証券系フィッシング急増の背景に新NISA
見出し
2025年には、証券会社を狙ったフィッシングサイトが大幅に増加し、前年比約960倍に達したことが明らかになりました。
この急増の背景には、2024年1月に始まった新NISAによって証券口座を開設する人が増えたことがあり、口座保有者を狙った攻撃が活発化した可能性があります。主な被害の手口としては、アカウントが乗っ取られた後に保有株式が売却され、その資金で海外株式を購入されるケースが確認されています。金融庁は、不正取引の総額が7,000億円以上にのぼると発表しています。
また、多くの証券会社で導入されている二要素認証を悪用した「リアルタイムフィッシング」の手口も確認されています。これは、ユーザーに認証コードを入力させ、そのコードを犯人がリアルタイムで正規サイトに入力することでログインを完了させるものです。
特にSBI証券やマネックス証券を装ったフィッシングサイトの増加が目立っており、ほぼすべての証券会社が標的となっています。
早稲田大学の森達哉教授は、2025年最大の特徴である証券系フィッシングの急増は、新NISA開始をきっかけに急拡大した新規口座を計画的に標的にしたものと分析しています。フィッシングを足がかりに、アカウント乗っ取り後に保有株式を売却し海外株式の購入に充てる多段階攻撃へと進化した点は、特に注視が必要であると述べています。
インターネット詐欺の手口、偽販売・違法販売が8割超
インターネット詐欺の手口を見ると、偽販売サイトが全体の8割以上を占めていることが分かりました。これらのサイトでは「商品が届かない」「粗悪品が送られてくる」「個人情報を詐取される」といった被害に遭う可能性があります。ブランド品から日用品まで、さまざまな商品が偽販売サイトの対象とされています。
フィッシング詐欺の構成比は減少しているものの、証券会社を装ったフィッシングサイトの増加に伴い、報告件数は実数ベースで前年比60%以上増加しています。
フィッシング詐欺カテゴリとブランドランキング
フィッシング詐欺のカテゴリ別では、「Webサービス」が26%で最多となりました。具体的には、Apple IDを狙う手口や、東京電力(TEPCO)、ETC利用照会サービスを装い、ログイン情報を詐取するケースが報告されています。
次いで、クレジットカードが2位となり、三井住友カードや楽天カードなどのブランドを装ったフィッシングサイトが多数確認されました。証券分野は3位で、前年度から大きく増加しています。
2025年のフィッシングサイトブランドランキングでは、利用者の多いApple IDを狙ったフィッシングが1位となりました。Apple関連のフィッシングは継続的に確認されており、主要な標的であり続けています。
証券会社を装ったフィッシングも増加しており、ランキングではSBI証券が2位、マネックス証券が5位に入っています。国税庁を装ったフィッシングは、確定申告の時期に合わせて増加する傾向が見られます。銀行を装う手口では、大手銀行に加え、JAバンクやゆうちょ銀行、地方銀行などへターゲットが広がる傾向も確認されています。また、2025年は国勢調査の実施に伴い、国勢調査を装ったフィッシングサイトも出現するなど、社会的なイベントに合わせた手口にも注意が必要です。
巧妙化する詐欺の手口と被害防止策
フィッシング詐欺は、メールの文面の自然さが向上し、不自然な日本語や文法の違和感が少なくなっています。背景には、生成AIの活用が進んでいる可能性も指摘されており、本物との見分けがより困難になっているといいます。
フィッシングサイトには「偽の認証画面」が表示されるケースもあり、ユーザーが正規サイトと誤認してしまうリスクが高まっています。
ネット詐欺は手口が複雑化しており、IDやパスワードの窃取だけでなく、「LINEへ誘導する」「偽のサポートを装って電話をかけさせる」など複数の手法を組み合わせるケースが増加しています。加えて、首相の名前を利用した投資詐欺や、警察・検察を装って連絡させ金銭をだまし取る詐欺など、多様な手口も確認されています。
2026年は、より人間の心理につけ込むネット詐欺が増えると考えられます。特に注意すべきなのは、「すぐにログイン」「すぐに連絡」「すぐに支払い」といった緊急性を強調する内容です。こうした手口は、利用者を焦らせ冷静な判断を妨げることを目的としています。そのため、「正規サイトで詐欺の手口を確認する」「公式サポートに連絡してメールの内容を確認する」など、必ず一度立ち止まり確認することが被害防止につながるとされます。
被害防止のポイント
-
メールやSMSで案内されたURLが正規のURLか確認する
- メールやSMSメッセージ上のリンクはクリックせず、事前に登録しておいたブックマークやウェブ検索で正規サイトへアクセスすることが推奨されます。怪しいサイトを診断する無料サービスを利用し、事前にURLをチェックすることも有効です。
-
個人情報やクレジットカード番号の入力を促すメール・SMSに注意する
- クレジットカード会社などでは、個人情報やクレジットカード情報などについてメール・SMSでの問い合わせは行っていないため、情報入力させるページに誘導するメールには細心の注意を払うべきです。
-
ログインID・パスワードの使い回しを控える
- 複数のサービスサイトで同じログインID・パスワードを使い回していると、フィッシング詐欺によってログインID・パスワードが詐取された場合、他のサービスサイトの不正利用被害に遭う可能性が高まります。被害を最小限に抑えるためにもログインID・パスワードの使い回しはせず、サービスごとに登録内容を変更し管理を行うようにしましょう。
-
セキュリティソフトやネット詐欺対策ソフトを導入する
- 犯罪者の手口は日々巧妙化しており、今まで意識してきた対策が通用しなくなる可能性があります。日々進化するネット犯罪に対抗するにはセキュリティソフトを導入することも必要です。不審なサイトにアクセスした際に注意喚起を行ってくれます。
不審なサイトの安全性を確認したい場合は、無料で利用できる「詐欺サイトチェッカー」を活用する方法もあります。ネット詐欺対策ソフトの「みやブル」及び官公庁などから収集したブラックリストの情報をもとに判定を行うもので、気になるサイトのURLがネット詐欺サイトとして報告されているかをチェックすることができます。
詐欺サイトチェッカー: https://checker.miyabull.jp/
ネット詐欺対策ソフトの検知状況
ネット詐欺対策ソフト「みやブル(旧詐欺ウォール)」が2025年に検知した詐欺・不正サイトは1億4535万4170件に上り、前年比で43%増加しました。特に違法アップロードサイトや偽販売サイトなどの検知が上昇しています。2026年も同様の傾向が続く可能性があり、引き続き注意が必要です。
今後の動向と専門家の見解
森達哉教授は、過去1年のデータを俯瞰し、攻撃者の標的選定は「権威性(公式らしさ)」「生活必需性(誰もが使うサービス)」「時節性(社会的関心が高まるタイミング)」の三軸の掛け合わせで読み解けると説明しています。Apple ID(iPhoneなどApple社製品)は「生活必需性」、銀行・証券は「権威性」と「生活必需性」、国税庁、国勢調査、首相官邸、警察検察を装う詐欺は「時節性」と「権威性」の組み合わせと、いずれの事例もこうした枠組みで説明可能であると指摘しています。
さらに、生成AIによる文面の自然化や、LINE誘導、偽サポート電話との複合化が進む中で、「日本語の不自然さで見抜く」という従来の防御指針はもはや有効でない段階に入ったと考えるべきであると述べています。
一方で、2026年に入ってからは証券系フィッシング全体が昨年のピーク比7分の1以下まで減少している(2月度リポート参照)としており、パスキー(FIDO2)導入や多要素認証必須化といった業界横断の対策が効果を発揮し始めていることも、本年の重要な変化であると分析しています。
2026年は、こうした三つの観点を組み合わせた手口がさらに巧妙化し、季節や社会的イベントに合わせて標的を切り替えるキャンペーンが続くと見込まれます。利用者側の備えとしては、メールやSMSのリンクは決してクリックせず、必ず公式アプリやブックマークから正規サイトへアクセスすること、そして「至急」「未払い」「本人確認」といった緊急性を強調する文言を見たときほど、一拍置いて公式窓口に確認することの二点に尽きると強調しています。
ソース元
ネット詐欺リポート2025年 証券系フィッシングが前年比約960倍に増加
https://netsagisoken.jp/