FBIが警鐘を鳴らすアカウント乗っ取り詐欺の急増
米連邦捜査局(FBI)は、サイバー犯罪者が金融機関を装って行うアカウント乗っ取り(ATO)詐欺が大幅に増加していると警告しました。2025年1月以降、これらの攻撃によって2億6,200万ドルを超える金額が盗まれており、FBIのインターネット犯罪苦情センター(IC3)には5,100件以上の苦情が寄せられています。この詐欺は個人だけでなく、あらゆる業界の企業や組織に影響を及ぼしています。
犯罪者はソーシャルエンジニアリング技術や詐欺的なウェブサイトを悪用し、オンライン銀行口座、給与口座、医療貯蓄口座などのアクセス権を不正に取得します。一度アクセスすると、資金は迅速に仮想通貨ウォレットに送金され、追跡や回収が極めて困難になります。多くの場合、正当な所有者はアカウントパスワードを変更され、ロックアウトされてしまいます。
巧妙化する詐欺の手口と被害の実態
FBIは、詐欺師が潜在的な被害者からログイン認証情報、特に多要素認証(MFA)やワンタイムパスコード(OTP)を騙し取るために、銀行員やカスタマーサポート担当者になりすます手口を詳述しています。これには、テキストメッセージ、電話、メールが用いられます。
盗んだ認証情報を使って金融機関のウェブサイトにログインした後、犯罪者はパスワードをリセットしてアカウントの制御を奪います。報告されている事例の中には、被害者の情報が不正な取引や銃器購入に使用されたと偽り、フィッシングサイトへ誘導したり、法執行機関を装った別の犯罪者に機密情報を提供させたりする悪質な手口も確認されています。
これらのフィッシングサイトは、正規の金融機関や給与サイトと見分けがつかないほど精巧に作られています。さらに、詐欺師は検索エンジン最適化(SEO)ポイズニングの戦術を利用し、広告を通じて自身の詐欺サイトを検索結果の上位に表示させることもあります。昨年9月には、FBIがIC3のウェブサイト自体を装ったサイバー犯罪者が金融詐欺や個人情報窃盗を行っていると警告を出したこともあります。
被害を防ぐためのFBIからの推奨事項
FBIは、このようなサイバー犯罪から身を守るために以下の対策を推奨しています。
- 金融口座を定期的に監視し、不審な活動がないか確認する。
- 固有で複雑なパスワードを使用し、使い回しを避ける。
- 多要素認証(MFA)を有効にすることで、セキュリティを強化する。
- 銀行のウェブサイトへアクセスする際は、検索結果からではなくブックマークを利用する。
- 被害に遭った場合は、直ちに金融機関に連絡し、払い戻しを要請する。必要に応じて「Hold Harmless Letter」や補償書類を取得する。
- 詳細な情報(犯罪者の金融口座やなりすまされた企業情報など)を添えてIC3.govに苦情を報告する。