本物そっくりのフィッシングサイトを何百と作成し、大量のメールをばらまけてしまうのです。事実、2025年4月に日本の証券会社や銀行を狙った大規模攻撃では、「CoGUI(コグイ)」という高度なフィッシング・キットが使われた可能性が指摘されています。CoGUIは日本のユーザーを主な標的とするキットで、Amazonや楽天、PayPay、果ては国税庁にいたるまで日本の有名ブランドを語って1か月に1億通以上もの詐欺メールを送りつける能力を持つと言います。攻撃者はこうしたツールを武器に、より洗練された偽サイトと巧妙なメール文面で私たちの認証情報を盗みにかかっているのです。
これらの新手口は一見すると非常に手の込んだ高度な犯罪に思えますが、裏を返せばサイバー犯罪者にとってはますます容易に大量攻撃ができる時代になったとも言えます。生成AIの活用で日本語の巧拙に悩む必要はなく、フィッシング・キットの汎用テンプレートで効率よく詐欺インフラを構築できる。結果として、サイバー攻撃の「質」と「量」の両面で飛躍的な拡大が起きていると指摘されています。私たち一般の投資家・利用者は、この現実を踏まえて今まで以上に用心深くなる必要があるでしょう。
甘すぎるセキュリティ意識とリテラシーへの警鐘
では、なぜこれほど日本人が狙われるのでしょうか。その一因として、日本人の投資リテラシーやITリテラシーの低さが厳しく指摘されています。率直に言って、ネット上の自己防衛に関する日本人の意識はまだまだ甘いというのが実情です。便利さに慣れてしまい、基本的なセキュリティ対策を怠ったまま大切な資産をオンラインに預けている人が少なくありません。例えば証券会社や銀行が提供している二段階認証(多要素認証)を設定していないユーザーが多いことも、その表れでしょう。日本証券業協会や金融庁は「利用している証券会社で多要素認証が提供されている場合は必ず設定してください」と何度も呼びかけていますが、このアナウンスに初めて気付いたという方もいるのではないでしょうか。
たとえるなら、自動車の免許を持っていない人がいきなり高速道路に飛び出すようなものです。交通ルールも知らない、自動車の運転の練習もしていない人が高速道路(=高度に発達したネット社会)に飛び込めば、大事故に遭うのは想像に難くありません。それにも関わらず、「周りもやっているから」「便利だから」と十分な知識や準備もないままオンライン証券やネット銀行に手を出してしまう人が後を絶たないのです。インターネット上で資産運用や決済を行う以上、サイバー犯罪のリスクとは常に隣り合わせです。本来であれば、最低限のセキュリティ知識(フィッシングメールの見分け方、疑わしいリンクをクリックしない習慣、強力なパスワードや2段階認証の利用など)を身につけておくのは利用者の自己責任と言えるでしょう。残念ながら、その意識が欠けている利用者が多いからこそ、犯罪者側から格好のターゲットと見做され、「日本人はちょろい」と思われてしまっている可能性があります。
もちろん、日本の企業側にもセキュリティ対策の強化や被害発生時の補償制度整備など課題はあります。しかし最終的に、自分の資産を守る第一の防波堤となるのは他でもない自分自身のリテラシーと警戒心です。悲しいかな、現時点では「日本人はサイバー詐欺に引っかかりやすい」というレッテルを貼られているかもしれないという危機感を持ってください。
自分の身は自分で守る覚悟を
ここまで見てきたように、世界規模で見ても日本人を狙ったフィッシング詐欺キャンペーンが異常なまでに増加・高度化しています。もはや「自分は大丈夫」「そんな詐欺メールに騙されるのは一部の人だけ」などと他人事で済ませられる状況ではありません。いつあなたやあなたの大切な人が被害者になってもおかしくないのです。
では具体的にどうすれば良いのか?正直に申し上げて、ここで「〇〇を導入すれば安心です」「△△さえしておけば被害に遭いません」などと安易な解決策を提示するつもりはありません。なぜなら、本来セキュリティ対策というものは自分で調べ、自分で考え、主体的に行うべきものだからです。それができないまま高度にデジタル化された金融サービスを利用するのは、極めて危うい行為と言わざるを得ません。厳しい言い方になりますが、自力で情報収集し必要な対策を取れないようでは、オンライン証券やネット銀行を利用する資格はないと断じても過言ではないでしょう。
幸いなことに、金融庁やセキュリティ専門機関、各証券会社・銀行などからは対策の情報が数多く提供されています。まずは公式サイトのお知らせや注意喚起に目を通し、基本的な安全対策(怪しいメールの無視や削除、公式サイトへブックマークからアクセスする習慣、パスワード管理、二段階認証の利用など)を実践してください。
そして何より、「自分だけは大丈夫」という根拠のない過信を捨て、常に最悪の事態を想定して備える意識を持ちましょう。身近な人が被害に遭って初めて後悔するのでは遅すぎます。ネット社会という高速道路を安全に走り抜けるために、私たち一人ひとりが今一度セキュリティ意識を見直す時ではないでしょうか。
