マルウェアから詐欺へ 変化したサイバー攻撃に対抗するには

ネットの危険がマルウェアから詐欺にどんどん集約されてきているという主張がある。マルウェアはソリューションで対応できるが、詐欺にはどうしたら対抗できるのだろうか。

[宮田健，キーマンズネット]

　もはや個人に対しては、マルウェアによる攻撃よりも「フィッシング」攻撃の方が大きな脅威となっている。PCを使うならウイルス対策ソフトをまずインストールすることは一般ユーザー層にも分かっている。だが、フィッシングはどう対策すればよいのだろうか。

トレンドマイクロの岡本勝之氏

　セキュリティベンダーのトレンドマイクロは法人向けソリューションの提供に加え、コンシューマー向けには「ウイルスバスター」を提供している。マルウェア対策に加えて、フィッシングについても大きな脅威だと捉えているという。そこで、同社の岡本勝之氏（セキュリティエバンジェリスト）に、昨今の個人を狙うフィッシング攻撃の現状と対策、そして法人組織では何を注意すべきなのかを聞いた。

ネットの危険が詐欺に集約されてきた

　岡本氏は「数年前ぐらいからネットの危険が詐欺にどんどん集約されてきている」と述べる。2019年には大きな影響を与えたマルウェア「Emotet」がメール経由で拡散していた。数年前とは「そのEmotetの活動がほとんど停止したタイミングだ」と言う。海外では現在も情報窃取型（インフォスティーラー）をはじめ、ばらまき型のメールは引き続き影響力がある。だが、日本語のマルウェア拡散メールは減少傾向にあり、代わりに詐欺、つまりフィッシングを狙うメールに置き換わっている。これが個人向けでフィッシング対策が重要視されている理由だ。ではどうすればよいのか。

　岡本氏は詐欺対策の基本として、「個人が手口を知り、だまされないように注意することだ」と指摘する。テレビ番組でも特殊詐欺の文脈で注意が喚起されているように、フィッシング詐欺に関しても不審な手口を認識することが第一歩となる。

　しかし、実際にフィッシングサイトなどにアクセスしてしまった場合、被害者がその場で詐欺に気付くことは困難だ。ここで技術的な対策が役立つ。トレンドマイクロをはじめとするセキュリティベンダーは不正なWebサイトやメールを判定したり、ブロックしたりする技術を提供している。単純なブラックリスト方式に加えて、メールの形式や送信元、誘導先URLに不審な点がないかどうかレピュテーション（評価）に基づいて判断する方式を採用している。

　「最悪な状況になってしまうまでに気が付かないことがある。そのときは不正サイトや不正なメールを判定してブロックする技術的な対策の出番だ。レピュテーションの技術を使うことで、既知の脅威だけでなく、新たに登場した不正サイトにも対応ができる」（岡本氏）

　ユーザーが使う機器によって脅威が異なることにも注意が必要だ。PCではマルウェアの脅威が相対的に下がったが、スマートフォンに関しては不正なアプリの脅威は残っている。岡本氏は「不正アプリも依然としてSMS経由で拡散している」と述べた。これも詐欺のインフラとして利用される側面があり、結局はネット詐欺につながるものとして位置付けられている。

　スマートフォンでは通話と組み合わせた詐欺も目立つ。心理的な弱点を悪用する「ロマンス詐欺」などの被害が広がっている。被害者に前向きな感情を持たせることで、よりだまされやすくする工夫だ。岡本氏はこれに対して「いったん立ち止まり、考えること」を推奨する。大手セキュリティベンダーが協力し活動する取り組み「STOP. THINK. CONNECT.」を紹介しつつ、「詐欺に対しては冷静に考えることが重要だ。何かあったときに一旦立ち止まり、考え直してみることが必要だ」と述べる。

法人でも詐欺対策が必要に

　法人に対してもフィッシングをはじめとする詐欺被害は増えている。金銭を目的とした詐欺が横行しており、特に法人の銀行口座が狙われるケースが増加してきた。

　これまでもビジネスメール詐欺など、メールを用いたフィッシング詐欺が横行していた。現在はこれに加えて経営層の名前を語る「CEO詐欺」をはじめ、自動音声などを使った電話による詐欺が目立ち始めた。このような新しい手口が最初のアクセスポイントになって、そこからフィッシングサイトへ誘導されるパターンが確認されている。このような詐欺の被害に遭わないようにするには、悪性ファイルのブロックだけでなく、情報入力時の警告や情報の持ち出し対策なども視野に入れる必要がある。これまで「情報漏えい対策」として導入してきたソリューションが詐欺対策にも応用できるはずだ。

　法人を攻撃する目的が金銭であれば、送金プロセスの対策も重要だ。ビジネスメール詐欺では送金先を急に変更する指示があったとき、だまされて送金プロセスを開始する前に、複数の人間が承認することで被害を防ぐことができた。「このようなプロセス的な対策が、法人ではより重要になる」と岡本氏は述べた。

法人インターネットバンキングを狙ったフィッシングの事例（提供：トレンドマイクロ）

　法人と消費者の関係を利用したフィッシングに対抗するには、利用者に向けて「パスキー」を提供することが最もよい。だが普及に時間がかかっているのが現状だ。この点についても岡本氏は「昨今の証券会社に対する不正アクセスへの対応状況を見ても、利用者の利便性よりも資産保護の観点を重要視するようシフトしている。今後はパスキーのような認証方法の標準化が進むだろう」と指摘する。

人の脆弱性を突く詐欺ではソリューションで何ができるのか

　では、このような詐欺に対してソリューションでは何ができるのだろうか。トレンドマイクロによる不正サイトのレピュテーション技術を基に、同社のエージェントが導入されている環境でアクセスされたURL、Webサイトの情報をクラウドに集約し、不正なものかどうかを問い合わせる仕組みを岡本氏は紹介した。これにより、既知の不正サイトはアクセスする前に遮断できる。

　加えて、まだアクセスされていない不正サイトに関しても、フィッシングに使われるWebサイトの「特徴」をつかみ、事前に先回りすることができると岡本氏は述べる。「攻撃者が利用する不正サイトは専用のツールで作られていることが多いため、URLの構造やHTMLソースに残っているツールの特徴をまず把握している。クローリングしたWebサイトにその特徴があれば、効果的にまとめて不正なサイトとして判断する」（岡本氏）

偽のショッピングサイトの事例では、同じサイトに対する偽サイトでも、その特徴から複数の攻撃グループ（図右）がいることが判断できるという（Anti-Scam Conference Japan 2025におけるトレンドマイクロ講演「日本における詐欺の現状」から引用）

　これらの対策技術には生成AIや機械学習も使われている。トレンドマイクロはコンシューマー向けに提供している「詐欺バスター」において、生成AIを用いた動画かどうかを判定する機能も提供している。CEO詐欺で経営層をかたり、オレオレ詐欺では警察官を名乗り、ディープフェイク動画でだまそうとする詐欺に対し、マルウェア以外の個人に対する複合的な脅威に対しても、ソリューションが提供され始めている。

2025年5月に開催された詐欺対策カンファレンスでは、トレンドマイクロ取締役副社長の大三川彰彦氏のディープフェイク映像を詐欺バスターが見破るデモを実演した。

基本を守る　まずはセキュリティ意識の向上から

　岡本氏が詐欺対策として強調することは何だろうか。個人と法人の双方においてまず詐欺の手口を知り、セキュリティ意識を高めることが最も重要なことだという。これらの脅威を自分ごととして考え、最終的には利用者側が自分の資産を守るためにここまでしないといけないという認識を持つことが不可欠だ。

　岡本氏は「セキュリティの基本事項を守ること」を強調しつつ、特に重要な資産に関連するものについてはパスワードを強化する、多要素認証を導入するなどの対策を進めてほしいと述べる。そしてパスワードマネジャーのようなツールの利用も推奨する。「パスワードマネジャーはフィッシング対策に有効だ。パスワードを覚えてくれていてパスワードを自動入力することはもちろんだが、アクセスしたサイトでパスワードマネジャーが反応しない場合は、それが偽サイトだと分かるからだ」と解説する。

　かつてはPCにウイルス対策ソフトを入れることが当たり前だった。現在ではセキュリティ関連の識者も「標準搭載の機能で十分」と述べることが多い（もちろん、基本的なアップデートがされている前提だが）。

　現在、ウイルス対策ソフトベンダーは自らを「総合セキュリティ対策ソフトベンダー」だと言うようになり、ウイルス対策以外の機能が充実してきた。いま、まさにその戦略が花開き、マルウェアはOS標準機能で対応し、それ以外の「個人で最も必要とされる」詐欺対策部分のソリューションが求められるようになったと言えるかもしれない。

　詐欺対策では「STOP.THINK.CONNECT.」が重要であり、特に「CONNECT」こそが鍵となる。家族、同僚が詐欺に遭わないために、このインタビューを通じ、もう一度どのようなことができるか考えるきっかけになれば幸いだ。