セキュリティニュース

飯田信用金庫 信用金庫騙るフィッシング詐欺に警告 新手口「2026年超大型抽選会」を確認

飯田信用金庫(長野県飯田市)は2026年1月、「全国信用金庫協会」や「信用金庫」を騙る不審な電子メールに関する注意喚起を発表した。新たに「信用金庫ご利用様限定!2026年超大型抽選会」と題したフィッシングメールが確認されたという。iPhone 17 Pro Maxやハワイ旅行などの豪華賞品を餌に、顧客情報の入力を促す手口だ。サイバーセキュリティメディアCCSIによる技術的検証では、メール認証(SPF)の失敗、不審な送信元ドメイン、フィッシングサイトへの誘導など、詐欺であることを示す複数の証拠が確認されている。従来から確認されているポイント加算や口座凍結、ワンタイムパスワード補正を装うメールに加え、新たな手口が追加された形だ。同金庫は、顧客情報の確認や入力、インターネットバンキングのID・パスワードの入力を求めるメールを送信することは一切ないと強調している。

「全国信用金庫協会」や「信用金庫」を騙った不審な電子メールにご注意ください|飯田信用金庫より引用

「2026年超大型抽選会」で誘導

飯田信用金庫によると、新たに確認されたフィッシングメールは「信用金庫ご利用様限定!2026年超大型抽選会」というタイトルで送信されているという。差出人は「信用金庫」を名乗り、全国信用金庫協会が実施する抽選会への応募を装っている。

メールの本文では「2025年も、たくさんの素敵なご縁をありがとうございます」などと感謝の言葉を述べた上で、「昨年度信用金庫ご利用のユーザー様のみを対象」として抽選会への応募を促している。応募資格を「2025年度利用歴のあるお客様」に限定することで、信憑性を高める工夫がされている。

豪華賞品で関心を引く手口

メールには、Apple iPhone 17 Pro Max(最新モデル)、Apple Watch Series 11とAirPods Proのセット、ハワイのラグジュアリーホテル滞在5日間ペア旅行券、国内線往復ペア航空券と星野リゾート宿泊券、Amazonギフトカード100万円分、高島屋・伊勢丹商品券50万円分、ティファニーのダイヤモンドペンダント、エルメスのシルクスカーフセットなど、多数の豪華賞品が列挙されているという。

これらの賞品は実在する高級ブランドや人気商品ばかりで、受信者の関心を引きやすい。応募締切を「2026年1月18日23時59分」と具体的に設定し、緊急性を煽る手法も使われている。

フィッシングサイトへの誘導

メールの本文中には「応募はこちら」というリンクが設置されており、クリックするとフィッシングサイトに誘導される仕組みだという。飯田信用金庫が公開した資料によると、フィッシングサイトでは都道府県、地区、金庫名を順にクリックさせ、最終的にログイン画面に遷移する。

ログイン画面では、選択した信用金庫のロゴと名称が表示され、インターネットバンキングのIDとパスワードの入力を求められる。正規のサイトと見分けがつきにくい精巧な作りになっているとみられる。

ポイント加算を装うメールも継続

飯田信用金庫によると、従来から確認されているフィッシングメールも継続して送信されているという。「【信用金庫】【お知らせ】2025年10月のポイント加算が完了しました」というタイトルのメールでは、4920ポイント(4920円相当)が加算されたとして、受取手続きを促す内容となっている。

メールには「加算ポイント数」「加算日」「加算対象取引」などが具体的に記載され、「受取期限は2025年11月12日」と期限を設定することで、早急な対応を求めている。ポイントはPayPayポイント、dポイント、楽天ポイントなどに交換可能とし、実在するサービス名を使って信憑性を高めている。

口座凍結を装う脅迫的手口

「【全国信用金庫協会】【重要】お客様の口座が凍結されました」というタイトルのメールも確認されているという。このメールでは、「異常な取引が発覚」「マネー・ローンダリングに関わる恐れ」などと不安を煽る文言を使用している。

「犯罪収益移転防止法に基づき」「当社ご利用規約第5条1項3に基づく」といった法的な表現を用いることで、正規の通知であるかのように装っている。さらに「ご回答いただけないお客さまにおかれましては、法的な措置まで講じさせていただく場合がございます」と脅迫的な文言で回答を強要する手口だ。

システム不具合を口実にした手口

「【信用金庫】【重要】ワンタイムパスワード補正する必要があります」というタイトルのメールも複数確認されているという。これらのメールでは、「2025年12月18日1時50分頃より、信用金庫における系統金融機関宛て振込の一部機能において、不具合が発生している」などと、システムトラブルを装っている。

ワンタイムパスワードの時刻ずれが生じる可能性があるとして、「専用ページ」での補正作業を促す。「補正対応が完了していない場合には、一部サービスのご利用に影響が生じる可能性」「補正を実行しない口座に対しては利用制限をかかる恐れ」などと警告することで、受信者の不安を煽っている。

時刻と日付の具体性で信憑性を演出

これらのメールに共通する特徴は、日時を具体的に記載することで信憑性を高めようとしている点だ。「2025年12月18日1時50分頃」という細かな時刻指定や、「2026年1月18日23時59分」という応募締切の設定など、実際のシステム障害や期間限定キャンペーンであるかのように装っている。

信用金庫が絶対にしないこと

飯田信用金庫は、全国信用金庫協会および同金庫では、以下の内容で顧客にメールを送信することは一切ないと明言している。第一に、顧客情報の確認や入力を求めること。第二に、キャッシュカードの暗証番号の確認や入力を求めること。第三に、インターネットバンキングのID・パスワード等の確認や入力を求めること。第四に、現金等の支払いを要求すること、だ。

これらの行為を求めるメールは、すべて詐欺だと判断してよい。正規の金融機関が、メールでこのような情報を求めることは、セキュリティ上あり得ない。

リンクや添付ファイルに注意

飯田信用金庫は、不審なメールを受信した場合の対処法として、絶対にリンクを開かないこと、添付ファイルを開かないこと、メールへの返信を行わないこと、カスタマーサポートやヘルプデスクへの連絡をしないこと、当該メールを削除することを挙げている。

特に重要なのは、インターネットバンキングのID・パスワード等の入力を絶対に行わないこと、「画像認証カード」の写真撮影やコピーの送付なども絶対に行わないことだという。

フィッシングサイトの危険性

飯田信用金庫によると、フィッシングメールに記載されたリンクを開くと、金銭的な被害にあうおそれや、コンピュータウイルスに感染する可能性があるという。

フィッシングサイトに誘導され、IDやパスワードを入力してしまうと、攻撃者に認証情報を盗まれる。その情報を使って不正ログインされ、預金の不正送金や個人情報の窃取などの被害に遭う可能性がある。また、リンク先がマルウェアをダウンロードさせるサイトの場合、パソコンやスマートフォンがウイルスに感染する危険性もある。

金融機関を狙うフィッシング詐欺の増加

信用金庫を騙るフィッシング詐欺は、近年増加傾向にある。信用金庫は地域密着型の金融機関として、高齢者を含む幅広い年齢層の顧客を抱えており、攻撃者にとって狙いやすい標的となっている。

特に、信用金庫のインターネットバンキングは、大手銀行と比べてセキュリティ意識が低い利用者が多いと攻撃者に認識されている可能性がある。また、信用金庫の顧客は地域の中小企業経営者や個人事業主も多く、一定の預金残高がある場合が多いため、不正送金の被害額も大きくなりやすい。

手口の巧妙化と多様化

今回の事例からも分かるように、フィッシング詐欺の手口は年々巧妙化している。従来のポイント付与や口座凍結といった手口に加え、抽選会やシステムトラブルなど、新たな口実が次々と考案されている。

豪華賞品を提示する手口は、受信者の射幸心を刺激し、判断力を鈍らせる効果がある。iPhone 17のような最新製品やハワイ旅行など、多くの人が関心を持つ賞品を並べることで、「もしかしたら本当かもしれない」という心理を作り出している。

実在の組織名を悪用

全国信用金庫協会という実在の組織名を使用している点も、詐欺の特徴だ。多くの人は全国信用金庫協会の正式な活動内容を詳しく知らないため、「協会が抽選会を実施している」と言われても、真偽を判断しにくい。

また、メールの文面も丁寧な日本語で書かれており、以前のフィッシングメールに見られたような不自然な表現は減少している。これは、日本語が堪能な人物が関与しているか、AI翻訳技術の向上によるものと考えられる。

技術的検証で明らかになった不正の証拠

サイバーセキュリティメディアCCSIが、実際に受信したこのフィッシングメールを技術的に検証した結果を公開している。その検証によると、このメールが詐欺であることを示す複数の技術的証拠が確認されたという。

検証では、メールのヘッダ情報、認証結果、送信元サーバー、リンク先ドメインなど、多角的な分析が行われた。これらの技術的分析により、フィッシングメールであることが科学的に証明されている。

メール認証に失敗

CCSIの検証によると、このメールはSPF(Sender Policy Framework)認証で「SOFTFAIL」という結果が出たという。SPFは、メールの送信元サーバーが正規のものかを検証する仕組みだ。

SOFTFAILは、送信元IPがドメインの許可リストに含まれていないことを意味する。つまり、「信用金庫」や「全国信用金庫協会」を名乗っているが、実際にはこれらの組織から送信されたメールではないことが技術的に証明されている。

正規の金融機関から送信されるメールは、SPF認証で「PASS」となるはずだ。認証に失敗している時点で、なりすましメールであることがほぼ確定する。

不審な送信元ドメイン

CCSIの検証によると、このメールの送信元として表示されているアドレスは「mail14@mail14.ailexpresspt.com」だったという。このドメイン「ailexpresspt.com」は、信用金庫や全国信用金庫協会とは一切関係がない。

さらに、このドメインの登録日を調査すると、2025年1月14日と極めて最近だという。正規の組織が使用するドメインであれば、長年にわたって使用されているはずだ。直近に登録されたドメインから送信されているという事実は、フィッシング目的で作成されたものであることを強く示唆している。

フィッシングサイトのドメインも判明

メール本文中のリンクは「shinkoniab.com」というドメインを使用していたという。このドメインも、信用金庫の正規ドメインではない。正規の全国信用金庫協会のドメインは「shinkin.org」だ。

「shinkoniab.com」は、「shinkin」(信金)を含むことで正規のドメインであるかのように見せかけているが、まったく別の組織によって運営されているフィッシングサイトだ。このような紛らわしいドメイン名を使用することは、フィッシング攻撃の典型的な手口だ。

送信元サーバーの所在

CCSIの検証によると、このメールの送信元サーバーのIPアドレスは日本国内に位置していたという。ただし、IPアドレスが日本国内であることが、正規のメールであることを意味するわけではない。

攻撃者は、日本国内のサーバーやクラウドサービスを悪用してフィッシングメールを送信することがある。また、正規のサービスのメール配信機能を不正に利用している可能性もある。IPアドレスの所在地だけでは、メールの真偽を判断できない。

技術的検証の重要性

一般の利用者が、メールのヘッダ情報やSPF認証結果を確認することは困難だ。しかし、セキュリティ専門家による技術的な検証は、フィッシングメールの実態を明らかにする上で極めて重要だ。

今回のCCSIの検証により、このメールが詐欺であることが科学的に証明された。このような検証結果が公開されることで、同様のメールを受信した人々が被害に遭うリスクを減らすことができる。

一般ユーザーができる確認方法

技術的な検証は専門家でなければ困難だが、一般ユーザーでもいくつかの簡単な確認方法がある。第一に、メール内のリンクにマウスカーソルを合わせて(クリックせずに)、実際のリンク先URLを確認すること。正規の組織であれば、その組織の公式ドメインが使われているはずだ。

第二に、送信元のメールアドレスを注意深く確認すること。今回の事例では「ailexpresspt.com」という、信用金庫とは無関係のドメインが使われていた。第三に、組織名で検索して、同様の詐欺メールに関する注意喚起が出ていないか確認すること。多くの場合、金融機関が先行して警告を発している。

情報を入力してしまった場合の対処

飯田信用金庫は、万が一ID・パスワードや暗証番号等を入力してしまった場合は、直ちにパスワード等を変更するとともに、取引している信用金庫に連絡するよう呼びかけている。

認証情報を入力してしまった場合、攻撃者は即座に不正ログインを試みる可能性がある。気づいた時点で速やかにパスワードを変更することで、被害を最小限に抑えることができる。また、金融機関に連絡することで、口座の一時凍結など適切な対応を取ってもらえる。

セキュリティ業界の役割

CCSIのようなサイバーセキュリティメディアや研究機関が、フィッシングメールを技術的に検証して結果を公開することは、社会全体のセキュリティ向上に貢献している。

これらの検証結果は、一般ユーザーが判断する際の参考になるだけでなく、メールセキュリティシステムのフィルタリング精度向上にも役立つ。フィッシングドメインの情報がブラックリストに登録されることで、同じメールが他の人に届く前にブロックできる可能性が高まる。

定期的な注意喚起の重要性

飯田信用金庫は、全国信用金庫協会のホームページ上の注意喚起ページを参照するよう案内している。全国信用金庫協会は、フィッシングメールの事例を定期的に更新して公開している。

金融機関としては、新たな手口が確認されるたびに顧客への注意喚起を行うことが重要だ。飯田信用金庫が今回、新しい手口を追加した形で注意喚起を発表したことは、顧客のセキュリティ意識を維持する上で有効な取り組みといえる。

地域金融機関のサイバーセキュリティ課題

信用金庫のような地域金融機関は、大手銀行と比べてサイバーセキュリティ対策に投じられるリソースが限られている場合が多い。しかし、フィッシング詐欺の標的は大手銀行だけでなく、地域金融機関にも広がっている。

地域金融機関は、高齢者の顧客比率が高く、インターネットバンキングのセキュリティに関する理解が不十分な利用者も少なくない。このような顧客層を守るためには、技術的な対策だけでなく、継続的な啓発活動が不可欠だ。

利用者自身のセキュリティ意識

フィッシング詐欺への最も有効な対策は、利用者自身のセキュリティ意識を高めることだ。金融機関がメールでIDやパスワードを求めることは絶対にないという基本原則を理解しておくことが重要だ。

また、メールに記載されたリンクからログインするのではなく、必ずブラウザのブックマークや公式アプリからアクセスする習慣をつけることが推奨される。メールのリンクは、たとえ正規に見えても、フィッシングサイトに誘導される可能性があるためだ。

今後の展望

フィッシング詐欺の手口は、今後も進化を続けるとみられる。AI技術の発展により、より自然な文章や精巧な偽サイトの作成が容易になっている。また、SMS(ショートメッセージ)を使ったスミッシングや、音声通話を使ったビッシングなど、新たな手法も登場している。

金融機関は、新たな脅威に対応するため、セキュリティ対策を継続的に強化する必要がある。同時に、顧客への教育と注意喚起を怠らず、官民一体となってフィッシング詐欺に対抗していくことが求められる。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,