フィッシング詐欺メールは何故無くならない?
デジタル化が進む一方で、日本ではフィッシング詐欺メールの被害が後を絶ちません。警察庁や消費者庁も注意喚起を繰り返していますが、被害者は年々増加する一方です。
一体なぜ、日本ではこれほどまでにフィッシング詐欺が減らないのでしょうか?
今回は、その背景と根本的な理由について掘り下げてみます。
✅急増したフィッシング詐欺メール
詐欺メールというと、昔はたまに送られてくる程度だったのが、年を追うごとに深夜・早朝を中心に送られてくるようになり、それが今では24時間365日、日中も深夜も関係なく、のべつ幕なしに送られてくるようになりました。
弊社で運用しているXのアカウントでも、以前はフィッシング詐欺メールの事例を個別に紹介する形でツイートしていたのですが、あまりの件数の急増に個別に紹介するだけでは間に合わなくなり、現在流通している詐欺メールのタイトルを一覧としてツイートするようになったほどです。
これは技術の発達により、AIなどを使って効率的に詐欺メールを作成・送信することができるようになったことと併せて、犯罪に加担させる要員をSNSなどを使って巧みに勧誘し、拉致・監禁して強制的に作業に従事させる組織的な仕組みが構築されたことにより、非常に大きな規模で詐欺メールを送信することができるようになったことが大きいといえるのではと思います。
❓詐欺メールを送れないようにすることはできないの?
詐欺メールを受信する方からすれば、一目で見て怪しいメールなんてすぐに詐欺メールだとわかるのだから、事業者側で削除するなり、送れないようにしてくれればいいじゃないか。と思うかもしれません。
実際にそうしていないのは事業者側の怠慢だと思う方もいるでしょう。
しかし、実際にはそうしたくてもできない事業者側の事情があります。
📌1.通信の秘密という壁
電気通信事業法では、電気通信事業法第4条(及び第179条の罰則)において「通信の秘密」を保護する規定が定められています。
これにより、通信事業者といえど、メールの中身を当事者の同意無しに勝手に見ることはできないことになっています。
詐欺メールかどうかはメールの中身を見ないと判断のしようがないので、メールの中身を見ることができないということは、詐欺メールであってもスルーするしか無いということになってしまうわけです。
📌2.送信元は無数にあるという問題
メールは世界中から送られてくるため、送信元は星の数ほど存在します。メールの中身を見ないまでも、不審なメールの送信元は受信者からの申告によってわかるため、判明した送信元からのメールをブロックすれば、一旦は詐欺メールをブロックすることはできます。
しかし、犯罪者が送信元を変えてしまえば元の木阿弥となってしまうため、個別撃破で地道にブロックを続けたとしても、その終わりは永遠に見えないと言わざるを得ません。
📌3.正規の送信元が悪用されてしまう場合もある
送信元が不審なメールを送っているだけならばブロックすれば良いのですが、正規のサーバーなどが乗っ取られて悪用されているようなケースではブロックができない場合もあります。
✅通信事業者も被害者
通信事業者にとってすれば、自社の設備をタダで使われていることになり、24時間365日送られ続ける大量の詐欺メールは、自社の回線やサーバ設備を圧迫するだけでなく、大量の電気も消費されることになるため、その損失は無視できません。
通信事業者は設備の運用にかかる多大なコストを犯罪者達から強制的に負担させられているわけですから、一般の方々よりも強く、詐欺メールを撲滅したいと思っているはずですが、事業者単独では、できることとできないことがどうしてもあります。
特定電子メールの送信の適正化等に関する法律によって、多様な迷惑メール対策を行うことが可能にはなっているものの、ますます被害が拡大してきている現状では、まだまだ考えるべき余地はあると言えるでしょう。
今後も法律の見直しや国際協力が求められるところかと思いますが、実際にどこまで踏み込めるか?また、どれだけ実行力のある手が打てるか?が鍵になると考えます。
🤔犯罪者にとっての”獲物”という観点
技術的には詐欺メールをシステムによって送ることができないようにするという方法がありますが、そもそも、詐欺メールを送っても得るものが全く無いか、かける労力に見合わなければ送る意味は無いので、詐欺メールが減らないというのは、受信者側に犯罪者にとって魅力的な”獲物“と思わせるだけのものがあるからと言えます。
ここでは、考えうる観点を5つほど挙げてみることにします。
📌1. 高い信頼文化と「疑う」習慣の欠如
日本社会は「信用ベース」で成り立っている部分が強く、特に年配層においては「役所や金融機関から来たメールや電話は本物」「著名な人は嘘など言わない」と思い込みやすい傾向があります。この”「疑う」ことに対する抵抗感“が、詐欺師にとっては好都合なのです。
📌2. 高齢化社会とデジタルリテラシーの格差
スマホやインターネットの利用者が増えたとはいえ、中には基本的なセキュリティ知識が十分でない方も少なくありません。そのため、偽サイトに気付かず情報を入力してしまうケースが後を絶たないのです。
この点では高齢者がターゲットになりやすいと言えますが、年齢に関係なく、自分が好む情報、都合のいい情報にしか触れないような環境に居る場合も、知識が偏り、自分が知らない情報には騙されやすい状況となるため、詐欺師にとっては好都合となります。
📌3. 巧妙化する手口と低い検挙率
フィッシング詐欺は海外のサーバーを経由して行われることが多く、犯人の特定が非常に困難です。日本の警察でも対応が難しく、検挙率が低いことが詐欺グループの「やり得」状態を助長してしまっています。
また、警察の人員にも限りがあるため、物量にものを言わせて大量の詐欺メールを送り、取り締まりが追いつかない状況を作り出していることも、「やり得」状態を助長してしまっていると言えます。
📌4. 組織のセキュリティ教育が遅れている
企業や自治体でも、従業員に対するセキュリティ教育が十分とは言えないケースがあり、実際に内部のメールアドレスが流出して悪用される事例もあります。これにより、より信頼性が高く見えるフィッシングメールが生成されてしまうのです。
📌5. 「面倒くさい」が生む油断
「二段階認証は面倒だから使わない」「メールくらい大丈夫だろう」という小さな油断が、結果的に大きな被害につながることもあります。利便性と安全性のバランスをとる意識が、まだまだ浸透していない現実も見逃せません。
🛡️まとめ
フィッシング詐欺は「人の心理」を突いてくる犯罪です。そして日本社会には、詐欺師が狙いやすい土壌がいくつも残っています。
被害を防ぐには、一人ひとりが「自分ごと」としてリスクを捉えることが何よりも大切です。国や企業の対策も重要ですが、日々のちょっとした意識の変化こそが、最大の防御となります。
標的型攻撃メール訓練の実施は、直接的には、自社のセキュリティを高めるためではありますが、社員のリテラシーを引き上げることにより、社会全体として、詐欺メールを送ることは無駄な行為であるという雰囲気を作り出していくことに繋がる、社会貢献でもあると考えます。
