DIME MAGAZINE
■連載/阿部純子のトレンド探検隊
世界において詐欺の件数、手口の巧妙化、被害規模の深刻さが増す中、詐欺対策を推進するグローバル組織「GASA」が、日本で初となる「詐欺対策カンファレンスJapan 2025」を開催した。
カンファレンスは、グローバルな詐欺対策の最新トレンドや技術、各国の取組みについて共有を目的としており、その中から電話・ネット詐欺アプリ「Whoscall」をはじめとした詐欺対策サービスを提供するGogolookが開催したセッションの模様を紹介する。
金融、EC、決済事業、マッチングアプリの各業界が語る詐欺への対策
本セッションでは「顧客を詐欺から守るには」をテーマに、金融、EC、決済業者、マッチングアプリと、詐欺対策の重要性が高い業界の代表者が登壇し、最新の詐欺手口や、現場での取り組みについてパネルディスカッションを行った。
Gogolook Co., Ltd チーフビジネスオフィサー ボイス・リン氏の進行で、パネリストはアマゾンジャパン合同会社 Customer Trust External Relations Manager 下田絵里氏、株式会社三井住友銀行 サイバーセキュリティ統括部 上席部長代理 武笠雄介氏、株式会社エウレカ ディレクター プロダクトストラテジー&グロース 山田陽介氏、株式会社ネットプロテクションズ atoneグループ リスクチームリーダー 立本航平氏の4名。
〇近年における詐欺の傾向は?
三井住友銀行・武笠氏「最近の詐欺のトレンドとして、金融機関では防ぐのが難しいと問題視されているサポート詐欺があります。Windowsとかトレンドマイクロのウイルス感染画面を装ってアラートメッセージを出し、そこに書かれている番号に電話することで、遠隔操作で振り込みをさせてしまうものです。操作しているのは被害者の端末であり、本人の意思で本人が日頃使っているデバイスで振り込みまで至ってしまうところに対策の難しさがあり、完全な防御が難しいと言われています。
ボイスフィッシングも問題で、電話かけてそこで騙されて振り込みをしてしまうという単純な話でもなく、やり取りの間に非常に具体的で巧妙な手口が使われています。
電話をかけてメールアドレスを聞き出し、そのメールアドレスにセキュリティの更新に関する案内を送る。
一般的なフィッシングは、多くのアドレスに対してスパム的にたくさんばらまくので、ある程度フィッシングメールからIoC(=Indicator of Compromise、システムやネットワークが侵害されたことを示す証拠)を拾うことができますが、そのお客様あてだけに送っているたった一通のインターネットメールが痕跡なので、そこを特定するのは困難です。
攻撃者は電話をつなぎながら案内し、そのURLをクリックした瞬間しかサイトを閲覧させないという手口で、被害者しか閲覧できない状態になっており、フィッシング詐欺が行われているという事実を把握するのは難しくなっています
先日、金融庁からインターネット取引サービスへの不正アクセス、不正取引による被害が急増していると発表されました。証券会社のウェブサイトを装ったフィッシング詐欺は、今年4月だけで、不正売却が約1481億円と大きな被害が出ています。おそらく今後も続いていくと思われる手口ですし、対策を急ぐ必要があると考えています」
ネットプロテクションズ・立本氏「転送詐欺が続いており、今の技術でも止められないという点が、後払い決済をやっている決済事業者として憂慮しているところです。
後払いはクレジットカードと比べて少ない情報量でアカウント登録ができます。電話番号やメールアドレス、住所のような情報のみで数万円の取引ができるアカウントが発行できるサービスなので、ユーザーになりすます不正グループが出てきています。
個人情報は正直なところ、かなり流出している状況で、アカウント登録時点でこのアカウントが詐欺に使われているという判別が難しく、取引が行われてユーザーに督促状が届いたときに判明するケースが頻発しています。
防ぎ切れないのが現状ですが、後払い決済ならではの独自性として、アカウント登録だけでなくて取引審査にかなり注力しています。金融業界でいう送金にあたる部分ですが、後払いの決済事業者はここで取引情報として商品や、いつどこで買ったのかといったデータを常にモニタリングしています。
明らかにおかしい取引群として評価することで、同じグループが裏でつながっている可能性もあり、不正を早期に検知して止めることに注力しています」
エウレカ・山田氏「我々はマッチングアプリを提供しています。古典的なロマンス詐欺は、相手と関係性を一定期間作った後で、例えば借金があるので返さなければいけないと緊急事態を告白してお金を要求するものですが、最近のトレンドとして、投資話と紐づけた新しいタイプのロマンス詐欺が増加しています。
我々としては新しいタイプの詐欺が出てきていることをユーザーさんに認知してもらうことが重要。弊社は自治体と共にイベントを実施することもあるので、その際にマッチングアプリ全体の情報を提供しながら、警察の方にもご登壇いただき、詐欺に対する認知を高めていく努力をしています」
〇企業はどのように詐欺への対策を行っているのか?
Amazon・下田氏「第三者がAmazonを語ったメールを送ることで、支払い情報などを盗み取る行為をフィッシングと定義しています。お客様が不審なメールを受け取った場合、報告フォームをヘルプ&ガイドに設けており、ご報告いただいた情報を活用し、不正行為が疑われるウェブサイトや電話番号の削除を行っています。
2024年はフィッシングサイトが5万5000件以上、不正行為に使われた電話番号が1万2000件以上、世界中で削除されました。
また、送信ドメインの認証技術を活用することでAmazonが送信した正規のメールの方にはAmazonのスマイルロゴ、ブランドのアイコン、公式アカウントであることが示すマークなどを表示して、Amazonからの正規のメールである判別がしやすくなっています。
Amazonにはメッセージセンターがあり、こちらを確認することでAmazonが送信したメールかどうかをお客様自身でご判断していただけます。
不審なメールなどを受け取った場合には、返信やリンクのクリックをせずにAmazonの公式サイトやアプリから直接確認で問い合わせをしていただくようにお願いをしています」
エウレカ・山田氏「お客様を詐欺から守るためのアクションとして、まずは認知の向上。詐欺の手口、自衛手段、特徴など、アプリ内で教育的なコンテンツを提供してお客様に適切にリマインドしていきます。
2つ目は不正アカウントの検知と排除。AIを使いながら、不正のアカウントをできる限り早期に検出して排除していく努力を続けています。マッチンググループ全体で1分間に平均して44件ほどの不正なアカウントを検出して排除していく規模感で行っています。
3つ目はプラットフォームとしての信頼性の担保。マッチングアプリの特徴でもありますが、本人のIDとセルフィーの確認を行ってユーザーさんが実際に話している相手は本人であるか、確認が取れた人かということを、バッジを表示しながら担保しています」
三井住友銀行・武笠氏「技術対策はどの企業もしっかり行っていると思われますが、それでも被害が発生し、騙されてしまう人が出続けている。さらに工夫が必要です。
ひとつの事例として、当行ではお客様にとって大きな脅威になり得る資金の移動の操作をした際には二段階認証を求めます。あなたが何をしようとしているのか具体的に伝えるのです。
資金の移動に至るまで、何段階か認証を行うことで、踏みとどまる方が9割以上いるというのが体感としてあります。ユーザビリティを考えたらスムーズに取引できることが理想ではありますが、お客様が心理的に騙されきっていても、焦らせるとか、気づきのポイントを作るのは非常に重要だと思っています。
詐欺を防ぐためには、セキュリティ部門だけが頑張ってもだめです。法人部門、店舗、省庁とやり取りしている部門、経営企画など、様々な部署が一丸となって対策を打っていかないと被害が出続けてしまいます。
何か起きてから協力し合うのではなく、日頃から例えば社内のグループチャットで、詐欺のトレンドを共有することで、自社に起こった場合どう対応するか、すぐにアクションを起こせるようになります。
お客様への認知としてコンテンツを使ってお届けすることも重要です。メールや公式サイト、アプリではメッセージを表示していますが、被害に遭う人ほど見ていないことが多い。
当行では2年ほど前に大きな被害があったときに、フィッシングメールのテンプレートと全く同じものをお客様に送ったことがありました。
『セキュリティアップデートについて重要なお知らせ』という偽メールでは、タイトルの後に『・・・』やスペース入っているのは詐欺ですと、あえて偽メールの文面を送ることで、こういうメールを受け取ったら偽物だとしっかりと伝えました。
社内でも議論が交わされて、大きなクレームになるのではないかと懸念する声もありましたが、実際は大きな反響を呼んで、お堅い銀行がここまでやるのかとSNSでトレンド入りし、メディアにも取り上げられ話題になりました。
お客様へ詐欺対策の情報を届けるには工夫が必要で、リスクも考えながら実行できる組織づくりが大事だと思っています」
Amazon・下田氏「国内ではフィッシング対策協議会等の関係機関と連携しています。これらの連携を通してさらに多くの情報を得られるようになり、そこからデータ分析などを行い、得られた知見を関係者と共有しています。
さらにAmazonは、業界を超えて他社や法執行機関との連携も進めています。早期に成功を収めた事例として海外のケースですが、2023年にマイクロソフトとインドの中央捜査局と協力して、インド国内で不正のコールセンターを閉鎖することができました。
フィッシングという行為を根源から絶つために、世界中で官民が連携し詐欺ができない環境を作っていくことが非常に重要であると考えています」
ネットプロテクションズ・立本氏「弊社のように少ない情報量で取引審査、会員審査を行う場合、非常に重要となるのが、少ない情報をキーに、どれだけそのユーザーを見極められるかということ。例えば、この電話番号がどれだけの契約期間なのかAPIで返答してくれるサービスとの連携は非常に役立っています。今後も電話番号、住所、メールアドレスといった情報からそれ以外の情報を紐づけてくれる事業者との連携を強化したいと考えています」
【AJの読み】詐欺を防ぐには官民の連携が重要
毎日何十通も届く偽メールに辟易しているが、次第に巧妙化してきて本物のメールと見分けがつきにくいものもある。いつ、どこで騙されるかわからない昨今、セッションでは詐欺のトレンドやその対策が語られたが、いずれの業界も「詐欺被害を防ぐには官民の連携が重要」と口をそろえた。
「仕事を何十年も頑張ってきて第二の人生のために貯めたお金、子どもの大学のための資金、こうした生活の分岐点のために貯めてきたお金が、詐欺に引っかかってしまい一瞬にして失ってしまう。しかもそれを恥と捉えて言い出せない人も多くいます。
自分の失敗で、これから楽しみにしていたことができない、子どもの人生が変わってしまう、こうした悲しみを防ぐことが、大切なお金を預かる銀行という立場の私の一番のモチベーションです。詐欺被害をなくすには業界の枠を超えて官民が連携していくことが大切だと考えています」(武笠氏)
取材・文/阿部純子
最新号
