フィッシング詐欺・サイバー犯罪 ― ケーススタディで学ぶ
サイバー犯罪者の手口は年々巧妙化しています。このページでは、高校生・大学生世代が実際に被害に遭った事件をケーススタディとして取り上げ、親ページで学んだ見抜くポイントを実践に落とし込みます。
CASE 1
SNS広告の偽ECサイト ― 商品が届かず、カード情報も盗まれた
📰 事件の概要
高校生がInstagramの広告で「人気ブランドの靴が80%OFF」というサイトを発見。見た目は本物そっくりのサイトでクレジットカード情報を入力して購入。商品は届かず、さらにカード情報が悪用され、翌月のカード明細に身に覚えのない数十万円の請求が発覚。サイトは既に閉鎖されており、運営者の特定は困難だった。
🔍 偽ECサイトの見分けポイント
🚩 価格が異常に安い(正規品の50%OFF以上は危険信号)
🚩 URLが不自然(ブランド名のスペルミス、.xyz/.top/.shop等の見慣れないドメイン)
🚩 日本語が不自然(機械翻訳のような文体、「お客様の購入ありがとう」等)
🚩 会社概要・連絡先が不明確(住所がない、電話番号がない、メールのみ)
🚩 決済方法が限定的(銀行振込のみ、または不自然な決済画面)
🔍 考察:SNS広告は審査をすり抜ける
SNS上の広告は全てが安全とは限りません。広告プラットフォームの審査をすり抜ける偽広告は大量に存在します。「公式に見えるから安全」ではなく、最終的には自分の目でURLと決済画面を確認する必要があります。
🛡️ この事例から学ぶ対策
✅ SNS広告のリンクからではなく、Google検索で公式サイトを直接探す
✅ 「ブランド名 + 詐欺」で検索し、被害報告がないか確認する
✅ クレジットカードの利用通知をONにし、不正利用をすぐ検知する
✅ 被害に遭ったらすぐにカード会社に連絡→利用停止→消費者ホットライン(188)へ
CASE 2
SIMスワップ詐欺 ― 電話番号を乗っ取られ口座から引き出し
📰 事件の概要
大学生のSNSアカウントに不正ログインが発生。犯人はSNSプロフィールや過去の投稿から生年月日・電話番号を収集し、携帯ショップで本人を装ってSIMカードの再発行を申請。電話番号を乗っ取ることでSMS認証を突破し、ネットバンキングにアクセスして数十万円を引き出した。被害者はスマホが突然「圏外」になったことで異変に気づいたが、既に遅かった。
🔍 考察:SMS認証だけでは安全ではない
二段階認証は重要ですが、SMS認証はSIMスワップに対して脆弱です。より安全な認証方法は、認証アプリ(Google Authenticator等)やパスキーの利用です。また、この攻撃の起点はSNSからの個人情報収集なので、プロフィールに生年月日や電話番号を公開しないことが最初の防御線になります。
🛡️ この事例から学ぶ対策
✅ 二段階認証はSMSではなく認証アプリを優先的に設定する
✅ SNSに生年月日・電話番号・住所を公開しない
✅ スマホが突然「圏外」になったらSIMスワップを疑い、すぐに携帯会社に連絡
✅ 携帯会社の本人確認強化オプション(暗証番号設定)を利用する
CASE 3
カフェの偽Wi-Fiスポット ― ログイン情報を一括収集
📰 事件の概要
カフェで勉強していた高校生が、店名に似たフリーWi-Fi(「CafeXXX_Free」)に接続。実はこれは犯罪者が設置した偽のアクセスポイント(Evil Twin攻撃)だった。接続後に表示された偽の「利用規約同意画面」でメールアドレスとパスワードを入力してしまい、同じパスワードを使い回していた複数のサービスのアカウントが次々に乗っ取られた。
🔍 考察:偽Wi-Fiは見分けがつかない
Evil Twin攻撃では、正規のWi-Fiと全く同じSSID(ネットワーク名)を設定できるため、スマホの接続一覧だけでは本物と偽物の区別がつきません。また、接続後に「利用規約に同意」という画面が表示されるのは正規のWi-Fiでもよくある仕様のため、ユーザーは疑いなく情報を入力してしまいます。さらに問題なのはパスワードの使い回しで、1つ漏れると芋づる式に被害が広がります。
🛡️ この事例から学ぶ対策
✅ フリーWi-Fi接続時にパスワード入力を求められたら絶対に入力しない
✅ 正しいSSIDを店員に直接確認し、自動接続をOFFにする
✅ パスワードは全てのサービスで異なるものを使う(パスワードマネージャー推奨)
✅ 重要な操作(ログイン・決済)はフリーWi-Fiではなくモバイルデータ通信で行う
📝 理解度チェック
3つのケーススタディの内容から出題します。
問題 1 / 5
SNS広告で見つけた格安商品サイトで、最も安全な購入行動はどれ?
正解は②。広告リンクは偽サイトに誘導される可能性があるため、必ずGoogle検索で公式サイトを直接探しましょう。
問題 2 / 5
SIMスワップ攻撃の最初のステップは何?
正解は①。SIMスワップ攻撃は、SNSなどから収集した個人情報を使って携帯ショップで本人になりすまし、SIMカードを再発行させることから始まります。
問題 3 / 5
SMS認証よりも安全な二段階認証の方法はどれ?
正解は②。認証アプリは端末内で暗号化コードを生成するため、SIMスワップの影響を受けません。
問題 4 / 5
Evil Twin攻撃(偽Wi-Fiスポット)について正しいのはどれ?
正解は③。攻撃者は正規と全く同じSSIDを設定できるため、接続一覧だけでは判別不可能です。
問題 5 / 5
パスワードの使い回しが危険な理由として最も適切なのは?
正解は③。1つのサービスからパスワードが漏洩すると、同じID/パスワードの組み合わせで他のサービスにも不正アクセスされます(パスワードリスト攻撃)。
📚 もっと深く学ぶ ― 関連記事
このトピックに関連するブログ記事です。