iPhone/Androidスマホやキャッシュレス決済、SNS、アプリに関する情報サイト スマホライフPLUS
スマホライフPLUS > パソコン・ITニュース > 二段階認証はもう役に立たない?「リアルタイムフィッシング詐欺」とは
New

二段階認証はもう役に立たない?「リアルタイムフィッシング詐欺」とは

(文=スマホライフPLUS編集部)

オンラインサービスやネットバンキングなどでセキュリティ対策として使われている「二段階認証」。しかし、近年「リアルタイムフィッシング詐欺」と呼ばれる新たな手口が登場し、従来の二段階認証さえ突破されるケースが急増しています。

この詐欺は、利用者が本物と信じてしまうほど巧妙に作られた偽サイトを使い、IDやパスワードだけでなく、ワンタイムパスワードや認証コードまでもリアルタイムで盗み取るのが特徴です。被害者が気付いた時には、不正送金やアカウント乗っ取りなど深刻な被害がすでに発生しているケースも珍しくありません。

二段階認証はすでにセキュリティ対策として「役に立たない」ものになりつつあるのでしょうか。具体的に見ていきましょう。

二段階認証はもう役に立たない?「リアルタイムフィッシング詐欺」とはの画像1
(Image:Shutterstock.com)
この記事の画像(4枚)
 スマホライフPLUS
SNS上で急増する「お金配り」への応募は危険? 現金配布の裏にある仕組み
SNS上で急増する「お金配り」への応募は危険? 現金配布の裏にある仕組み
https://sumaholife-plus.jp/life/10049/
2019年1月、実業家の前澤友作氏がフォロワーに総額1億円をプレゼントするという企画を行ったことで注目された「お金配り」。 前澤氏の同企画から長い年月が経ち、2025年現在、SNSには一般人による「お金配り」も見受けられるようになりました。 その中には安易に応募す...

「リアルタイムフィッシング詐欺」で二段階認証を破る手口とは

二段階認証は、基本的にはアカウント保護の基本的な手段として有効ですが、その万能性は「リアルタイムフィッシング詐欺」によって揺らぎ始めています。リアルタイムフィッシング詐欺は、ユーザーが入力した認証情報をリアルタイムで窃取し、正規サイトへ即座に不正アクセスすることで、ワンタイムパスワードなどを用いた二段階認証をも突破する巧妙な手口です。

まずは「リアルタイムフィッシング詐欺」によって、二段階認証を破る具体的な手順の例を見ていきましょう。

フィッシングサイトへの誘導と認証情報の取得

フィッシングサイトへの誘導と認証情報の取得1
(画像はスマホライフPLUS編集部で作成)

この詐欺の第一段階は「誘導」。攻撃者は、金融機関や大手企業などを装った偽のメールやSMSを送信し、ターゲットをフィッシングサイトへ誘導します。

続いては認証情報の窃取。ターゲットがフィッシングサイトにIDとパスワードを入力すると、攻撃者はその情報をリアルタイムで窃取するという仕組みになっています。

フィッシングサイトを活用した二段階認証の突破

フィッシングサイトを活用した二段階認証の突破1
(画像はスマホライフPLUS編集部で作成)

続いて攻撃者は窃取したIDとパスワードを使い、即座に正規のウェブサイトへログインを試みます。

正規サイトがワンタイムパスワードなどの追加認証を要求すると、攻撃者はフィッシングサイト上でも同様の入力をターゲットに促します。ターゲットがSMSで受信したワンタイムパスワードなどをフィッシングサイトに入力すると、攻撃者はその情報もリアルタイムで窃取し、正規サイトの認証を突破して不正アクセスを完了させます。

従来のフィッシング詐欺との違いと被害状況

従来のフィッシング詐欺は、主にIDやパスワードなどの情報を盗み、後から不正利用する手口が一般的でした。しかし、リアルタイムフィッシング詐欺は、ワンタイムパスワードなどの認証情報をリアルタイムで取得し、その場で不正アクセスを実行します。このため、利用者が対策を講じる前に被害が発生するスピード感が大きな違いです。

2023年の警察庁と金融庁の連名での発表によると、フィッシング詐欺の被害総額は約80.1億円だったとのこと。さらに2025年5月には楽天、SBI、野村、マネックス、SMBC日興証券など9社で証券口座が乗っ取られて株が勝手に取引されるという事件が急増しました。これもリアルタイムフィッシング詐欺による被害です。

二段階認証はリアルタイムフィッシング詐欺に無力なのか?

二段階認証は、従来は強固なセキュリティ対策とされてきましたが、リアルタイムフィッシング詐欺の前では完全な防御策とは言えません。なぜなら、攻撃者が利用者と同時進行で認証プロセスを進め、短時間しか有効でない認証コードさえもリアルタイムで盗み取ることができるからです。

ただし、二段階認証がまったく無力というわけではありません。たとえば二段階認証における「認証方法そのもの」をSMSやメールによるコード送信ではない形に切り替えるだけで、認証の強度は上がります。たとえば端末認証や生体認証、FIDO(パスキー)などフィッシング耐性の高い認証方式を導入することで、攻撃者によるリアルタイムの情報搾取を防ぐことが可能でしょう。

二段階認証はリアルタイムフィッシング詐欺に無力なのか?1
(画像はスマホライフPLUS編集部で作成)

つまり、二段階認証そのものの重要性が揺らいでいるわけではありませんが、二段階認証の「方法」自体は見直しが必要と言えるかもしれません。メールによる二段階認証はお手軽ですが、近年の詐欺被害の大きさを踏まえると役割を終えつつあるのかもしれません。

個人でもできる対策とは

リアルタイムフィッシング詐欺の被害を防ぐためには、まず「SMSやメールで届いたリンクからは絶対にログインしない」ことが最も重要です。普段利用している金融機関やサービスの公式サイトは、必ずブックマークや公式アプリからアクセスするよう心がけましょう。また、公式ブランドロゴやハンドルネームの表示など、正規のメールの特徴を確認するのも有効です。

さらに、利用明細や利用通知サービスを活用し、不審な取引がないかを日常的にチェックすることも大切です。もしフィッシングサイトに情報を入力してしまった場合は、速やかにパスワードや認証情報を変更し、金融機関やカード会社に連絡して利用停止などの措置を講じましょう。

※サムネイル画像(Image:Shutterstock.com)

スマホライフPLUS編集部

スマホライフPLUS編集部

スマホライフPLUSは、スマホやデジタルサービスを活用するための情報を提供するITメディアです。
iPhone・Androidの便利な使い方、SNSの活用術、キャッシュレス決済、ネット銀行、金融アプリなど、日常生活に役立つテクニックやお得な情報を紹介・レビューしています。スマホが欠かせない時代に、より賢く活用するためのヒントを独自の視点から発信しています。

二段階認証はもう役に立たない?「リアルタイムフィッシング詐欺」とはのページです。スマホライフPLUSは、【パソコン・ITスマホインターネットフィッシング詐欺SMS詐欺二段階認証詐欺】の最新ニュースをいち早くお届けします。