(画像素材:PIXTA)

「ここまで手の込んだ詐欺は初めて」 スマホ乗っ取り不正送金…その手口をITジャーナリストが解説

最新のネットバンキング詐欺の手口とその対策法を、 ITジャーナリストの三上 洋さんが紹介した。

この内容をお届けしたのは、J-WAVEで放送中の番組『STEP ONE』(ナビゲーター:サッシャ・小林涼子)のワンコーナー「SAISON CARD ON THE EDGE」。ここでは5月16日(火)のオンエア内容をテキストで紹介する。  

最新のネットバンキング詐欺に注意!

2023年2月より、インターネットバンキングを使った不正送金被害が急増している。警視庁によると、フィッシングなどの手口による被害額は1月は約4,600万円だったのが、2月は約2億6,800万円、3月は約5億円まで増加。現在も被害が続いている状況だ。

なぜ今、この手の詐欺が急増しているのか? ITジャーナリストの三上 洋さんをゲストに招き、最新の手口や対策について聞いた。

三上:いろんな手口を繰り出してきて、銀行側の対策を打ち破るものが出てきています。新しい手口だと、「SIMスワップ」といって携帯電話の契約を勝手に切り替えるものがあります。

サッシャ:自分のSIMが勝手に変わっているんですか?

三上:はい。それからお爺ちゃんお祖母ちゃんの銀行口座で勝手にネットバンキングを作っちゃうものなど、とんでもない手口があるんです。

ネットバンキングを使った不正送金被害は当初、金融機関の利用者のIDやパスワードを偽サイトや偽メールを介して盗み取る「フィッシング詐欺」によるものが多かった。確認番号表(乱数表)やワンタイムパスワードといった銀行側の対策は、新たな手口によって突破されてしまったという。

三上:そこで次にやった対策が、電話です。ショートメールに数字が送られてきます。これだと、電話番号を持っている人なら大丈夫ですよね。

サッシャ:自分の電話番号だけにしか来ないですもんね。

三上:犯人に見られっこないですからね。ショートメールの認証だったら大丈夫だろういうことだったんですけど、それが今回のSIMスワップ詐欺でやられてしまったんです。

サッシャ:他人が自分の電話番号を持っているということですよね。

三上:偽サイトに行くとIDとパスワードのほかに、なぜか免許証の写真を送ってくださいと誘導してくるんですよ。実際、免許証を登録させるいろんなサービスがあるんですけども、ショートメールに「あなたのネットバンキングが不正送金されて乗っ取られている」という嘘の連絡が来るんですね。本人確認のために免許証を送ってくれたら不正を直します、と言ってくるわけです。それが偽サイトの場合、犯人側が何をするかというと、免許証のデータを使って、リアルな免許証を偽造するんです。

小林:免許証そのものを作るんですね。

三上:先月逮捕された犯人の場合、闇バイトなどで雇った女性の写真で乗っ取る相手の名前の免許証を作ったんです。

サッシャ:写真だけ違う免許証なんですね!

三上:そうです。そして、闇バイトの女性に偽の免許証を持っていかせて、携帯ショップに行きます。携帯ショップだと、本人と本人の顔写真がある身分証明書があれば手続きができますよね。そこで「スマホをなくしました。なんとかしてください」と言うわけです。

サッシャ:同じ番号で違うスマホを作るんだ!

三上:SIMの再発行をするわけですね。

サッシャ:SIMを作られた場合、そもそもの持ち主の番号は使えるんですか?

三上:一瞬で使えなくなります。なので、すぐに気付くんですけども、連絡する手段がないわけです。たとえば公衆電話で電話ができたとしても、すぐには本人確認ができないんですよ。

サッシャ:そうか。証明するためのショートメールを送ろうにも、自分の携帯の番号がないですもんね。

三上:先月捕まった犯人は、闇バイトで雇われた女性1人で約9,000万円送金したんですね。勝手に第三者のネットバンキングをSIMスワップで取りました。ネットバンキングは電話番号が有効だから、その手口で1,000万円送金しちゃったんですよ。

不正利用を疑った銀行は、送金者に確認の連絡をしたという。

三上:「1,000万円を振り込んでいるけど本物ですか?」と確認の電話をしたんですけども、その電話番号は犯人が持っているんですよ。

サッシャ:なるほど。「そうですよ」と言われたら終わりなんだ!

三上:私は十何年この世界にいますけども、ここまで手の込んだ詐欺は初めてです。

ネットバンキング詐欺から身を守る方法は?

詐欺の被害に遭わないために、自分たちができる対策はあるのだろう?

三上:まずは、フィッシングサイトや偽サイトに騙されないことが大切です。

サッシャ:そもそも、そこにアクセスして、免許証などを教えなければ事件は起こらなかったことですもんね。

三上:偽サイトのメールって、すごく焦らせる内容のものが届くんですね。「不正送金がされています」「海外からアクセスされています」といったメールがきた場合はまず疑っていただきたいです。

メールやショートメールに記載されたURLのリンクは絶対にアクセスしてはいけないと三上さんは忠告する。

三上:たとえそれが本物のメールであっても、押さないルールにします。なぜなら、本物か偽物かの判別がめちゃくちゃ難しいからです。

小林:本物のサイトにアクセスする場合は、専用のアプリを使ったほうがいいでしょうか?

三上:そうですね。たとえば不正アクセスのメールがきた場合、専用のアプリでサイトにログインすれば、サイト内でも同じ表示はあるはずです。見れば見るほど不安なメッセージなので、絶対にリンクは押さないというルールにしましょう。困ったことに、ユーザーができる対策はここまでなんですよ。あとは、携帯電話会社と銀行側に頑張っていただくしかない。携帯電話会社の対策としては、携帯をなくしましたと来店された場合、なくしたってことを信じずに電話をかけていただきたい。そこで電話をかければ、本人が出る可能性がありますから。あとは、本人確認の厳重化ですね。SIMはとっても大切なものだから、郵送といった形にしないと不正は防げないんですよ。

サッシャ:本当にスマホをなくしてしまって、今すぐに使いたい人にとってはすごく不便ですね。

三上:現在、eSIMというデータとして入るSIMがありますけども、こちらもいろんな手続き上の穴がこれから発見されると思うんです。実際、アメリカなんかは有名人の乗っ取りがいくつも起きているんですよ。有名人のTwitterが乗っ取られて、原因を調べたらSIMスワップだった例もあります。携帯電話各社はSIMスワップに対して慎重になっていただきたいですね。ネットバンキングの場合、いろんなセキュリティのレベルがありますから、一番レベルが高いものを選んでいただく。パスワードは複雑にして、他と使いまわさない。あとは、ゴールデンウィーク中に各社が対策を施したんですけども、ウェブサイトでは振込を制限して、アプリで振込をやってもらうところも出てきています。

小林:あと、どのバンクを使われたとしても振込限度額を設定しておくのも有効ですよね。

三上:そうですね。ただ、SIMスワップに関しては振込限度額も変えられてしまう可能性があります。

サッシャ:一応の対策として、使わないときは振込限度額を低くしたほうがいいですね。わけのわからないリンクは踏まない。それが基本の対策ですね。

J-WAVE『STEP ONE』のワンコーナー「SAISON CARD ON THE EDGE」では、毎回ニューノーマル時代のさまざまなエッジにフォーカスする。放送は月曜~木曜の10時10分ごろから。
radikoで聴く
2023年5月23日28時59分まで

PC・スマホアプリ「radiko.jpプレミアム」(有料)なら、日本全国どこにいてもJ-WAVEが楽しめます。番組放送後1週間は「radiko.jpタイムフリー」機能で聴き直せます。

番組情報
STEP ONE
月・火・水・木曜
9:00-13:00

関連記事