ブログ

2段階認証も突破!急増するリアルタイムフィッシング詐欺とは?

2025-08-19 セキュリティ, ブログ

証券会社や銀行の偽サイトへ誘導し、認証情報を窃取することで口座の乗っ取りや不正取引される被害が多発しています。偽サイトにログイン情報を入力したと同時に、攻撃者が正規のサイトへその情報を入力することで、本人確認の認証までも突破する「リアルタイムフィッシング」という手口が確認されており、注意が必要です。

本記事では、本人認証も突破されてしまう「リアルタイムフィッシング」の手口と対策についてご紹介します。

証券口座の乗っ取りや銀行口座への不正アクセスによる被害が多発

今年に入って、フィッシングサイトから窃取したログイン情報を使用した不正アクセスや不正取引の被害が急増しています。金融庁が公表しているデータによると、20257月時点での2025年の不正アクセス件数は14,069件、不正取引件数は8,111件となっています。

https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html

出典:金融庁「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」(202544日※202587日更新)

2024年の不正アクセスの認知件数は5,358件(※)となっており、今年7月時点ですでに昨年の約2.6倍の被害が確認されています。

https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00236.html

※総務省・警察庁・経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(令和7年3月13日)より引用

本人認証を突破してしまう「リアルタイムフィッシング」という手口によって被害につながっている状況が確認されており、各証券会社や銀行の公式サイトでも注意喚起されています。

 本人認証を突破する「リアルタイムフィッシング」

「リアルタイムフィッシング」とは、実在する金融機関などの名前で偽サイトへ誘導するメールやSMSを送信し、偽サイトに入力された情報を即座に盗み取る手口です。2段階認証といった情報までも偽サイトに入力することで、本人認証をすり抜けて不正アクセスされてしまいます。

「リアルタイムフィッシング」の流れ

①金融機関など実在する企業や機関の名前で、「カード決済に失敗しました」「カード利用期限のお知らせ」といった偽サイトへ誘導するメールが受信者に届く。

②受信者が企業からの公式メールと思い、偽サイトにログイン。IDとパスワードを入力。

③攻撃者が入力されたIDとパワスワードを公式サイトに入力。

④公式サイトから2段階認証がメール受信者に届く。

⑤メール受信者が偽サイトに2段階認証情報を入力。

⑥攻撃者が偽サイトに入力された2段階認証情報を即座に公式サイトに入力。2段階認証を突破し不正にアクセス。

偽サイトに情報を入力した途端に攻撃者が公式サイトへ不正アクセスするため、偽サイトに入力してから被害が発生するまでのスピードがとても早いことも特徴です。

「リアルタイムフィッシング」の被害に合わないために

こうした「リアルタイムフィッシング」の被害に合わないために、下記の点に注意しましょう。

・SMSやメールに添付されているリンクは開かない

利用している銀行など身近な宛名のメールは思わず開いてしまいそうになりますが、信用してはいけません。宛名は偽装されている可能性もあり、メール内に記載されているURLは開かないようにしてください。飲酒して気が大きくなっているときや、気持ちが焦っているときは要注意です!普段からメール経由でリンクを開かないように習慣づけましょう。

・公式サイトのアプリや信用できるURLからアクセスする

金融機関のサービスを利用するときや口座にログインする際は、公式サイトのアプリからのログインをおすすめします。ブックマーク機能を利用する場合は、ブックマークしているサイトが正しいものであるかを事前にしっかり確認しましょう。

・各銀行や証券会社が提供している認証サービスを必ず有効にする

利用している証券会社などが導入しているセキュリティサービスは必ず有効にしましょう。万が一、被害に遭ってしまった際、企業が提供する機能を有効にしているかどうかが補償対象の条件になる可能性もあります。日頃のログイン情報の管理にも十分注意が必要です。

被害に遭ってしまったら

もしも被害に遭ってしまった場合は、警察や各サービスのサポートに連絡してください。IDとパスワードの変更もすぐに行いましょう。

証券会社などの金融以外にも、例えばECサイトにクレジットカードを登録する際の認証情報を突破され、正規サイトで大量に購入されるケースや、端末へのアプリインストール時の認証を突破され、不正なアプリをインストールされて遠隔操作される事例も報道されています。

また、金融機関によっては、補償制度がある場合があります。企業によって補償対象や条件が異なるため、公式サイトで確認しましょう。

メールやSMSのリンクをクリックしないために

自分が利用しているサービスから利用期限や決済に関するメールが届くと、つい焦ってメールを開いてしまいそうになりますね。筆者の母親にもフィッシングメールが度々届くのですが、見た目で判断できずに困ると言っていました。

怪しいメールは削除する、メールからリンクを開かないようにと改めて家族間でも共有し、被害に遭うことはありませんでしたが、まずはこういった攻撃パターンを「知る」ことも被害を防ぐ第一歩として非常に大切です。

また、このような攻撃への対策として、標的型攻撃メール訓練も有効です。偽のフォームサイトへ遷移させるメール訓練を定期的に実施することで、攻撃パターンを知りセキュリティ意識の強化を図ることをおすすめします。

メール訓練のノウハウと
効果的な進め方教えます

これを読めば全てがわかる!メール訓練でお持ちのお悩みや疑問について開設しています。

資料には以下のことを紹介しています。

  • メール訓練サービスの選び方
  • メール訓練の選び方
  • サービスの必要性とその効果
  • メール訓練の効果的な実施フロー

ぜひお役立てください。

お役立ち資料をダウンロード

カテゴリー: セキュリティ, ブログ

Selphishを使ってみる

無料でお試しはこちら

ページの先頭へ