犯罪組織が狙い撃つのは中高年…大手３行装うフィッシング詐欺の手口、生成ＡＩ悪用で「高度化」

［偽サイトの罪］＜上＞

　「【三菱ＵＦＪ銀行】お知らせ、お客様の銀行口座を一時凍結しています、本人認証設定をお願いします」

　神奈川県でネット広告業を営む３０歳代男性は昨年１１月、スマートフォンに届いたＳＭＳ（ショートメッセージサービス）のＵＲＬを開くと、急いでインターネットバンキングのＩＤとパスワードを打ち込んだ。「取引を規制した」との表示を見て焦ったからだ。サイトは赤が基調の見慣れたデザインで、「手続き完了」の通知に胸をなで下ろした。

　異変に気づいたのは約１週間後だった。新婚旅行先のフランスで口座と連動するスマホのアプリを開くと、残高のほぼ全額の約２９０万円が見知らぬ暗号資産口座に移されていた。

　偽サイトに誘導し個人情報を盗む「フィッシング」。その典型的な手口だったが、帰国して警察に相談するまで想像もしていなかった。男性はかつて外資系保険会社で働き、ネットや資産管理に慣れている自負があった。被害は補償されたものの、「流出した個人情報が別の犯罪に悪用されないか」と今も不安を抱えている。

　大手銀行に預金口座を持ち、ネット送金やキャッシュレス決済も日常的に利用する――。そんな中高年が犯罪組織に狙われている。

　警察庁によると、ネットバンキングを通じた不正送金被害は昨年、全国で５５７８件確認され前年比５・７倍の約８７億円に上った。その被害者の約７割は３０～６０歳代で、昨年後半からは、大手３行を装う手口が目立つ。大手銀行の関係者は、「犯罪組織は時期によって標的とする銀行を変えながら、フィッシングを繰り返している印象だ」と話す。

　フィッシング自体は新しい手口ではない。国内での初確認は２００４年で、被害はほぼ横ばいだった。急増したのはコロナ禍の２０年だ。金融機関などでつくる「フィッシング対策協議会」（東京）によると、ネット通販を装って個人情報を盗む手口が横行し、２０年は前年比４倍の２２万件に拡大。昨年は１１９万件に達した。

　背景にあるのが、非対面型決済の浸透と生成ＡＩの登場だ。昨年の個人消費に占めるキャッシュレス決済の比率は１９年から１２・５ポイント増の３９・３％（決済額約１２７兆円）に上った。偽サイトに誘導するＳＭＳやメールの作成などには生成ＡＩの悪用が指摘される。

　情報セキュリティー企業「トレンドマイクロ」の岡本勝之氏によると、「ダークウェブ（闇サイト）」上では、偽サイトの作成ツールやＳＭＳなどの送信先リストが数千円から数万円程度で売買されている。岡本氏は、「技術の進化で攻撃はさらに自動化され、脅威は増大し続けるだろう」と警鐘を鳴らす。

　対策で何より重要なのは資金の流れを絶つことだ。

　昨年の不正送金被害の半数の約４４億円は、被害者側から他人の暗号資産口座に送られていた。犯罪組織は暗号資産の取引を複雑にして匿名性を高める「ミキシング」という手法で資金洗浄（マネーロンダリング）しているとみられている。

　警察庁などは今月、不正送金グループの指示役の男を他人のネットバンキングに対する不正アクセス禁止法違反容疑で逮捕した。男らは暗号資産のミキシングを繰り返していたが、同庁サイバー特別捜査部が最新機器で解析し、関連口座を突き止めた。捜査幹部は「相手の技術も高度化する」と気を引き締める。警察庁は今後、乱立する偽サイトの識別に生成ＡＩを活用して対抗する構えだ。

　政府も対応を急ぐ。６月の犯罪対策閣僚会議では、金融機関や通信事業者に対策の強化を求めることを決めた。不自然な出金など取引のモニタリングのほか、ウイルス感染して偽サイトに誘導するＳＭＳを送っているスマホを特定し、警告する仕組みの構築を促す。

　画餅に終わらせない、官民の実行力が問われている。