コラム
【海外事例】デリバリー詐欺の48%は「返金詐欺」 | 新規アカウント大量作成を止める「電話番号...
「届いていない」と言われたら、確かめる術はあるか ある飲食店オーナーが、デリバリーアプリ経由の注文に頭を抱えていました。 注文どおりに調理し、配達員に渡した。にもかかわらず、数時間後に「商品が届いていない」と返金申請が入る。月に何件かなら泣き寝入りも仕方ない、と諦めていたところ、同じ氏名で住所だけが少し違う注文が、別アカウントで何度も入っていることに気づいたといいます。これはフードデリバリー業界に限った話ではありません。後払い決済を使ったECや、無料トライアルを設けるサブスクリプション事業でも、同じ構造の不正が日常的に発生しています。 そして共通する手口は、ひとつに集約されます。 「新規アカウントを大量に作る」という、極めて単純な攻撃です。 本記事では、業界調査が示す不正の実態と、なぜ既存の本人確認手段が突破されてしまうのか、そして「電話番号」という意外な角度からの解決策を整理します。 1. 【海外事例】フードデリバリー詐欺の「48%は返金詐欺」だった オンライン不正検知ベンダーのSift社が公表した調査レポートによれば、フードデリバリープラットフォームで発生している消費者詐欺のうち、約48%が「返金詐欺」に分類されるとされています。(出典:Business Insider Japan掲載のSift社レポート言及記事、2025年2月26日 https://www.businessinsider.jp/article/2503-food-delivery-customers-fraud-asking-for-refunds-orders-they-got/ )返金詐欺とは、商品が正常に配達されたにもかかわらず、「届いていない」「中身が違った」と虚偽の申請を行い、返金や代替品の発送を受け取る行為を指します。記録上は注文・配達ともに完了しているため、店舗側からは反証が難しく、結果として泣き寝入りに近い処理が積み上がっていきます。 レポートが指摘する手口の特徴は、二つあります。 ひとつは「複数のメールアドレスを使い分け、新規アカウントを次々と作成する」こと。もうひとつは「初回限定クーポンや配送無料特典を使い回し、実質的に半額以下で食事を入手する」ことです。返金詐欺と無料クーポン乱用は、同じ人物が同じ手口で連続的に行うケースが多く、業界全体で問題視されています。 2. 後払い決済でも進む「なりすまし注文」 同じ構造の問題は、ECサイトの後払い決済領域でも観測されています。 NP掛け払いやNP後払いを提供するネットプロテクションズ社の運用案内には、第三者が架空の氏名・住所・電話番号を入力し、本人になりすまして商品を購入する事例について、注意喚起と対応プロセスが整理されています(出典:株式会社アスターリンク「NP掛け払い・NP後払いによるいたずら(なりすまし)」https://www.aster-link.co.jp/posts/np-kakebarai/ 後払い決済の構造的な弱点は、購入時点で支払いが発生しないため、本人確認の精度が「氏名・住所・電話番号」程度にとどまる点にあります。クレジットカードのように与信審査やカード情報の照合プロセスが入らないため、「他人の住所や架空の住所を登録し、転送サービスや営業所止めで荷物を受け取る」といった手法が成立してしまいます。 参考までに、日本クレジット協会が2026年3月に公表したデータでは、2025年通年のクレジットカード不正利用被害額は510.5億円で、このうち番号盗用による被害が475.4億円を占めました。番号盗用比率は約93%です。(出典:日本クレジット協会発表、ECのミカタ記事 https://ecnomikata.com/ecnews/marketing/49820/ )被害総額は11年ぶりに前年比減少となりましたが、番号盗用-つまり「なりすまし型」の構造そのものは、依然として9割以上を占め続けています。 カード決済でも、後払いでも、フードデリバリーでも。 不正の入口は、いずれも「アカウントを新しく作る」という同じ動作に集約されているのです。 3. 共通する手口は「新規アカウントの大量作成」 不正のパターンを並べてみると、表層の手口は違っても、根底のメカニズムは同じです。 ・メールアドレスを使い分け、新規ユーザーとして次々に登録する ・入手したカード番号や個人情報を、複数のアカウントに割り当てる ・初回特典・無料クーポン・トライアル価格を、何度も適用させる ・返品・返金・キャンセル申請を、各アカウントから散発的に送る 事業者側の視点で見ると、被害は「個別の不正注文」として計上されますが、攻撃者側から見れば「ひとつのオペレーション」です。一人の人物が複数のアカウントを回しているケースが多く、業界レポートでもこの構造が繰り返し指摘されています。...
お知らせ一覧
AI時代に問われる生体認証の安全性:脅威と対策の最新情報
生体認証はパスワードに代わる便利な認証手段として普及が進んでいます。しかし、AI技術の進化はディープフェイクなどの新たな脅威も生み出しており、その安全性に注目が集まっています。本記事では、生体認証の基礎知識から最新の脅威、そして多層防御やゼロトラストといった有効なセキュリティ対策までを網羅的に解説。AI時代の生体認証を安全に活用するためのポイントが分かります。 1. 生体認証技術の概要 生体認証とは、指紋、顔、虹彩、声、静脈といった個人の身体的特徴や、署名、キーストロークといった行動的特徴など、人それぞれに固有の生体情報を利用して本人確認を行う技術です。従来の知識情報(パスワードやPINコード)や所持情報(ICカードや鍵)による認証方法と比較して、紛失や盗難のリスクが低く、なりすましが困難であるという大きなメリットがあります。また、利用者がパスワードを記憶したり、認証媒体を携帯したりする必要がないため、利便性の向上にも大きく貢献します。デジタル化が急速に進展する現代社会において、オンラインサービスへのログイン、金融取引、施設の入退室管理など、多岐にわたるシーンで生体認証の活用が拡大しており、私たちの生活に不可欠なセキュリティ技術となりつつあります。 1.1 身体的特徴を利用する認証 生体認証技術は、認証に用いる生体情報によって、主に「身体的特徴(Static Biometrics)」を利用するものと、「行動的特徴(Behavioral Biometrics)」を利用するものに大別されます。 身体的特徴を利用する認証とは、個人の身体そのものが持つ不変的な特徴を読み取って認証する方式です。 ■ 指紋認証 概要・仕組み 指先の紋様(隆線パターン)を読み取り、登録された指紋と照合 光学式、静電容量式、超音波式などの方式がある メリット 個人ごとに異なるため認証精度が高い 小型化しやすく、スマホなどに組み込みやすい 比較的低コストで導入できる デメリット・課題 指の乾燥や濡れ、傷などで認証失敗の可能性 残った指紋からの偽造リスク 接触型は衛生面での懸念あり 主な利用シーン スマートフォンやPCのログイン 勤怠管理、入退室管理 キャッシュレス決済端末など ■ 顔認証 概要・仕組み...
お知らせ一覧
多要素認証の必須化、証券会社で加速──急増する不正アクセスとその背景
2025年春、証券業界ではセキュリティ強化の流れが一層加速しています。日本証券業協会の発表により、野村証券や楽天証券を含む大手10社をはじめとした58社が、インターネット取引における「多要素認証(MFA)」の必須化を決定しました。 不正アクセスやフィッシング詐欺の被害が急増する中、オンライン取引全般における本人確認の重要性が改めて注目されています。 本記事では、多要素認証必須化の背景にある最新の被害状況と、証券会社各社が講じている具体的な対策について詳しく見ていきます。 1. 証券会社58社が多要素認証の必須化を決定 背景にあるフィッシング被害の急増 2025年2月から4月16日までの約2カ月半の間に、日本国内の証券会社においてフィッシング詐欺を通じた不正アクセスと不正取引が急増しています。 金融庁の発表によると、不正アクセス件数は3,312件、不正取引件数は1,454件にのぼり、売却金額は約506億円、買付金額は約448億円に達しました。 これらの被害の背景には、証券口座に不正ログインした犯人が保有株式を売却し、その資金で中国株や流動性の低い小型株を大量に購入するという手口が多く確認されていることが挙げられます。 最近では、本物の証券会社のウェブサイトをほぼ完全に模倣した偽サイトが多数出現しており、見た目だけでは判別が難しくなっています。こうしたフィッシングサイトの巧妙化により、従来以上に利用者が誤って情報を入力してしまうリスクが高まっていることも、被害拡大の一因となっています。 ターゲットとなった6社と被害の実態 特に被害が集中したのは、楽天証券、SBI証券、野村証券、SMBC日興証券、マネックス証券、松井証券の6社です。 これらの証券会社はいずれも、インターネット取引に注力している点や、多様な顧客層を抱えている点が共通しており、フィッシング詐欺の標的にされやすい状況にあったと考えられます。 また時代的背景として、近年の投資ブームにより非対面取引を中心とする新規口座開設者が急増していることも影響していると見られます。 新たに投資を始めた層の中には、オンライン取引におけるセキュリティ意識が十分に高くない利用者も多く、こうした状況がフィッシング被害の拡大に拍車をかけたと考えられます。 こうした大規模な不正アクセスの発生は、一般投資家の間に不安感を広げ、金融市場全体への信頼にも影響を及ぼしかねない重大な問題です。 2. 多要素認証必須化に向けた業界全体の対策と具体事例 金融庁が呼びかけるインターネット取引の安全対策 金融庁は、不正アクセスやフィッシング詐欺の被害が相次ぐ中、インターネット取引を行うすべての投資家に向けて、セキュリティ対策の徹底を呼びかけています。 特に重視されているのは、正規のウェブサイトを事前にブックマークしておき、不審なメールやSMSに記載されたリンクを不用意に開かないことです。 加えて、ワンタイムパスワードや生体認証といった複数の認証手段を組み合わせる「多要素認証(MFA)」の活用も推奨されています。これにより、仮にIDやパスワードが漏洩しても、追加認証によって不正ログインを防ぐことが可能になります。 さらに、パスワードの使い回しを避け、定期的に変更するなど、個人レベルで実施できる基本的な対策を講じることでも、被害リスクを大幅に低減できるとしています。 日本証券業協会(日証協)が推進する認証強化施策 日本証券業協会も、加盟する証券会社に対し、セキュリティ強化を目的とした具体的なガイドラインを示しています。その中核となるのが、インターネット取引時の「多要素認証」の導入と必須化です。 2025年4月時点で、すでに58社が多要素認証の導入を決定しており、今後さらに拡大する見込みです。日証協が策定したガイドラインでは、ログイン時や取引時に加えて、出金依頼や登録情報の変更など、複数のフェーズで追加認証を求める仕組みが推奨されています。 こうした取り組みにより、サービスの利便性を保ちつつも、システム全体を網羅的に守るセキュリティ体制の構築が進められています。 楽天証券における多要素認証必須化の取り組み 民間企業における対応事例として注目されるのが、楽天証券の動きです。同社は、ログイン時にメールアドレス宛へ送信される認証コードを使った多要素認証を導入しており、今後はこれを原則としてすべてのユーザーに対して必須化する方針を示しています。 特に、ゴールデンウィーク期間中などを活用して、早期に多要素認証の設定を行うよう利用者に呼びかけており、設定方法についても公式ウェブサイト上で詳しく案内しています。...
お知らせ一覧
「フィッシング詐欺」過去最悪の被害額541億円:最新動向と対策を解説
フィッシング詐欺被害の規模は年々拡大し、2023年の被害額は過去最悪の541億円に達しました。国民生活センターにも数多くの相談が寄せられています。こうした状況を受け、官民一体となった啓発キャンペーンが展開され、消費者向けのチェックリストが公開されています。しかし、これらの対策だけでは十分ではないのが実態です。本記事では、相談事例や現状の対策の課題を整理し、事業者が講じるべき対応策を解説します。 1.フィッシング詐欺の被害額は過去最悪 国民生活センターによると、フィッシング詐欺の被害が急増し、2023年には被害額が過去最悪の541億円に達しました。背景には、インターネット利用のさらなる普及や、オンライン取引が日常化したことが挙げられます。また、詐欺グループの手口が年々巧妙化しており、メールやSMSだけでなく、多様なチャネルを活用してターゲットに接触する事例が増加しています。 消費者庁の報告によると、被害は特定の世代や地域に限らず、幅広い層に広がっているようです。高齢者だけでなく、デジタルに慣れた若年層も被害に遭うケースが目立ち、これまで安全とされていた認証システムを逆手に取るような手法も確認されています。 こうした詐欺が広がる背景には、多くの人が「自分は被害に遭わない」という過信や、忙しい日常で十分な注意が払えない現状もあります。 2.国民生活センターへ寄せられた相談事例 ここでは、実際に国民生活センターへ寄せられた詐欺被害の相談事例について紹介していきます。フィッシング詐欺がいかに日常に潜んでいるかを物語っています。被害者に共通するのは、偽の通知やメールを「本物」と信じてしまう状況に陥った点です。 【事例1】通販サイトからメールが届き、クレジットカード番号を入力したら不正利用された 大手通販サイトから携帯電話に「会員満期通知」という件名でメールが届いた。メールを開く と、「月会費 550 円が引き落としできませんでした」と書いてあり「会員ログイン」という記載が あったのでタップして遷移した。切り替わったページにはクレジットカード番号を入力する欄が あったのでクレジットカード番号を入力した。しばらくして、クレジットカード会社から連絡が あり、第三者に5万円使われたことがわかった。どうすればいいか。(2023 年 5 月受付 年代不明 女性) 【事例2】不在通知の SMS が届き、パスワード等を入力したらキャリア決済で課金された 宅配業者から不在通知の SMS が届き、詳細を確認するために記載されていたリンク先の URL か らログインしてパスワード等を入力した。その後、キャリア決済によって身に覚えのないオンラ インゲームで約1万...
お知らせ一覧
急増するリアルタイムフィッシングの脅威と対策
現代のサイバー攻撃は、かつてないほど巧妙化しており、中でも急増しているのが「リアルタイムフィッシング」です。従来のフィッシング攻撃を進化させ、被害者が入力した情報をリアルタイムで盗み取ることで、瞬時に不正利用が可能となる仕組みです。 本記事では、リアルタイムフィッシングの被害事例や手口、旧来のセキュリティ対策の限界を詳しく解説していきます。リアルタイムフィッシングの脅威を正しく理解し、適切な対策を講じることが重要です。 1.リアルタイムフィッシングによる被害事例 NTTドコモ利用者のケース 2021年9月末から10月初めにかけて、NTTドコモの利用者がリアルタイムフィッシングの手口により、約1億円分のギフトカードを不正に購入される被害が発生しました。被害者は「ドコモお客様センター」からの支払い確認を求める偽のSMSを受け取り、添付されたURLをクリック。 遠隔操作ウイルスを含む偽アプリ「NTTセキュリティ」をインストールさせられる仕組みです。被害者が携帯端末に契約者確認用の暗証番号を入力すると、犯人は即座に盗み、ドコモのオンラインショップで不正購入を行ったと見られます。 従来のフィッシング攻撃と異なり、リアルタイムフィッシングでは、攻撃者が被害者の動作をリアルタイムで監視し、瞬時に情報を利用します。このため、被害者が何が起こったのかを理解する前に、重大な損害が発生するリスクが高まっているのです。 2.リアルタイムフィッシングの手口 偽メールやSMSによる誘導 攻撃者は、まず被害者を偽サイトやアプリに誘導するために、信頼できる企業やサービスを装ったメールやSMSを送信します。例えば、「ご利用料金のお支払いが確認できません」や「アカウントに不審なアクセスがありました」といった内容で、緊急性を感じさせるメッセージがよく使われる手口です。被害者はメッセージに記載されたリンクをクリックしてしまい、偽のログインページやアプリに誘導されます。 偽ログインページと偽アプリの使用 リンクをクリックした被害者は、正規のログインページやアプリに見せかけた偽のページに辿り着きます。この偽ページやアプリは被害者が疑いを持たないよう、本物と精巧に似せて作成されていることが通常です。被害者は、普段通りログイン情報や暗証番号を入力してしまいますが、実際にはその情報は攻撃者のサーバーに送信される仕組みです。 リアルタイムでの情報収集 被害者が入力した情報は、リアルタイムで攻撃者に送信されます。これにより、攻撃者は被害者がまだログイン中である間に、その情報を利用して正規のサービスにアクセスすることが可能になります。例えば、銀行口座にアクセスして送金を行ったり、オンラインショップで商品を購入したりといった不正行為が即座に実行可能です。 即時不正利用の実行 攻撃者は、盗み取った情報を利用して、瞬時に不正な操作を行います。被害者がログインしている間に、攻撃者が同じ情報を使って別のデバイスからアクセスし、アカウントの乗っ取りや資金の不正送金を行うことができます。このプロセスは非常に迅速に行われるため、被害者が異常に気付く前に不正利用が完了しているケースがほとんどです。 3.リアルタイムフィッシングを可能とする仕組み データ転送のリアルタイム性 リアルタイムフィッシングの最大の特徴は、被害者が入力した情報が瞬時に攻撃者へ送られる点です。通常、被害者は偽のログインページやアプリに自分のIDやパスワードを入力しますが、その情報はリアルタイムで攻撃者のサーバーに転送されます。攻撃者は被害者がログインしているその瞬間に、同じ情報を使って正規のサイトにアクセスし、不正行為をできる仕組みです。 中間者攻撃で2要素認証も突破 リアルタイムフィッシングの一部では、「中間者攻撃」という技術が使われることがあります。これは、攻撃者が被害者と正規のウェブサイトやアプリの間に割り込み、通信を傍受する手法です。攻撃者は、被害者が送信するデータを盗み取るだけでなく、被害者と正規サイトのやり取りをリアルタイムで操作することで、2要素認証を突破することも可能です。 例えば、攻撃者は偽サイトを作成し、被害者に「アカウントにリスクがある」と警告するメッセージを送信します。被害者が偽サイトにIDとパスワードを入力すると、それが正規サイトに転送され、セキュリティコードが被害者に送信されます。 被害者がそのコードを偽サイトに入力することで、攻撃者はコードを使って正規サイトにログインし、アカウントを乗っ取ることができるのです。これにより、被害者が全く気付かないうちに、情報が盗まれ、悪用されます。 動的に生成されるフィッシングサイト リアルタイムフィッシングで使用されるフィッシングサイトは、非常に短期間だけ存在し、その後すぐに消えることが多いです。偽サイトは動的に生成され、攻撃者がターゲットを誘導するためだけに使われます。従来のセキュリティ対策では、このような短命なサイトを発見しブロックすることが難しいため、被害を未然に防ぐことが難しくなっています。 4.旧来のセキュリティ対策の限界 静的パスワードの脆弱性 静的パスワードは、最も基本的なセキュリティ手段として広く使用されてきました。ユーザーが一度設定したパスワードをずっと使い続けるこの手法は、シンプルで便利ですが、リアルタイムフィッシングの前では脆弱です。 被害者が偽のログインページに入力したパスワードは、即座に攻撃者に渡ります。攻撃者はその瞬間に、このパスワードを使って正規のサイトにアクセスし、アカウントを乗っ取ることが可能です。 秘密の質問とセキュリティ質問の限界...
お知らせ一覧
ゲームの不正ログイン事例から学ぶ:メール認証の脆弱性とその対策
近年、オンラインゲームにおける不正ログイン事例が急増しています。特に、複数のサービスで同じIDとパスワードを使い回しているユーザーが狙われ、メール認証の脆弱性が悪用されるケースが多くなっている状況です。本記事では、具体的な不正ログイン事例を取り上げ、どのようにメール認証の脆弱性が利用されているかを詳しく解説するとともに、効果的な対策方法を紹介します。 1.オンラインゲームにおける不正ログインの事例 ユーザーのアカウントが不正にアクセスされることで、個人情報の漏洩やゲーム内資産の損失、不正課金等の被害が発生しています。ここでは、具体的な不正アクセス事例を通じて、原因や被害の実態を確認していきます。 任天堂の事例 2020年4月24日、任天堂はオンラインアカウントに対する大規模な不正ログイン事件を発表しました。攻撃者は、他のサービスから流出したIDとパスワードを使用してアカウントにアクセスし、クレジットカードやPayPalを不正利用したものです。被害を受けた可能性があるアカウントは30万に達し、この事態を受けて任天堂はセキュリティ対策として一部のログイン機能を廃止し、被害アカウントのパスワードリセットを実施しました。不正取引が行われたアカウントは全体の1%未満であり、大半のユーザーには返金手続きが完了しています。 Klabの事例 2021年10月27日、ソーシャルゲーム事業を展開するKLab株式会社は、同社が提供する「KLab ID」に対するサイバー攻撃により、2,846件のユーザーアカウントが不正ログイン被害を受けたと発表しました。外部から流出したパスワード情報等を流用するサイバー攻撃「パスワードリスト攻撃」の可能性が高いと分析しています。閲覧された可能性のある情報には、メールアドレスや生年月日などの登録情報、連携アプリの情報が含まれていましたが、パスワード情報は復元不可能な形で保管されているため流出は確認されていないとしています。 警察による注意喚起 不正アクセスが多発していることを受け、警察も注意喚起を呼びかける事態となっています。例えば、鳥取県警察は、ゲームのログイン履歴を確認し、身に覚えのないログインがないかチェックすることを推奨。ログイン履歴の見方がわからない場合は、画面を印刷するかデジカメで撮影して最寄りの警察署に相談するよう呼び掛けています。IDとパスワードの使い回しは非常に危険であり、オンラインゲームだけでなくネットバンキングなど他のサービスでもパスワードの使い回しを避けることが特に強調されている予防策です。 2.メール認証の脆弱性が不正ログインを招く オンラインゲームにおける不正ログインの原因として、メール認証の脆弱性が大きな問題となっています。多くのサービスでは、パスワードを忘れた際にメールアドレスを使ってパスワードをリセットする機能が提供されていますが、実はこの機能が不正アクセスの温床となっているのです。以下では、メール認証の脆弱性がどのように不正ログインを招くのか、その仕組みと問題点を詳しく見ていきましょう。 パスワード再設定機能がメール認証の弱点 メール認証の最大の問題点は、ユーザーのメールアカウントが攻撃者に乗っ取られた場合、パスワード再設定機能を通じて簡単にゲームアカウントへの不正アクセスが可能になってしまうことです。 攻撃者はまず、フィッシングやマルウェアなどの手法を用いて、ユーザーのメールアカウントのログイン情報(IDとパスワード)を入手します。そして、そのメールアカウントを使って、ゲームサービスのパスワード再設定ページにアクセスします。 多くのゲームサービスでは、パスワードを忘れた場合、登録済みのメールアドレスに再設定用のリンクを送信する方式を採用しています。攻撃者は、このリンクをクリックし、新しいパスワードを設定することで、ゲームアカウントを乗っ取ることができてしまうのです。 このように、メールアカウントさえ乗っ取られてしまえば、メール認証を突破するのは容易であり、ゲームアカウントへの不正アクセスを防ぐことは非常に困難です。メールアカウントのセキュリティが破られた時点で、メール認証の意味がなくなってしまいます。 ゲームユーザーにおけるパスワードの使い回しの問題 メール認証の脆弱性が特に問題となるのは、ゲームユーザーの多くがパスワードを使い回す傾向があるためです。 ゲームユーザーの中には、複数のゲームサービスやソーシャルメディアで同じメールアドレスとパスワードを使用している人が少なくありません。特に若年層のユーザーは、利便性を重視するあまり、複数のサービスで同じログイン情報を使い回してしまうことが多いのです。 この状況では、たとえ一つのサービスから情報が流出しただけで、他のサービスのアカウントも危険にさらされることになります。攻撃者は、流出したメールアドレスとパスワードの組み合わせを使って、別のゲームサービスへのログインを試みます。パスワードが使い回されていれば、そのまま不正アクセスに成功してしまうのです。 ガンホーの事例でも、利用者のメールアカウントが不正アクセスにより乗っ取られるケースが多発していました。これは、ユーザーがパスワードを使い回していたために、他のサービスから流出したログイン情報が悪用された可能性が高いと考えられます。 3.不正ログインへのゲーム会社の対処 任天堂:二段階認証 任天堂では二段階認証の設定が任意で可能となっています。二段階認証は、パスワードに加え、スマートフォンの「Google Authenticator」アプリで生成される6桁の認証コードを入力する仕組みです。認証コードは一定時間ごとに更新され、毎回変化し再利用できません。 利用するには、スマートフォンに「Google Authenticator」アプリをダウンロードし、ニンテンドーアカウントのセキュリティ設定ページからQRコードをスキャンしてアプリと連携します。IDとパスワードが漏洩しても認証コードがなければログインできないため、不正アクセスを防ぎ、アカウントのセキュリティを大幅に強化します。 一方で、この方法はゲームユーザーのようなデジタルツールに慣れたユーザーには問題ありませんが、比較的年齢層が高いユーザーを抱える事業者には操作の難易度が高く、敬遠される可能性があります。 ガンホー:電話認証...
お知らせ一覧