シアトル – 米国で最も深刻なサイバー脅威となるのがフィッシング詐欺です.サイバー犯罪者は銀行や政府機関,配達サービスなどの信頼できる機関を装って,個人情報を収集しようとしています.米国捜査庁(FBI)の2026年インターネット犯罪報告では,こうしたフィッシングメールやテキストメッセージが大多数のサイバー犯罪を引き起こしているとされています.
攻撃の規模は非常に大きく,2026年第1四半期にマイクロソフトの脅威インテリジェンスは約83億件のフィッシング攻撃を検出しました.一方で,テキストメッセージによるフィッシング(スミシング)が現在の主な攻撃手段となっています.昨年観測されたすべてのサイバーカモフラージュの30%を占めています.
フィッシング攻撃はメールやテキストメッセージに限られません.サイバー犯罪者はインスタントメッセージアプリやソーシャルメディア,悪意のある広告,偽のQRコード,コピーしたウェブサイトなどを通じて被害者を狙っています.
「2010年代に使われていた手口は今ではまったく違うのです」.セキュリティ企業マラウェイバイトズの消費者ビジネス担当責任者マーク・ビア氏は語りました.「彼らの技術は今でははるかに進化しています」.
フィッシングは非常に利益が高く,ビア氏は「悪意のある人物たちは,マーケティング会社が顧客獲得に投資するように,人々をだまそうとするためにお金を投資しているのです」と述べました.
「フィッシング」という語は1995年頃に正式に使われるようになりました.これはデジタルの「誘い」を使って被害者に敏感な情報を共有させる犯罪者のことを指します.
「ナイジェリア王族」メールの時代はもう遠く,そのメールは通常タイポや文法ミスが多かったものです.しかし,ほとんどのフィッシング攻撃は今も社会工学的手法を用いています.恐怖や緊急性,好奇心,感情的な誘いを使って,ユーザーが自分のセキュリティを脅かす行動をとるように誘導しています.
例えば,パッケージの問題があると偽装したメールや,駐車場料金を支払っていないと警告するメール,または税金確定書に問題があると警告するメールなどが含まれます.これらはユーザーが即座に反応するように設計されています.
最新の攻撃は非常に高度で,見分けるのが難しくなっています.ここでは,偽の招待メールと偽のCAPTCHAフォームの2つの例を紹介します.
詐欺師たちは,誰もがパーティーなどの社交イベントの招待メールを開くことに気づいているため,エビテやペーパーレスポスト,パンチボウルなどの有名な招待プラットフォームを装った悪意のある招待メールを送っています.
「恐怖や緊急性は多くの詐欺メールに共通していますが,必ずしも必要ではありません」.非営利団体「身分盗難資源センター」のCEOエヴァ・ベラスケス氏は語りました.「エビテ詐欺では,犯罪者があなたのつながりや社交的な欲求を利用して,予期せぬリンクをクリックさせようとしています」.
リンクをクリックすると,重大な被害が生じる可能性があります.たとえば,あなたのデバイスにマルウェアがインストールされ,サイバー犯罪者があなたの個人情報を盗むか,または詐欺師が作成したコピーのウェブサイトにリダイレクトされ,メールアカウントのパスワードを入力させられることになります.これはあなたのメールアカウントへのアクセスを許可し,重大な影響を与える可能性があります.
「メールアカウントは,あなたの情報の鍵です」.ベラスケス氏は警告しました.「サイバー犯罪者があなたのメールアカウントを侵害すれば,他のアカウントのパスワードをリセットできる可能性があります.そのため,メールパスワードはログイン以外の理由で入力しないでください」.
送信者のメールアドレスを確認してください.招待メールは常に公式な企業のURLから送信されます.個人のメールアドレス(例:Gmail,Yahoo,Hotmail)が使われている場合は,偽です.
多くのウェブサイトでは,ロボットと人間を区別するためにCAPTCHA認証を実施しています.通常は,画像のグリッドに表示されたオブジェクト(例:信号機,車,自転車など)をクリックするか,画面に表示された歪んだ文字や数字を入力するように求められます.
CAPTCHA認証は頻繁に見られるため,ユーザーは自動的に指示に従って次の画面に進むことがあります.しかし,マラウェイバイトズは警告しています.この攻撃の巧妙さは,日常的な作業に不自然な指示を混ぜることにあります.
CAPTCHA詐欺には多くの変種がありますが,最も一般的なのは,ユーザーのクリップボードに自動的にコピーされる悪意のあるコマンドです.それに加えて,Windowsのランダイアログボックス(Win + R)で実行する指示が含まれています.以下の画像はマラウェイバイトズから提供されたものです.左は本物のCAPTCHA,右は偽物の例です.
自己防衛のために,本物のCAPTCHAは決して以下のような指示を求めることがありません:
Twitterの共有: フィッシング詐欺が1日14回AIで巧妙に
