アカウント乗っ取り詐欺について

メディアックパソコンスクール橋本教室は初心者からでも学べるパソコンスクールです。電源の入れ方から、マウスやキーボードの使い方から学ぶこともできます。シニア世代向けには脳のトレーニングとして活用して頂けるコースをご用意しておりますし、高校生や大学生などが今後必要とされるパソコンスキルについての知識と技術を習得できるように様々なコースをご用意しています。Windowsの基本操作、Excel、Word、PowerPointをはじめ、Auto CAD、JW- CAD、Illustrator、Photoshopなどの専用ソフト、プログラミングのC言語、HTML＆CSS、VBAなど、社会人向けのスキルアップや資格取得のコースも多数ご用意しており、MOS試験、VBAエキスパートなどを始めとする様々な資格の試験会場でもあります。小学生のお子様からでも始められるキッズ基礎コースや、キッズプログラミングコースなどの子供向けコースも充実しております。

また、パソコンやスマホ、タブレットの操作について「ちょっと困った」事案ごとの個人サポートや、パソコンの修理・トラブル解決なども行っております。これらはパソコン教室の会員様以外でもご利用できますので、お困りのことがございましたらご遠慮なくご相談ください。

メディアックパソコンスクール橋本教室の無料体験・イベントのお申し込みはこちらからです。

https://www.tl-assist.com/user/reservation/G6rtB9WH/staff

現在開催中のイベントのご案内
今ちまたで話題の「AI」。その中でも様々なものを作り出す「生成AI」がどのようなものなのかお試ししてもらえるイベントです。参加費は無料。参加条件はマウス操作とキーボード入力のできる方。子供から大人まで誰でもご参加頂けます。ご家族でご参加も歓迎です。この機会に是非生成AIがどのようなものなのかお試しください。

 

アカウント乗っ取り詐欺について

 

概要（イントロダクション）

アカウント乗っ取り（不正ログイン）は、SNS、メール、オンラインバンキング、証券口座、ECサイト、クラウドサービス等の利用者アカウントを第三者が不正利用する行為を指します。近年は単純なパスワード窃取に留まらず、複数の技術と社会的な手法を組み合わせた「ハイブリッド型攻撃」が増え、被害の規模・巧妙さともに拡大しています。国内の相談件数や金融分野での被害増加が報告されており、個人・事業者ともに従来の対策だけでは不十分になりつつあります。
情報処理推進機構
+1

代表的な最新手口（分類と詳しい流れ）

 

1) 高度化したフィッシング（メール／SMS／偽サイト）

 

メールやSMSの内容がより自然・本物そっくりに：大規模言語モデル（LLM）を悪用して自然な日本語で書かれた文面、個人情報を組み込んだ個別誘導（スピアフィッシング）が増加。見分けが付きにくくなっています。

検索結果や広告を悪用（SEOポイズニング／偽広告）：検索キーワードに連動して上位に表示される広告や検索結果を狙い、正規サイトに酷似した偽ログインページへ誘導する手口。ユーザーは上位表示＝安全と誤認しやすい点を突きます。
INTERNET Watch

典型的な攻撃フロー：まず標的に関する情報収集 → カスタマイズしたメール/SMS/広告を送る → 偽ログインページでID/PW＋OTPを入力させる → 取得した認証情報で正規サービスにログイン → パスワード・登録情報を変更して元ユーザーを締め出す。

 

2) QRコード／クイッシング（QRフィッシング）

 

メール・掲示・チラシ・SNSに貼られたQRコードから偽サイトへ誘導し、スマホのブラウザ上で認証情報や決済情報を入れさせる手法。QRは中身が目視できないため信頼して踏んでしまうユーザーが多く、攻撃者にとって効率の良い誘導手段です。
ガーディアン

 

3) SIMスワップ（SIMハイジャック）

 

犯罪者が携帯電話事業者を欺いて、ターゲットの電話番号を別のSIMへ移行（あるいは複製）することで、その電話番号宛のSMSや通話による認証を受け取れるようにする手口。これによりSMS型OTPや電話での本人確認を乗り越え、金融サービスやSNSのパスワードリセットを行って乗っ取ります。日本国内でも偽造IDを用いた店舗での不正なSIM発行等の報道があり、短時間で大きな金銭被害が出るケースがあります。
FNNプライムオンライン
+1

 

4) マルウェア（RAT／インフォスティーラー）とリモート操作

 

被害者の端末にインフォスティーラー（盗用型マルウェア）やRAT（Remote Access Trojan）を感染させ、キーログ、スクリーンショット、保管済み認証情報、ブラウザのセッション情報を窃取する手口。メール添付や改ざんサイト、偽ソフト配布、会話で信頼させてインストールさせるなど手口は多様化しています。感染型は一度侵入すると継続的に情報を吸い上げられるため極めて危険です。
サイバーリーズン合同会社
+1

 

5) OAuth／サードパーティ連携の悪用

 

「○○でログイン」やアプリ連携の同意画面（OAuth）を悪用する手口。偽の同意画面を出して不要な権限（投稿、メッセージ送信、データ閲覧）を許可させ、許可された範囲でアカウントを操作させることができます。見た目が本物に似ていると許可してしまう事例が増えています。
ガーディアン

 

6) 多要素認証（MFA）回避手法

 

SMSやソフトワンタイムパスワード（OTP）を狙った手法（SIMスワップやOTPの聞き出し）に加え、“フィッシング・プロキシ”を使ったリアルタイム中継でMFAを回避する技術が増えています。金融業界では「フィッシング耐性のあるMFA（パスキーやPKIベースなど）」への移行が提言・推奨される動きが出ています。
日本証券デリバティブ協会
+1

 

7) 音声・映像のディープフェイクを使ったソーシャルエンジニアリング

 

上司や取引先の声を合成して電話をかけ、緊急の指示で認証情報や送金を促すケースが報告されています。短い音声サンプルから本人そっくりの声が作られる技術的背景があるため、声だけの確認は危険です。
ガーディアン

攻撃の一般的なサイクル（攻撃者の視点）

情報収集（OSINT）：SNS、公開記録、過去の漏洩データでメールや電話番号、誕生日などを収集。

ターゲティング／カスタマイズ：個別化したスピアフィッシングやなりすまし準備。

侵入（認証情報の取得）：フィッシング、マルウェア、SIMスワップなどで認証情報を得る。

横展開・権限昇格：得たアカウントでパスワードや連絡先を変更、連携サービスを悪用。

悪用（送金・データ窃取・拡散）：金銭送金、仮想通貨換金、乗っ取ったSNSで他者を誘導（拡散）する等。

痕跡の隠蔽：ログ削除やVPN/プロキシ経由で難追跡化。

 

実例と傾向（最近の注目事例）

 

証券口座の乗っ取り増加：2025年前後に証券口座の不正操作事例が複数報告され、金融界での多要素認証強化要請が高まっています。
ntt.com
+1

SNSアカウントを踏み台にした詐欺拡散：乗っ取られたSNSアカウントから友人に偽リンクが送られ二次被害が発生。国内の相談件数増加が観測されています。
稲毛新聞

被害の影響

個人：金銭被害、個人情報漏洩、なりすまし被害、信用毀損（SNSでの詐欺拡散等）。

企業：顧客資産の流出、ブランド信頼低下、広告費の不正消費、機密情報漏洩。
被害は即時的な金銭損失だけでなく、回復コストや信頼回復に長期間の負担を強いる点が厄介です。
フィデックス株式会社 - 革新的な金融サービスを もっと身近に。

発見（検出）と初動対応（個人向け）

不審なログイン通知の即時確認：メールやサービスからの「新しい端末でのログイン」通知は放置しない。

パスワードの直ちな変更（可能なら2段階で）：まず該当アカウントのパスワードを変更。パスワードリセットができない場合はサービスのサポート窓口へ連絡。

MFA設定の見直し：SMS認証だけでなく、認証アプリやパスキー（パスワードレス）への移行推奨。

接続端末のスキャン：ウイルス対策ソフトでフルスキャン。特に不審なソフトやブラウザ拡張がないか確認。

関連アカウントのチェック：同じパスワードを使い回しているサービスがあれば順次変更。銀行やクレジット会社には不正使用の可能性を通知。

キャリアへの確認（SIM乗っ取り疑い）：電話が圏外になる等の異常があれば即座に携帯会社へ連絡し回線の一時停止を要請。
関西テレビ放送 カンテレ

組織（企業）向けの具体的対策

フィッシング耐性のある認証へ移行：パスキー、PKI、ハードウェアトークンなど、ワンタイムSMSに依存しない方式を導入。金融分野では既にガイドラインで強化が進められています。
日本証券デリバティブ協会
+1

従業者の定期的教育（フィッシング訓練含む）：AI生成文にも耐えうる教育内容に更新し、疑わしいURLの判断やQRコード取扱いを含める。

ログ監視と異常検知：単一IPからの大量ログイン、同一ユーザーの短時間での地域移動ログ（geolocation）などを検知する仕組み。

サードパーティ連携の管理：OAuth権限を最小化、定期的に連携アプリをレビュー。

脅威インテリジェンスの利用：RATやインフォスティーラーのIOCを取り込み、攻撃キャンペーンの兆候を早期に把握。
サイバーリーズン合同会社
+1

 

個人ができる“実践的”予防策（チェックリスト）

 

パスワードは一意・長く・ランダムに（パスワードマネージャーを活用）。

認証は認証アプリ／ハードウェアトークン／パスキーを優先（SMSは補助）。
日本証券デリバティブ協会

連携アプリ（OAuth）の権限を年1回は見直す。

不審なQRコード・短縮URLは避ける。URLはブラウザで手入力して正規サイトにアクセスする習慣。
ガーディアン

公式を名乗るメールやSMSでもURLはクリックせず、公式サイトやアプリで直接確認。

OS・アプリを常に最新版に更新。特にブラウザとプラグイン。

スマホの紛失時に備えて画面ロック・遠隔消去を有効化。

個人情報（母親の旧姓、ペット名等）をSNS上に不用意に公開しない。攻撃者が本人確認質問に使うことがあります。
INTERNET Watch

復旧（乗っ取り被害後）の手順（個人）

影響範囲の把握：被害が出たサービス、金銭の移動、連絡先への迷惑送信等を洗い出す。

各サービスへ連絡：金融機関・証券会社・カード会社・携帯会社へ不正利用報告と調査依頼。

警察へ被害届提出：金銭被害やなりすまし拡散があれば警察へ届出。証拠（ログ、メール、スクリーンショット）を保存しておく。

パスワードとMFAの再設定：安全な端末から順に変更。もし端末が感染している疑いがあるなら別端末で作業。

関係者への注意喚起：SNS等で乗っ取られた場合は友人・取引先へ偽メッセージに注意するよう連絡。

技術的・社会的潮流（今後の注目点）

AIを使った“超リアル”フィッシング：生成AIで個別化が加速し、文面や偽サイトの検出がさらに困難に。
INTERNET Watch

MFAの抜本的見直し：SMS/OTPの弱点が明らかになりつつあり、業界でのパスキー等への移行圧力が強まっています。
日本証券デリバティブ協会
+1

不正送金の即時性と暗号資産の活用：乗っ取った資金を即座に暗号資産へ変換して送金するケースが多く、追跡が難しい。

サプライチェーン／第三者サービスの悪用：改ざんされたサイトや信頼されるサービスの脆弱性を突く攻撃が増える見込み。
サイバーリーズン合同会社

 

まとめ（要点整理）

 

アカウント乗っ取りは手口の多様化・高度化が進み、AI・ディープフェイク・マルウェア・SIMスワップ等を組み合わせる「ハイブリッド攻撃」が主流になりつつある。
INTERNET Watch
+1

SMS認証や従来型のパスワードだけでは十分ではないため、個人・企業ともにフィッシング耐性のあるMFA（認証アプリ、パスキー、ハードウェアトークン等）への移行が急務である。
日本証券デリバティブ協会
+1

日常的な予防（パスワード管理、定期的な権限見直し、端末の保守、疑わしいリンクの非クリック）が被害を大きく減らす。被害にあった場合は迅速に取引先・金融機関・携帯会社・警察へ連絡し、適切に証拠保存・報告を行うこと。
関西テレビ放送 カンテレ
+1

 

参考文献

 

以下は本解説の作成に利用した主要情報源です（タイトル／発行元／公開日または最終更新日）。必要であれば、これらの文献のどの部分を根拠として使ったか詳細に示します。

「インターネットサービスへの不正ログインによる被害が増加中」／IPA（情報処理推進機構）／2025年8月28日（IPA 情報セキュリティ安心相談窓口だより）. 
情報処理推進機構

「知らないと騙される!? 巧妙化したアカウント乗っ取り詐欺」／Internet Watch（Impress）／2025年（該当記事）. 
INTERNET Watch

「改ざんされたWordPressサイトとClickFix手法を通じて悪意あるNetSupport RATを配布」／Cybereason（脅威分析レポート）／2025年5月（該当記事）. 
サイバーリーズン合同会社

「インターネット取引における不正アクセス等防止に向けたガイドライン」／日本証券業協会（JSDA、改正案）／2025年10月（ガイドライン改正関連文書）. 
日本証券デリバティブ協会

「2025年に入り、口座乗っ取りが多発。なぜ起こるのか？」／NTTコミュニケーションズ（解説）／2025年7月7日（解説記事）. 
ntt.com

「SIMスワップ・スマホ乗っ取りに関する報道（事例）」／FNN／2024年5月（八尾市議の事例等）および各社の報道特集記事。
FNNプライムオンライン
+1

「マルウェア（RAT/インフォスティーラー）に関する解説」／NTT／2025年（マルウェア解説記事）およびセキュリティベンダーの月次レポート（チェック・ポイント等、2025年）. 
ntt.com
+1

各種月次フィッシング報告・業界報告（antiphishing.jp 等、2025年の報告）. 
アンチフィッシング