【解説】“トクリュウ”も手を染めるサイバー犯罪　フィッシング・カードの不正利用などに巻き込まれないためには

2024年10月23日 18時15分

首都圏をはじめ国内各地では「トクリュウ＝匿名・流動型犯罪グループ」による住宅などを狙った強盗事件が多発しているが、一連の事件と同様にSNSの闇バイトで集めた実行犯と秘匿性の高い通信アプリで連絡をとり、フリマアプリ「メルカリ」に架空出品した商品を他人のクレジットカード情報を使って購入して、収益を暗号資産に送金していた「トクリュウ」グループの指示役らが逮捕された。

メールや携帯電話のSMSで銀行口座やクレジットカードのIDやパスワードなどを盗む「フィッシング」や、クレジットカードの不正利用などサイバー犯罪はより巧妙化している。

こうしたサイバー犯罪に巻き込まれないためにはどうすればいいのだろうか。サイバー対策の最前線を取材した。

警察庁が去年行った治安に関するアンケートでは、犯罪被害にあう危険性について「不安を感じる、ある程度不安を感じる」のは、サイバー犯罪が67％と最も高くなっている。

またこの10年で日本の治安について、「悪くなった、どちらかといえば悪くなった」との回答は7割を超え、その理由にあげた犯罪の中でもサイバー犯罪が上位となっている。

JC3（ジェーシースリー）・日本サイバー犯罪対策センターでは、金融や保険、情報通信など100社以上の企業と大学、警察など産官学が結集して、こうしたサイバー犯罪に対処している。

アメリカでは同時多発テロがあった2001年頃からサイバー対策が始まったが、FBIや警察の経験・技術が不足している中で、サイバーを研究していた大学や企業とフォーラムを作って対策が進んだ。10年前に立ち上げられたJC3はその日本版といえる。

警察庁で警備局長などを務めたJC3業務執行理事の櫻澤健一氏は、サイバー犯罪が命に関わる現実の脅威となったと指摘する。

櫻澤氏：
「警察では35年間、基本的にリアルな脅威を取り扱ってきましたが、徐々にリアルな脅威がサイバー上の脅威に変わってきました」「ロシアによるウクライナの攻撃も実は3分の1はサイバー攻撃で、あとの3分の1がリアルな戦争、3分の1が情報戦です。サイバーが現実の脅威となり、人々の命、生活、資産を狙うようになりました」

犯罪情報は公表せず共有

JC3では各企業で起きているサイバー犯罪に関する情報交換が行われているが、あえて公表することを前提にしていないため、詳細な被害情報が共有されて対策に結びついているという。

また警察から派遣されたサイバー捜査官がネット上を監視して詐欺サイトを特定したり、企業からの相談を受けて警察が捜査に乗り出すこともある。

フィッシングなどによるインターネットバンキングの不正送金は、去年は約87億円と前年の6倍近くに急増した。

フィシングの文面も以前は日本語の使い方が不自然だったり、使われていない漢字があるなど偽サイトだと気づくことがあったが、現在は本物のサイトと見分けるのは銀行員でも難しいという。

リアルタイムフィッシングが急増　入力したらアウト

中でも急増しているのが「リアルタイムフィッシング」で、被害者がフィッシングサイトで入力を始めると、犯人はその情報をリアルタイムで見ながら金融機関などの本物のサイトに打ち込んでいく。

ログインIDやパスワード入力のあとに求められる追加認証でも、被害者が入力した秘密の質問などの回答を犯人も打ち込んで、ワンタイムパスワードなどを盗み出す。被害者が偽サイトと気づく前に金を引き出されたり、不正利用が行われてしまう。

櫻澤氏「どんなに追加認証をかけてセキュリティを強化しても、犯人側は突破できてしまいます。入力したらアウトです」

プロバイダーや携帯電話事業者などが怪しいメールに対して、セキュリティソフトで〔SPAM〕表示をして注意喚起する場合もあるが、セキュリティをすり抜けたり、SMSで送られてくるケースもある。

トクリュウのサイバー犯罪　指示役を逮捕

警察庁のサイバー特捜部や埼玉県警などは他人のクレジットカード情報を使って、メルカリやヤフオクで商品を売買する手口で、1億円以上の収益をあげていた「トクリュウ」グループを摘発し、送金先の暗号資産の捜査で指示役を逮捕した。

JC3ではフィッシングなど金融犯罪のほか、クレジットカード犯罪や情報流出の対策にもあたっているが、ショッピングサイトなどでのクレジットカードの不正利用の被害は去年、過去最多の約540億円に上った。このうち約500億円がクレジットカードの偽造ではなくカード情報の盗用によるもので、ネット上ではフィッシングなどで盗まれたクレジットカードの番号や名前、有効期限、セキュリティコードなどの情報が売買されている。

だまし取られた金がATMで引き出されると、防犯カメラなどから犯行グループの出し子や受け子が逮捕されることもあったが、最近は暗号資産の口座に送金されることで追跡が難しくなっている。

また犯行グループは指示役のほか偽サイトの作成、不正口座の開設、金の回収など役割分担をしていて、誰かが逮捕されても線でつながらず、グループ全体の摘発には結びつかないことが多い。また外国に拠点があると解明はさらに難しくなる。

なぜここまでサイバー犯罪が急増しているのか、「儲かるから、捕まらないからです」と櫻澤氏は指摘する。

強盗や金の引き出しはなく、ネット上で完結するサイバー犯罪は「トクリュウ」など犯行グループにとっては捜査の手が及びにくく、今後も警戒が必要だ。

詐欺電話や詐欺SMSをデータベース化して、NTTドコモなど携帯電話事業者と提携し、迷惑電話・SMSの防止サービスを提供している「トビラシステムズ」によると、スミッシングと呼ばれるSMSによるフィッシング被害は、2023年は前年比で1．7倍、2年前と比べると3．2倍になっていて、宅配業者や金融機関、決済サービスを装うケースが多くなっている。

被害は高齢者だけでなく、インターネットを使い慣れている若者らが逆に狙われることも多く、引っ越しや就職、進学などが多い春や秋など新生活シーズンでは手続きや買い物などが増えることからフィッシングへの警戒がより必要だと指摘する。

また名前やID、パスワードだけでなく、本人確認と称して運転免許証やマイナンバーカード、パスポートなどのアップロードを求められて、身分証明書の偽造や携帯電話のSIMカード再発行よる電話やSMSの乗っ取りなどの危険性もある。

メール・SMSのURLには触らない

同社セキュリティリサーチャーの柘植悠孝氏は「被害に遭わないためには基本的にメールやSMSできたURLには触らないことです。金融機関のアプリから入る、公式サイトをブックマークしておく、また迷惑メールやSMSのフィルターサービスを使うことも対策になります」と話している。

万が一、個人情報を入力してしまった場合は分かった時点で、警察やカード会社、消費者センターなどに相談することが求められる。

24時間態勢でフィッシングサイト無効化を要請

みずほ銀行のサイバーセキュリティ統括部では、フィッシング対策やサイバー犯罪の対策などを行っていて、取材した部内にあるサイバーレスポンスチームでは24時間365日態勢で、フィッシングサイトを確認するとサイトのドメインの管理会社など国内外の関連事業者に、メールやWEBフォームなどから連絡をして、ドメインやIPアドレスを無効化するなど利用者がサイトを見られなくするように要請をする。

犯行グループは利用者のメールやSMSにフィシングサイトのURLなどを送りつけているが、利用者が見る前にサイトが閉じられれば犯行を未然に防ぐことになる。

また別の部署ではインターネットバンキングの監視をしているが、モニタリングのシステムには不正取引を抽出する数千を超えるルールが組み込まれている。

利用者に対して普段とは違うIPアドレスからのアクセス、暗号資産業者への不審な送金などがあると画面上に表示され、インターネットバンキングを一時的に止めて利用者と連絡を取り、取引の正当性を確認しているという。

一方で、犯行グループが勝手に定期預金や投資信託などを解約したり、カードローンを契約して不正送金する手口が、国内の金融機関では確認されているという。

フィッシングを行う犯行グループは複数確認されているが、ある銀行をおよそ2週間狙ったあと、ほかの銀行にターゲットを移したり、利用者の口座から数万円から数十万円単位に分けて複数回に渡って送金するなど、リアルタイムで銀行側の対応を確認しながら不正の発覚を逃れようとしているとみられる。

偽メール・SMS　平日は早朝や通勤途中、休日は夕方以降に警戒

フィッシングのメールやSMSは、平日は通勤途中や昼休みを狙って早朝に、また休日は出先からの帰宅途中や帰宅するタイミングを狙って夕方に送られることが多く、その時間帯の被害が目立つという。

こうしたサイトの作成元は中国など海外が多いとみられているが、国内にも拠点がある可能性がある。

チームには都道府県警察から出向しているメンバーもいて、情報交換や担当者のスキルアップにつながっているという。

警察からの出向者「犯行はリアルタイムに狙われるケースもあれば、数ヶ月かけて少額を送金させるケースもあって、攻撃してくる犯人側の視点が分かるようになりました。犯人側が嫌がる防止プログラムの開発にも携わっていて、警察に戻ったら捜査にもいかしていきます」

チームのメンバーに顧客の預金を守る仕事について聞いた。

みずほ銀行　森三千代氏：
「以前、営業店でお客さまと接してきたことで、銀行を名乗って取引制限等のお知らせがきたら慌ててアクセスしてしまうであろうということはイメージできます。そうしたお客さまを守りたいと思っています。みずほ銀行からみずほダイレクトのログイン情報の入力をお願いするURLをメールやSMSで送ることはないということをお伝えしたいです」　

みずほ銀行　竹内司氏：
「不正送金された資金を使い、また新たな犯罪へとつながっていくので、犯罪の連鎖や拡大を止めたいという思いです。過去、被害に遭いかけたご家族から感謝の言葉をいただくこともあり、やりがいを感じています。一方、インターネットの世界はすべての利用者が常に危険と隣り合わせであり、すぐ近くに犯罪者がいるという認識をもった利用をお願いしたいです」　

みずほ銀行　八子浩之氏：
「以前はサイバーセキュリティの会社にいましたが、被害を抑えるには犯人検挙が一番の対策だと思っています。今後、オンライン取引などが増えていけば、インターネットバンキングが様々な詐欺に悪用されることが考えられるので、他の金融機関や警察との連携を深めたいと思います」　

公式アプリ、公式サイトからの入力が基本

被害に遭わないためには「メールやSMSで送られてくるリンクやURLをクリックしない、クリックをしてもその先のページで個人情報は入力しない」ことが鉄則だ。

スマートフォンであれば金融機関などの公式アプリを使い、パソコンならブックマークに公式サイトを事前に登録しておくことになる。ただし、その際も、正規サイト以外からアプリをダウンロードすることは避けたい。また、検索エンジンのページトップなどにある「スポンサー枠(広告表示枠)」に鉄道会社の偽サイトのURLが表示されたこともあり、正規サイトの検索の際にも十分な注意が必要だ。

JC3の櫻澤氏は「先進技術は便利ですが、一定のリスクが存在しています。大人から子供まで、どこに住んでいても犯罪に巻き込まれない保障はありません。企業の対策や個人のリテラシーはもちろん必要ですが、何かあればサイバーセキュリティの専門家を数千人抱えている警察に相談してほしい」と話している。