2025/12/06

【二段階認証も突破?】楽天・SBIも注意喚起する「リアルタイムフィッシング詐欺」に要注意!

【楽天証券やSBI証券も注意喚起】急増する「リアルタイム」フィッシング詐欺にご注意を

近年、インターネットを利用した金融取引が一般化する中で、フィッシング詐欺の手口がますます巧妙化しています。
先日、楽天証券から 【緊急・重要】リアルタイムフィッシング詐欺にご注意ください! という注意喚起が届きましたが、同様の呼びかけはSBI証券からも発信されています。証券会社がそろって警鐘を鳴らすほど、現在のフィッシング被害は深刻な状況にあるといえるでしょう。

本記事では、最近特に増加している「リアルタイム・フィッシング詐欺」の手口と、その対策について丁寧に解説します。

■ フィッシング詐欺とは?

■ フィッシング詐欺とは?

フィッシング詐欺とは、金融機関や企業になりすました偽のメールやSMSを送り、受信者を偽サイトへ誘導してID・パスワードなどの個人情報を入力させ、それを盗み取る手口です。

たとえば、以下のような文面でメールが送られてきます。

  • 「三井住友カードです。セキュリティチェックのためID・パスワードを再入力してください」
  • 「楽天証券です。アカウントがロックされました。24時間以内に本人確認を行わない場合、口座が停止されます」
  • 「SBI証券です。お客様の口座に不正アクセスがありました。補償を受け取るため、指定のページから情報を入力してください」

どれも本物とよく似た文面やデザインで、リンク先の偽サイトも非常に精巧に作られています。そのため、利用者は疑うことなく情報を入力してしまい、気づかないうちにIDやパスワードが詐欺グループへ渡ってしまうのです。

■ 2025年はフィッシング被害が急増

フィッシング対策協議会が発表した2025年8月のデータによると、国内のフィッシング報告件数は 193,333件 に達し、前年を上回るペースで急増しています。
特に3月以降は再び件数が伸び、証券口座を狙ったケースも非常に多く確認されています。

「二段階認証も設定しているし、自分は大丈夫」と思っている方もいるかもしれません。しかし、現在横行しているのは、従来の対策をすり抜ける「リアルタイム・フィッシング」です。

■ 二段階認証も突破される「リアルタイム」フィッシング詐欺とは?

■ 二段階認証も突破される「リアルタイム」フィッシング詐欺とは?

通常、IDやパスワードが盗まれても、ログインにはワンタイムパスワードや取引用暗証番号(第2パスワード)が必要なため、不正ログインは簡単ではありません。
しかし、リアルタイムフィッシング詐欺では 利用者が情報を入力する瞬間に、犯行グループが同時進行で正規サイトにログインを試みる という手口を使います。

流れをわかりやすく説明すると、次のようになります。

  1. 犯行グループが楽天証券やSBI証券を名乗る偽メールを大量に送信
  2. 利用者が偽サイトにID・パスワードを入力
  3. 入力と同時に、犯行グループがリアルタイムで正規サイトへログイン
  4. 利用者に届く二段階認証コードも偽サイトで入力させ、同時に犯人が使用
  5. そのまま正規サイトへのログインが突破されてしまう

まるで、家の前で泥棒が待ち構えていて、鍵を開ける瞬間に一緒に中へ入り込むようなイメージです。

従来のように、盗んだ情報を後日使うのではなく、「その場で」攻撃を完了させるため、二段階認証を設定していても突破される危険性があります。

■ ではどう対策すればよいのか?

リアルタイムフィッシングは手口が巧妙であるため、完璧に防ぎきることは簡単ではありません。しかし、被害に遭う確率を大幅に下げることができる対策は存在します。以下の4つを確実に実践しておきましょう。

① 多要素認証(二段階認証)の設定

「二段階認証も突破される」と聞くと無意味に感じるかもしれませんが、依然として非常に有効な対策です。
ほとんどの攻撃は二段階認証の段階で弾かれます。突破されるケースは例外であり、「していないよりは圧倒的に安全」です。

② メール・SMS内のリンクを絶対にクリックしない

フィッシング詐欺の多くはメールやSMSに記載されたリンクから始まります。
したがって、

  • メールのリンクからログインしない
  • 公式アプリからアクセスする
  • 証券会社のページはブックマークから開く

この3点を徹底するだけで、危険な偽サイトにアクセスするリスクを大幅に減らすことができます。

③ Gmailを利用する

Gmailには非常に高性能なスパム・フィッシングメール判定機能が搭載されており、危険なメールの多くを受信前にブロックしてくれます。
Yahooメールやキャリアメールはこの点でGmailに劣るため、重要なメールアドレスはGmailに一本化するのが安心です。

④ パスワード管理ソフトを使う

1Passwordなどのパスワード管理ソフトを使うと、正規のURLと一致しない場合、自動入力が行われません。
偽サイトは見た目が本物そっくりでも、URLが1文字でも違えばパスワード管理ソフトは反応しないため、「あれ?入力が出ないぞ」と気づくことができます。

これは非常に強力なフィッシング対策です。

■ セキュリティソフトは必要?

■ セキュリティソフトは必要?

「ウイルスバスターやノートンは入れたほうがいいの?」という質問も多く寄せられますが、結論として 必須ではありません

現代のWindowsには優秀な標準セキュリティが搭載されており、Macももともと強固な構造を持っています。
それよりも、上記4つの対策をしっかり行うほうがはるかに効果的です。

なお、古いWindows機を使っている場合はセキュリティ上のリスクが大きいため、早めの買い替えを検討しましょう。

■ まとめ

フィッシング詐欺は年々増加しており、2025年はすでに昨年を上回るペースで被害報告が寄せられています。
特に「リアルタイム・フィッシング」は二段階認証を突破する危険な手口です。

しかし、以下の対策を徹底すれば、安全性は大きく向上します。

  1. 二段階認証の設定
  2. パスワード管理ソフトの利用
  3. メールアドレスはGmailに集約
  4. メール・SMSのリンクを踏まない

自分の大切な資産を守るためにも、今日からできる対策を着実に実施していきましょう。

記事一覧へ戻る