日本でも話題になった「証券口座アカウント乗っ取り問題」 FBIが警鐘、5つの予防策を解説：米国での被害額は403億円規模

米連邦捜査局は、オンライン口座を乗っ取る詐欺が増加しているとして注意を喚起した。その上で、攻撃の手口や5つの防御策を解説している。

[＠IT]

　米連邦捜査局（FBI）は2025年11月25日（米国時間）、金融機関や給与支払い、医療貯蓄口座などのオンライン口座に対するアカウント乗っ取り（ATO：Account Take Over）詐欺が増加しているとして、注意を喚起した。

　2025年1月以降、FBIインターネット犯罪苦情センター（IC3）には5100件超の被害報告が寄せられ、被害額は2億6200万ドル（約403億円＜1ドル＝約154円の為替レートで換算＞）を超えているという。

FBIが公開した警告文

攻撃者はどのようにアカウントを奪うのか？　巧妙化する手口と、5つの防御策

　アカウント乗っ取り詐欺とは、サイバー犯罪者がオンラインの金融機関口座や給与支払口座、医療貯蓄口座などに不正アクセスし、金銭や個人情報を窃取する犯罪を指す。FBIによると、個人だけでなく、あらゆる規模、業種の企業や団体が標的になっている。

　攻撃者は、金融機関の社員やカスタマーサポート、テクニカルサポート担当者になりすまし、口座所有者にログインIDやパスワードに加え、多要素認証（MFA）コードやワンタイムパスコードを提供させる。

　SMS、電話、メールなどを用いて、「不正取引が行われている」「取引を止めるために認証コードが必要」などと偽って入力や読み上げを促すのが典型だ。

　FBIによると、「口座で不正な購入が行われた」「あなたの情報で銃器購入が行われた」などと伝え、利用者を動揺させるケースもある。この流れで別の犯人が「法執行機関の担当者」を装って登場し、口座情報を聞き出す手口も確認されているという。

　攻撃者は利用者から得たログイン情報を基に、正規サイトで不正ログインし、パスワードリセットを実行。口座の完全な支配権を奪うのが典型的な流れだ。

　その後、攻撃者自身が管理する別口座へ送金する。多くの場合、送金先口座は暗号資産ウォレットとひも付いており、資金は短時間で分散、払い出されるため、追跡や回収が難しいという。

　「ソーシャルエンジニアリングを伴う事案では、犯人がオンライン口座のパスワードを変更し、正規の口座所有者を締め出すケースがほぼ全てで確認されている」（FBI）

検索広告を悪用する「SEOポイズニング」

　FBIは、アカウント乗っ取り詐欺の多くがソーシャルエンジニアリングとフィッシングサイトを組み合わせた手口によって成立しているとする。

　フィッシングドメイン／サイトを使う場合、犯人は金融機関や給与支払いサービスの正規サイトに酷似した偽サイトを用意する。利用者は正規サイトだと信じてIDやパスワードを入力するため、その情報がそのまま犯人の手に渡る。

　検索エンジンの広告枠を悪用する「SEOポイズニング」も報告されている。攻撃者は、正規企業の広告に似せた検索連動広告を購入し、検索結果の上位に偽サイトを表示させる。ユーザーが検索結果の広告をクリックすると、正規サイトに似せた高度なフィッシングサイトへ誘導されるため、ユーザーは気付かずにログイン情報を入力してしまうという。

アカウント乗っ取り詐欺、5つの予防策

　FBIは、巧妙化するアカウント乗っ取り詐欺から身を守るために、オンラインでの情報管理や金融口座のモニタリングを強化するよう呼び掛けている。

　その上で、日常的な予防策として、以下の5つを推奨している。

• SNSなどでの個人情報の公開範囲に注意する。ペットの名前、出身校、生年月日、家族構成などを安易に公開すると、パスワードや秘密の質問を推測される手掛かりになる
• 預金口座やクレジットカード、給与支払口座などを定期的に確認し、入金漏れや覚えのない引き出し、送金、支出など不審な動きがないかどうかチェックする
• 各種オンラインサービスのパスワードは、複雑でユニークなものを必ず個別に設定する。また利用可能なサービスでは二要素認証やMFAを有効化し、これを無効にしない
• 金融機関や重要サービスのログインには、ブラウザの「ブックマーク」「お気に入り」などからアクセスし、検索結果や広告からアクセスしない。MFAを使っていても、偽のログインページに自ら認証情報を入力してしまえば防げないため、メールアドレスやURL、スペルを慎重に確認する
• 銀行や企業の担当者を名乗る不審な電話や連絡には警戒する。発信者番号表示は信用せず、一度電話を切り、自分で正しい問い合わせ窓口の番号を確認してかけ直す。通常、企業がユーザー名やパスワードの提供を求めることはない

　FBIは、金融機関や企業側にも、利用者への啓発や不審な広告、フィッシングサイトの監視、削除要請を強化するよう求めている。個人と企業の双方が、オンライン口座の保護とインシデント発生時の迅速な通報体制を整えることが、拡大するアカウント乗っ取り詐欺被害を抑える鍵になるとしている。