ネットバンキングやSNSなど、さまざまなオンラインサービスで広く導入されている「二段階認証」。パスワードに加え、SMSで届くワンタイムパスワードや認証アプリのコードを入力することで、アカウントの安全性を高める仕組みです。従来は強力なセキュリティ対策とされていましたが、最近ではその二段階認証さえも破られる「リアルタイムフィッシング詐欺」という新たな脅威が急増しています。
この詐欺は、偽のサイトを使ってIDやパスワードだけでなく、ワンタイムパスワードまでもリアルタイムで盗み取り、即座に正規のサービスへログインするという高度な手法です。ユーザーが異変に気付いた頃には、すでに不正アクセスが完了しているというケースも多発しており、2025年には大手証券会社のアカウントが乗っ取られ、株の不正取引が行われるなど、甚大な被害が確認されています。
二段階認証を突破する「リアルタイムフィッシング詐欺」の仕組み
この手口では、まず攻撃者が金融機関や有名企業を装ったメールやSMSを送り、ユーザーをフィッシングサイトへと誘導します。一見本物そっくりなその偽サイトで、ユーザーがIDやパスワードを入力すると、それらの情報は即座に攻撃者のもとへ送信されます。
ここまでは従来のフィッシング詐欺と同様ですが、リアルタイムフィッシング詐欺の真骨頂はここからです。攻撃者は即座に正規のウェブサイトにログインを試み、次にワンタイムパスワードの入力を求められます。すると偽サイトでも同様に、ユーザーにワンタイムパスワードの入力を促し、それをリアルタイムで盗み取り、最終的に認証を突破して不正アクセスを完了させるのです。
このようにして二段階認証を突破するスピードは驚異的で、利用者が被害に気付いて行動を起こす前に、攻撃者は目的を達してしまうのです。2023年の警察庁・金融庁の発表では、フィッシング詐欺による被害額は年間で80億円以上にも達しており、今後さらに増加することが懸念されています。
今すぐ見直したい!安全性を高めるための対策と心がけ
リアルタイムフィッシング詐欺の登場によって、「二段階認証=安全」とは言い切れなくなりました。ただし、これはすべての二段階認証が無力というわけではありません。SMSやメールによる認証は比較的攻撃に弱いですが、よりセキュリティ性の高い方法に移行することで被害リスクを減らすことができます。
たとえば、指紋や顔などを利用する「生体認証」、スマートフォンやセキュリティキーを使った「端末認証」、さらに最近注目されている「FIDO(Fast IDentity Online)」などの次世代認証方式は、フィッシングに強いとされています。これらを活用することで、リアルタイムでの情報搾取に対応する力が格段に高まります。
また、個人ができる防衛策も非常に重要です。SMSやメールで届いたリンクからは決してログインせず、必ずブックマークや公式アプリからアクセスする習慣を持ちましょう。取引通知やログイン通知などのサービスを設定し、日々のチェックも欠かせません。万が一、偽サイトに情報を入力してしまった場合は、ただちにパスワード変更と金融機関への連絡を行うことが被害拡大を防ぐ鍵となります。
※ 本キャンペーンは、こちらの案内だけの限定優遇※ 再契約または2️⃣回線目以降もポイント獲得対象※ 終了日未定により、予告なく突如終了となる可能性あり
いずれかの画像をクリックし、楽天アカウントでログインまたは新規登録後に、楽天モバイル特別キャンペーンページに遷移します。
