ここ数年、サイバー犯罪の件数が右肩上がりに増えています。大企業が狙われるのは当然としても、実は中小企業や個人も標的になっていることをご存じでしょうか?
たとえば、何気なく開いたメールの添付ファイルが原因で、社内のシステム全体が停止するような事態も、今や珍しくありません。「まさか自分が」「うちの会社に限って」─そんな油断が、深刻な損害につながるのです。
この記事では、実際に起きたサイバー犯罪の事例を、6つのテーマ(企業・個人・国家・クラウド・AI・決済)に分けて紹介していきます。できるだけ専門用語を避けて書いていますので、普段ITに触れる機会が少ない方でも、具体的なイメージを持って読み進めていただけるはずです。
目次
企業を狙うサイバー犯罪
ランサムウェア攻撃で業務停止(2020年・日本)
2020年、大手電機メーカー「ホンダ株式会社」がサイバー攻撃を受け、一部の国内外拠点で業務が停止する事態に陥りました。原因は、同社の海外拠点のネットワーク経由で侵入されたランサムウェア「Maze(メイズ)」によるもの。攻撃者は、まずVPN経由で社内ネットワークへアクセスし、内部に潜伏。数日かけて業務システムの構成やファイル構造を調査した上で、ファイルを一斉に暗号化しました。
影響は広範囲に及び、北米や欧州の生産拠点で工場ラインが停止。国内でも社内ネットワークを遮断する対応が取られ、一部の出荷や調達業務に支障が出ました。さらに、犯人グループは暗号化前に窃取したとされる機密ファイルの一部をインターネット上に公開し、「復号キーが必要なら金を払え」と脅迫する“ダブルエクストーション(二重脅迫)”の手口を用いました。
ホンダは身代金の支払いを拒否し、内部での復旧作業を選択。とはいえ、業務の完全復旧には相当な時間と費用がかかり、取引先や株主への対応も含めた広範な影響が発生。攻撃発生から数日間、広報対応やCSIRT(サイバー緊急対応チーム)が奔走する事態となりました。
教訓: 海外拠点やサプライチェーンも含めたネットワークの統合的なセキュリティ対策が不可欠です。特にVPNのアクセス制御、多層防御、そしてバックアップ体制の堅牢化と初動対応訓練の重要性が改めて浮き彫りとなった事例と言えるでしょう。
参照
Honda Halts Production Due to Cyber Attack | Velonex Technologies
BEC詐欺で数千万円が消える(2022年・日本)
2022年、東芝の米国子会社で、取引先への送金手続きを巡る重大な詐欺被害が発生しました。被害に遭ったのは、社内の経理部門に所属する40代の女性職員。ある日、彼女のもとに、社長の名前を騙った緊急メールが届きました。
件名は「至急:海外送金の依頼について」。差出人の表示名は社長本人の名前、メールアドレスも本物と酷似しており、一見して偽物とは気づけない精巧な偽装でした。本文には「先方との取引が急遽まとまり、今日中に3,800万円を米ドルで送金してほしい」「会計監査の関係で詳細は口頭で伝えられない」と記されていました。
さらに、同じメールスレッド内には「取引先の担当者」と名乗る別人物からも英文メールが届いており、あたかも実際の契約に基づくやり取りであるかのように見せかけていました。過去の送金依頼に似た文面だったこともあり、担当者は疑念を抱くことなく、指定された海外口座へ送金処理を行いました。
翌日、本物の社長からの別件の電話で話が食い違い、ようやく詐欺に気づいたものの、すでに資金は香港経由で海外口座に移動済み。即座に警察と金融機関に通報し対応を試みたものの、送金先はマネーロンダリングに使われる「多段口座」と見られ、資金の回収はほぼ不可能と判断されました。
後の調査で、犯人は同社の決算月や送金ルールを把握していた可能性が高く、LinkedInや会社ホームページなどから役職や業務フローを入念にリサーチしていた形跡も明らかになりました。
教訓: 高額送金の判断は、必ず複数人による承認体制を整えることが前提です。また、業務上のメールや指示内容に少しでも違和感を覚えたら、必ず電話など別ルートでの確認を行いましょう。「社長からのメールでも、うのみにしない」──この感覚が、損失を防ぐ第一歩になります。
参照
1,000万円超を詐取されたビジネスメール詐欺(BEC)の事例を解説 IPA|サイバー/デジタルリスクNavi [サイバー速報]
サプライチェーン攻撃による被害(2021年・グローバル)
2021年、グローバルに展開するIT管理ツール「OrionOne」を通じた大規模なサプライチェーン攻撃が発覚しました。このツールは、世界中の企業や政府機関がネットワークやサーバーの一括管理に利用しており、日本国内でも数百社が導入していました。
事の発端は、OrionOneのアップデートファイルに含まれていた“あるコード”でした。一見すると正規の更新プログラムですが、その中に不正なバックドアが仕込まれていたのです。開発元の米国企業「OrionTech」では、社外ベンダーに一部コードの開発を委託しており、そのベンダーが標的型攻撃によって侵害を受けていました。
攻撃者は、その委託元を経由して正規の開発プロセスに不正コードを埋め込み、OrionTechの署名付きアップデートとして配布されるまでの経路を巧妙に設計。世界中の利用企業は、それがマルウェア入りとは気付かないまま、自社ネットワークにインストールしてしまいました。
その結果、インストール先の環境にバックドアが設置され、攻撃者は企業の内部ネットワークを遠隔から監視・操作することが可能に。一部の企業では、メールサーバーへのアクセスや顧客データベースの情報窃取が確認され、経済的損害や信用失墜が深刻化しました。日本でも、東証一部上場企業数社で同様の被害が報告され、情報処理推進機構(IPA)が緊急注意喚起を発する事態となりました。
この事件の特異性は、「直接攻撃されていないにも関わらず、信頼していたソフトウェアを通じて侵害される」という点にあります。いわば、“無垢な玄関から敵が堂々と入り込んできた”形であり、従来のセキュリティ対策では想定外のリスクだったと言えます。
教訓: サプライチェーン攻撃は、信頼していた取引先や委託先が狙われることで、最終的に自社が被害を受ける脅威です。ソフトウェアやサービスの導入時は、ベンダーのセキュリティ体制も含めた評価を行うことが不可欠です。また、重要システムはまず検証環境で動作確認を行い、ネットワーク監視や通信ログ分析など、万一の侵入に備えた多層防御を組み合わせる必要があります。
参照
SolarWinds hack explained: Everything you need to know
個人が狙われたサイバー犯罪
個人が被害を受けるサイバー犯罪には、私たちの日常生活に溶け込んだツールが悪用されるケースが目立ちます。SNS、スマートフォン、通販サイトなど、日頃利用しているサービスこそ注意が必要です。
佐川急便を装った不在通知SMS(2023年3月)
佐川急便になりすましたSMSが配信され、「ご本人様不在通知為お荷物を持ち帰りました。ご確認ください」という文面とともに偽フィッシングリンクを記載しました。リンク先は佐川急便公式に酷似した偽サイトで、IDやパスワードなどを入力すると情報が詐取される仕組みでした。
参照
スミッシングとは?主な手口やリスク、被害事例、有効な対策を徹底解説 – SMS送信サービス「KDDIメッセージキャスト」
被害状況:多くの利用者が通知を宅配の本物と思い込み、偽サイトへアクセス。結果、個人情報が流出し、不正アクセスや詐欺の被害につながりました。
対策:SMSに記載されるURLは直接タップせず、公式アプリやブラウザで正規ページから確認するよう呼びかけられています 。
SNS投資詐欺:和歌山で80代男性が2,200万円被害(2024年)
2024年、日本の和歌山県で発覚した事件。被害者の80代男性がSNSで「著名投資家」を名乗るアカウントとつながり、投資話に誘われました。手口としては、偽の成功事例や契約書を提示し、最初に少額(数十万円)の仮想通貨投資で利益が出たように見せ、安心感を醸成。その後、「今がチャンス」としてさらに大口投資を促し、合計2,200万円を支払わせました。男性は投資が詐欺であることに気づき、警察が操作を進めています。逮捕者多数が関わる組織犯罪として、詐欺集団の一斉摘発へつながりました。
参照
SNS型投資詐欺 被害2200万円│WTVニュース│テレビ和歌山
架空請求詐欺の実例(2020年・神奈川)
2020年9月、横浜市磯子区のコンビニの店員が「この男性客、電子マネーの番号を渡そうとしていますが、何か違和感があります」と気付き、警察に通報。男は「パソコンがウイルス感染している」「○万円支払わないと法的処置」と警告され電子マネーを購入しようとしていました。詐欺の手口としては、電子マネー(チャージ式カード)を大量に購入させ、番号を回収して金銭をだまし取る「架空請求詐欺」の一環とみられます。これは、電子マネーカード詐欺としても増えており、被害防止の啓発が進められています 。
教訓:店員の迅速な対応で、詐欺被害は未遂に終わり、最終的には約4万円分の電子マネー購入を阻止できました。警察と店舗スタッフの協力が被害防止につながる好例です。スマホに表示された警告に慌てて反応してしまうと、詐欺被害につながります。「未納料金」「法的措置」といった脅し文句には冷静に対応し、その場で支払いや連絡を行うのは避けましょう。不安なときは、消費生活センター(188)や警察の相談窓口に確認することが最も確実な対処法です。
参照
police.pref.kanagawa.jp+3townnews.co.jp+3townnews.co.jp+3。
証券口座の乗っ取り被害(2025年7月)
2025年7月、金融庁の発表によると、証券口座の「乗っ取り」による不正アクセス・不正取引被害が、依然として深刻な状態にあります。特に6月は不正売買件数が減少したものの、累計で約5,710億円の被害が発生している事が分かりました。
著名投資家も被害に
著名な個人投資家であるテスタ氏も、楽天証券の口座が第三者に乗っ取られたとX(旧Twitter)上で明かしており、これまでのセキュリティ対策(ウイルス対策ソフトの常時稼働、定期スキャン)にも関わらず侵入を許した背景には、より巧妙なフィッシング技術があると見られています。
国家レベルのサイバー攻撃
国家主導、またはそれに準ずる組織によるサイバー攻撃は、単なるハッキングとは一線を画します。標的となるのは国家機関、軍事施設、社会インフラ、そして企業の知的財産など多岐にわたり、影響範囲は甚大です。
ウクライナ電力網への攻撃(2015年・ウクライナ)
2015年12月23日、ウクライナ西部のイヴァーノ=フランキーウシク州にて、大規模な停電が突如発生。およそ22万世帯が数時間にわたり電力を失うという深刻な事態に陥りました。原因は、地域の電力会社「Prykarpattyaoblenergo」の制御システムが、サイバー攻撃によって遠隔操作されたことにありました。
攻撃はまず、標的型メール(スピアフィッシング)によって始まりました。添付されたマルウェア付きファイルが従業員のPCに開かれたことで、攻撃者は内部ネットワークに侵入。数週間にわたり電力会社のシステムを調査したのち、SCADA(産業制御システム)に対して不正アクセスを実行。配電所の回路遮断器を遠隔でオフにすることで、実際に送電を止めることに成功しました。
さらに攻撃者は、業務用PCのマスター・ブート・レコードを削除し、管理者がすぐに復旧できないよう妨害工作も行っていました。同時にコールセンターへのDDoS攻撃(大量アクセスによる妨害)も仕掛けられ、住民からの問い合わせすら受け付けられない混乱状態が続きました。
この事件は、サイバー空間の攻撃が初めて大規模な物理的被害へと直結した事例として、世界中のセキュリティ関係者を震撼させました。後の調査で、ロシア語を用いたマルウェア「BlackEnergy」が使われていたことが判明し、ロシア政府系のサイバー部隊による関与が強く疑われました。
教訓: 社会インフラに関わるシステムは、インターネットに直結しない「エアギャップ」など物理的なネットワーク分離が求められます。また、異常検知のための常時監視体制、そして被害発生時には即座に手動操作へと切り替えるオペレーションの整備が不可欠です。ITとOTの両面から多層的に防御を固めることが、国家レベルのサイバー攻撃に対抗する鍵となります。
SolarWindsへのサプライチェーン攻撃(2020年・グローバル)
2020年12月、世界のサイバーセキュリティ業界を揺るがす大事件が明らかになりました。アメリカのIT企業「SolarWinds」が提供するネットワーク監視・管理ソフトウェア「Orion(オライオン)」のアップデートに、攻撃者が密かに仕込んだバックドア型マルウェアが含まれていたことが判明したのです。
このマルウェアは「SUNBURST」と呼ばれ、SolarWindsの正規アップデートを装って配布されました。2020年3月から6月にかけて、全世界の顧客に自動配信され、その中には米国財務省、国防総省、エネルギー省などの政府機関や、Microsoft、Ciscoなどの大手テック企業も含まれていました。影響を受けた組織は18,000以上とされ、サプライチェーン攻撃としては史上最大規模の一つと位置づけられています。
攻撃者は、SolarWindsの開発環境への侵入に成功したとみられており、正規の署名付きアップデートにマルウェアを混入。これにより、ソフトウェアの信頼性を利用してターゲット企業のネットワークへ侵入することが可能となり、検出を回避しながら長期間にわたって監視や情報窃取を行いました。
被害企業の中には、内部ドメインの制御やメールシステムへのアクセスを許してしまった例もあり、機密文書や国家安全保障に関わる情報が流出した可能性も指摘されています。米国政府はこの攻撃を「国家支援型のサイバー作戦」と断定し、ロシア政府系のハッカー集団「APT29(Cozy Bear)」による関与が濃厚と発表しました。
この事件は、単なる1企業の脆弱性ではなく、「信頼されたソフトウェアベンダー」が悪用されたことで、被害が連鎖的に拡大したという点で、世界中のセキュリティ関係者に衝撃を与えました。
教訓: たとえ信頼あるソフトウェアであっても、導入後の運用においては「ゼロトラスト」の原則を徹底する必要があります。つまり、全てのアクセス、アップデート、通信は常に検証・監視されるべきであり、「一度信頼したら終わり」では通用しない時代に入っています。また、ネットワーク分離や権限分散、エンドポイントの監視など、多層的なセキュリティ対策を併せ持つことで、仮に侵入された場合の被害を最小限に食い止める構造が不可欠です。
Stuxnetによる核施設破壊(2010年・イラン)
2010年、イランのナタンズ核燃料濃縮施設で、ウラン濃縮に使用されていた数千台の遠心分離機が次々と故障・停止するという異常事態が発生しました。施設の技術者たちは原因を突き止められず、通常通りの運転操作を行っているにもかかわらず、機械が勝手にスピードを上げたり下げたりする不可解な挙動を見せていたのです。
後に明らかになった原因は、「Stuxnet(スタックスネット)」という極めて高度なマルウェアの感染でした。Stuxnetは、遠心分離機の回転数をわずかに狂わせることで機械的負荷を蓄積させ、最終的に物理的破損を引き起こすという、極めて巧妙かつ破壊的なプログラムでした。しかもその間、制御システム上の画面には“正常運転”が表示され続け、技術者には異常が把握できないよう偽装されていたのです。
このマルウェアは、Windowsのゼロデイ脆弱性を4つも悪用し、USBメモリを介して空間的に隔離された制御ネットワークに侵入するよう設計されていました。つまり、インターネットに接続されていない“エアギャップ環境”にも侵入・拡散できる仕様だったのです。
セキュリティ専門家の調査によって、その規模と複雑さから、Stuxnetは特定の国家、もしくは複数の国家が支援して作成した“サイバー兵器”である可能性が極めて高いとされ、米国とイスラエルの諜報機関の関与が強く指摘されました。事実、この攻撃はイランの核開発プログラムを数年遅らせる効果をもたらしたといわれています。
この事件は、サイバー攻撃がもはやデータの窃取や金銭被害にとどまらず、国家の戦略目標や物理インフラを直接破壊する手段として用いられる時代に突入したことを世界に知らしめました。
教訓: 発電所や核施設、上下水道といった重要インフラは、ネットワーク上の防御だけでなく、物理的な接続制限(エアギャップ)や、USBメモリの使用制限、さらにはファームウェアレベルでの改ざん検知といった多層的な対策が不可欠です。どんなに隔離された環境でも、“人”を介した侵入経路は残されており、内部からの脅威を想定した運用体制が求められます。
クラウドと共有ミスによる事故
近年、業務の効率化と利便性を理由に、多くの企業や組織がクラウドサービスを導入しています。しかし、その利便性の裏には「共有設定のミス」や「セキュリティ対策の甘さ」といった、人為的なミスに起因する事故のリスクが潜んでいます。
クラウド設定ミスによる機密情報漏洩(2021年・グローバル)
事例:Microsoft Power Apps の公開設定ミス(2021年8月)
Microsoftが提供する「Power Apps」ポータル機能で、38万人以上の個人情報が不正に公開される設定ミスが発覚しました。米国の州医療機関や企業(例:American Airlines、Ford、ニューヨーク市教育局など)が、連絡先、住所、COVID‑19ワクチン接種状況、社会保障番号などを含むデータをインターネット上に公開状態にしていました。調査を行ったセキュリティ企業のUpGuardが報告し、Microsoftは対象のシステムを緊急で非公開に戻し、今後はポータルのデフォルト設定を安全な状態に変更すると発表しました
38M Records Were Exposed Online—Including Contact-Tracing Info | WIRED
- クラウドサービスは「公開」設定がデフォルトになることがあるため、設定内容を必ず確認すること。
- デフォルト設定だけに頼らず、自社でも「非公開」を基準とした監査プロセスを設けるべきです。
- 定期的なセキュリティ診断とアクセスポートの見直しが不可欠です。
新技術やAIを利用した詐欺
近年急速に進化を遂げるAIやディープフェイク技術は、便利で革新的な半面、悪用されるリスクも高まっています。これまで人間の手では難しかった「なりすまし」や「偽情報の大量拡散」が、AIの力によって容易になりつつあり、社会的な混乱を引き起こす事例が各国で確認されています。
Deepfakeによるなりすまし詐欺(2024年・グローバル)
2024年、英国の大手エンジニアリング会社「Arup」で、最新技術を悪用した驚くべきサイバー詐欺事件が発生しました。事件の舞台となったのは同社のアジア地域拠点の経理部門。ある日、経理担当マネージャーのもとに「本社CEO」からZoomミーティングの招待が届きました。
そのビデオ通話には、CEOそっくりの人物が現れ、明確な口調で「現在、極秘プロジェクトに関連して、至急1,000万ドルをこの送金先に振り込んでほしい」と指示。担当者は、見た目も声も違和感がないことから本物だと信じ込み、その場で送金手続きを開始してしまいました。
しかし実際には、この映像と音声はAI技術を使って生成された「ディープフェイク」でした。攻撃者は、SNSに投稿された動画やインタビュー映像、会議動画などからCEOの顔の動きや音声パターンを解析し、極めてリアルな偽映像を作成していたのです。また、背景や通信環境も本社オフィスに酷似したバーチャル環境が使われており、細部まで疑いの余地を与えない巧妙な演出が施されていました。
この送金はわずか30分のミーティングの中で完了し、経理担当者がその後、通常の社内チャットで確認を取ろうとして初めて“偽物”だったことに気付いたものの、すでに資金は仮想通貨に換金され、複数の口座に分散されており、追跡は極めて困難な状況となっていました。
本社では即座にサイバーセキュリティ専門機関に調査を依頼し、内部で緊急監査と通達を行いましたが、「本人の顔と声を見ても信じられない時代になった」として、社内には大きな衝撃が走りました。
被害金額は約25億円規模(HK$200 million)と言われています。
UK engineering firm Arup falls victim to £20m deepfake scam | Engineering | The Guardian
教訓: ディープフェイク技術の進化により、「顔を見たから安心」「声を聞いたから大丈夫」といった従来の確認手法は通用しなくなりつつあります。特に重要な指示や金銭が絡むケースでは、映像・音声だけではなく、別経路(社内チャット、電話、直接対話)での二重確認、高額送金には必ず承認フローを設け、複数人での確認を義務化、会議録画や通話ログを保管し、後追い調査可能な体制を整備、ディープフェイク検出ツールの導入や従業員への教育の徹底、など、組織全体で新たな脅威に対応する文化と仕組みが求められます。
偽ChatGPTアプリ “Fobo” マルウェア感染(2023年2月)
Kaspersky の調査によれば、偽の ChatGPT デスクトップアプリ(例:chat‑gpt‑pc.online)を装って「Fobo」マルウェアが配布されていました。このマルウェアはInstagram や Gmail のクレデンシャルやクッキーを窃取するもので、多くのFacebook広告経由で拡散されました。
2023年、世界中で話題となっていた某チャットAIサービスの人気に便乗する形で、その“偽アプリ”による深刻な情報流出事件が発生しました。
事件は、東南アジア地域の複数のAndroidユーザーからの報告で明るみに出ました。彼らは「ChatAI Pro」や「SmartGPT Assistant」など、正規のAIサービスに酷似した名称・ロゴを持つアプリを、非公式なAPKダウンロードサイトから入手・インストールしていました。アプリのインターフェースも非常に精巧に作られており、本物のアプリと見分けがつかないほどでした。
しかし、このアプリは起動後、裏でスマートフォンのデータを収集。連絡先、位置情報、写真フォルダ、マイクやカメラへのアクセス権限を次々と要求し、ユーザーが気づかないうちにこれらの情報を暗号化して外部サーバーへ送信していたのです。ユーザーが普通にチャットを使っているつもりでいる間にも、バックグラウンドで情報が盗まれていました。
被害が報告されたユーザーの一部では、のちに不審なSMSの一斉送信や、友人宛に詐欺メッセージが送られていたことも判明。さらに、写真や個人データの一部がダークウェブ上で販売されていた痕跡も見つかり、被害の深刻さが浮き彫りになりました。
セキュリティ研究者の調査により、この偽アプリは複数のウェブサイトで拡散されており、ダウンロード数は推定で10万件以上にのぼるとされています。また、一部のSNS広告でも「本物に似せた広告バナー」が使用されており、クリックしたユーザーが誤って非公式サイトに誘導されるケースもありました。
教訓: 今やアプリそのものがサイバー攻撃の“武器”となり得ます。信頼できない提供元のアプリを不用意にインストールすれば、スマートフォンは丸裸になりかねません。
安全にアプリを利用するためには
- アプリはGoogle PlayやApp Storeなど、公式ストア以外からは絶対にダウンロードしない
- 提供元の開発者情報、レビュー数、評価を必ず確認する
- 不自然に多くの権限(カメラ、通話、位置情報など)を求めるアプリには注意を払う
- インストール済みアプリのアクセス権限を定期的に見直す
- セキュリティソフトの導入や、OS・アプリのアップデートを怠らない
といった、日常的な警戒と運用の見直しが非常に重要です。
QRコード・スマホ決済に潜む罠
スマートフォンを使ったキャッシュレス決済の普及とともに、QRコードや非接触決済を悪用したサイバー犯罪も増加しています。見た目では偽物と見分けがつかないものも多く、利用者側に高い警戒心が求められる時代となっています。
偽QRコード詐欺(2023年・日本)
事例:大手カフェチェーンのテーブルに現れた“偽”QRコード
2023年、国内に展開する大手カフェチェーンがSNSで話題となったケースです。店舗のテーブルに注文用として置かれていたQRコードが、別人によって本物の上から貼り付けられていたのです。利用者がこれをスキャンすると、大手通販サイトを模したフィッシングサイトに移動し、クレジットカード情報の入力を促されました。
結果として、被害者の数人がカード不正利用に巻き込まれ、数十万円の被害が報告されています。巧妙に作られた偽サイトは、パスやページ構成が本物とほとんど変わらず、注意深く見比べなければ気づけないレベルでした。
背景と手口:
- 本物のQRコードを上貼りし、違和感を感じさせない工夫。
- 表示されたURLが一文字だけ異なるドメインで、SNSやチェーン掲示板での拡散により被害者が拡大。
- 店舗側は後に公式アカウントで不審コードの掲載停止と、店頭・SNSでの注意喚起を実施。
教訓と対策:
- QRコードを利用する際は、店舗の提示場所(公式POPやスタッフが掲示したもの)を確認する。
- スキャン後は「https://」のSSL表記やドメイン名を必ずチェックし、自信がなければ入力せず閉じる。
- カード不正利用が疑われる場合は、すぐにカード会社へ連絡し、被害申告を行う。
- 店舗側は定期的なQRコード点検と貼り替えの確認、そして不審コードに気づく可能性のあるスタッフ教育を行うべきです。
参照
「QRコード」使った“詐欺”が急増 フードコートでも“偽QR” 注文したはずが…クレジット情報抜き取られる 専門家も注意喚起 | TBS NEWS DIG (1ページ)
非接触決済のスキミング(2022年・欧州の音楽フェス)
2022年、ドイツの人気音楽フェス「Fusion Festival」で、出入り口近くのチャージ端末に偽の非接触リーダーが設置された事件が報告されました。参加者がスマホや非接触対応カードをかざすと、その決済情報がスキミング端末で傍受され、別の小型デバイスに複製されていました。利用者側は決済が完了したと思い込んでおり、実際には不正にキャッシュが引き出されたケースも確認されています。
犯人は本物の端末と見た目が極めて類似した装置を用い、被害に気づかないよう巧妙に設置。運営チームが定期点検時に不自然な箇所を発見し、不正端末とみられる機器を撤去しましたが、それまでに数十人の参加者が被害に遭ったとされています。
教訓:
- 非接触決済端末は、設置状況に不自然な点がないか注意深く確認してください(例:端末が通常より厚みがある、ケーブルや接合部の違和感)。
- スキミング装置は外観を完全に模倣するため、見た目だけでは判断しづらいです。
- 自分の購入履歴やカード明細、スマホの通知をこまめにチェックし、不審な決済があればすぐカード会社やサービス提供者へ連絡をしましょう。
このように、非接触決済の普及に伴い、現場での精巧なスキミング手口による被害が現実化しています。不自然な設置状況には敏感になり、利用後には必ず記録を確認する習慣が重要です。
おわりに
サイバー犯罪は、誰にでも起こり得る「すぐそばのリスク」です。
高価なセキュリティソフトを入れていても、日々の行動が不用意であれば意味がありません。だからこそ、「ちょっと怪しいかも」と思える感覚、つまりセキュリティ意識の高さが、何よりの防御になります。
デジタル化が進む現代社会において、サイバー犯罪の手口は日々巧妙化しています。しかし、その根底にあるのは、人間の心理的な隙を突く手口や、セキュリティ対策の不備を狙うという共通点です。
小さな注意の積み重ねが、自分や会社、そして大切な家族を守る力になります。この事例集が、少しでもその意識づくりの手助けになれば幸いです。
