2024年、フィッシング詐欺の報告件数は月間100万件を超え過去最多を記録した。 フィッシング対策協議会の統計では、被害の6割が「金融機関を装ったSMS(スミッシング)」から始まっている。
2024年の主要な手口3種
1. スミッシング(SMS+フィッシング)
「三菱UFJ銀行:不審なログインを検知しました」というSMSが届き、 記載のURLをタップするとそっくりな偽サイトに誘導される。 URLは「mufg-security.co.jp」のように正規に見えるが、公式ドメインは「bk.mufg.jp」だ。
2. QRコードフィッシング(クイッシング)
駐車場・キャンペーンチラシ・荷物の伝票に偽QRコードを貼り付ける手法が急増した。 スマートフォンはQRのURLを自動的に開くため、URLを目視確認する機会がない。 2024年に全国の駐車場で確認された偽QRコードの件数は312件(警視庁調べ)。
3. AIボイスOTP詐欺
銀行がSMSで送るワンタイムパスワード(OTP)を盗む新手法。 ①フィッシングサイトで被害者のIDとパスワードを盗む ②正規の銀行サイトにログインを試みる ③銀行がOTPをSMS送信する直前に、AIが電話をかけて「本人確認のためOTPを教えてください」と話す ④被害者がOTPを口頭で伝える → 即座にログイン・送金が完了する
見破るための確認手順
- SMSのURLをタップせず、公式アプリから直接ログインする
- ドメインを確認:「-security」「-confirm」「-verify」が含まれていたら疑う
- OTPを電話・SMSで要求する機関は実在しない
- 不審なQRコードはシール貼り付けの痕跡がないか確認する
- Google Safe Browsingでリンクを事前確認する(SafeURL.net等)
「メールのURLをクリックしてしまったが、パスワードを入力する前に気づいた。 しかしその2秒後、SMSにOTPが届いた。誰かがすでにログインを試みていた」(40代・会社員の証言)