巧妙化するアカウント乗っ取り詐欺の最新手口

1. 概要（何が起きたか）

2025年11月、米国の捜査当局がアカウント乗っ取り詐欺の急増に対して緊急警告を発しました。被害件数は5100件を超え、総額は2億6200万ドルに達しています。詐欺は“ハイブリッド型”へと進化し、偽サイト誘導、ワンタイムパスワードの盗取、ソーシャルエンジニアリングを一体化させた高度な攻撃が主流になりました。従来のフィッシングだけではなく、検索サイトでユーザーを待ち伏せする新たな手法が広がっています。

2. 発生の背景・原因

オンライン銀行やデジタルサービスが普及したことで、攻撃者はアカウント情報の盗取によってより大きな利益を得られるようになりました。また、闇市場では「Crime-as-a-Service」として犯罪ツールが安価で売買され、技術力が乏しい者でも高度な攻撃を実行できる環境が整っています。検索広告に偽サイトを表示するSEOポイズニングは、AI生成デザインにより見分けがつかないほど精巧化しており、利用者の“安全だと思い込む心理”を突いた手法です。

3. 関係者の動向・コメント

捜査当局は、被害の急増を受けて警告を強化しており、銀行や企業にもセキュリティ対策の見直しを促しています。専門家は「多要素認証を突破されるケースが増え、従来の防御では不十分」と警鐘を鳴らしています。また、企業側では検索広告運用の厳格化やOTPの強化が急務となっています。

4. 被害状況や金額・人数

被害額は確認されただけでも約400億円に上り、被害者数も数千件にのぼります。特に狙われるのは、銀行口座、決済サービス、医療貯蓄口座、暗号資産ウォレットなど、高額残高があり発覚しにくいアカウントです。企業の給与システムが侵害され、従業員の振込先口座が書き換えられるなど、実害の大きいケースも増えています。

5. 行政・警察・企業の対応

捜査当局は国際的なサイバー犯罪グループの実態解明を進めています。銀行や金融機関は認証プロセスの強化を図り、利用者への注意喚起を継続しています。また検索エンジン事業者も偽広告削除の仕組みを強化していますが、攻撃者の増加スピードが上回っており、いたちごっこの状態が続いています。

6. 専門家の見解や分析

セキュリティ専門家は、攻撃が「技術」「心理操作」「自動化」の三要素を組み合わせた“ハイブリッド型”へ進化したと分析します。OTPボットによる自動電話、ディープフェイク音声を使った経理担当への緊急送金依頼、リモートツールを通じた端末乗っ取りなど、多層的な攻撃が特徴です。さらに、Z世代が中心の新興グループ「The Com」が台頭し、これまで以上のスピード感で詐欺が拡散しています。

7. SNS・世間の反応

SNSでは「検索結果の上位でも安心できない」「MFAを突破されるのは怖すぎる」「ディープフェイク音声まで使われる時代か」という驚きや不安の声が多く上がっています。また「銀行員を名乗る電話が増えた」という報告もあり、一般ユーザーの間でも警戒心が高まりつつあります。

8. 今後の見通し・影響

アカウント乗っ取り詐欺は、今後もさらなる高度化が予想されます。AIによる偽サイト生成や音声偽装は精度が向上し、攻撃者が少人数でも大規模な詐欺を展開できる時代です。企業は技術的対策だけでなく、従業員教育や内部統制の強化が必須となります。また個人レベルでも、「電話は自分からかけ直す」「検索広告を鵜呑みにしない」といった行動が重要な防御となるでしょう。

9. FAQ

10. まとめ