ストーリーズ

2025年10月23日
インターネット取引を安心してご利用いただくために

巧妙化するフィッシング、ディープフェイクなど、AI時代の脅威に備えるための指針

PayPal Pte. Ltd. 東京支店 セキュリティ責任者 田中 智樹

インターネット取引を安心してご利用いただくために

1. はじめに

インターネット取引は急速に拡大し、日常生活やビジネスに欠かせないものとなりました。その一方で、サイバー攻撃やオンライン詐欺の被害も年々増加しており、社会全体に大きな課題を投げかけています。特に近年は従来型のフィッシング詐欺に加え、生成AI(人工知能)を悪用した巧妙な詐欺手口も登場し、これまで以上に注意が必要となっています。

本稿では現在日本で増加しているサイバー脅威の動向、電子決済サービス業界としての取り組み、そして皆さまが実践できる対策について解説すると共に、ペイパルが取り組んでいる安全対策についてご紹介します。

2. 日本におけるサイバー脅威の最新動向

ランサムウェアとサプライチェーン攻撃

ランサムウェア(※1)は組織にとって最も深刻な脅威の一つです。国内の製造業、小売業、医療機関においても、データの暗号化や業務停止を強いられる事例が後を絶ちません。さらに、関連企業や委託先を経由して攻撃が広がるサプライチェーン攻撃(※2)も増加しており、対策を十分に行なっている企業であってもその被害に巻き込まれる事例が報告されています。

フィッシングメール攻撃の急増

2025年に入り、日本を標的とした攻撃が世界的に見ても突出して増加しています。2025年7月に全世界で新たに観測されたフィッシングメール攻撃の90%以上が日本を標的としたものであった(※3)、という衝撃的な報告もセキュリティ企業から出されています。攻撃対象は金融機関、クレジットカード会社、ECサイト、通信事業者など多岐にわたり、偽メールや偽SMSを通じて利用者を誘導し、パスワードや認証情報を盗み取る手口が確認されています。

攻撃者はフィッシングメールのフィルタリングを回避するため、メール文中へ無意味な文字を挿入するなど、手口を高度化させています。

AI(人工知能)を悪用した新しい詐欺

生成AIをはじめとするAI(人工知能)の進化が犯罪者に悪用され、これまでは考えられなかった犯罪の手段を提供しています。以下に代表的な事例を紹介します。

  • 自然で巧妙なフィッシングメール

    生成AIの技術向上により、以前のように不自然な表現が目立つことなく、自然な日本語のフィッシングメールを大量に生成することが可能になりました。この結果、従来は言語の壁で海外の犯罪者から守られていた日本の利用者が、フィッシング攻撃の標的になりやすくなったと考えられています。

  • ディープフェイク音声・映像

    ディープフェイク とは、AIの技術を利用して実在する人物の顔・声・動きを本物そっくりに生成・合成する技術です。ディープフェイクを用いた偽の電話やビデオ通話により、知人や取引先になりすまして送金を迫る手口が報告されています。攻撃者はリアルタイムで本人そっくりの声や映像を作り出すため、従来以上に見抜くことが難しくなっています。

  • チャット形式の偽サイト

    AIを悪用してチャット形式の自然な会話を装う偽サイトが確認されています。利用者は本物のサポート窓口とやり取りしているかのような錯覚を与えられ、安心感を持ったままクレジットカード番号や認証情報を入力してしまう危険があります。

  • ボイスフィッシング

    ボイスフィッシング(ビッシング)とは電話を利用して行うフィッシング詐欺で、「本人確認」や「認証コードの入力」を装い、情報を騙し取る手口が報告されています。従来はメールやSMSが主な手段でしたが、電話の悪用により被害に気付きにくくなっています。

このように生成AIの発展は我々の生活の利便性を高める一方で、詐欺をより現実的で信頼性のあるものに見せかける力を与えており、利用者にとって深刻なリスクとなっています。

3. 電子決済サービス業界としての取り組み

3. 電子決済サービス業界としての取り組み

電子決済サービス業界では不正利用やフィッシング詐欺といった脅威に対抗するため、業界をあげたセキュリティ対策の底上げ、EMV 3-Dセキュアによる本人確認の強化、パスワードレス認証の普及、メールなりすまし対策などを進めています。これらの取り組みは、利用者の皆さんにとって安心・安全な取引環境を支える基礎となっています。

金融業界におけるセキュリティ向上

金融庁は2024年10月に「金融分野におけるサイバーセキュリティに関するガイドライン」を公開しました。このガイドラインは金融機関におけるサイバーセキュリティの向上、および、サイバーリスクに対する日本の金融システム全体としての耐性を向上させることを目的として作成され、各金融機関においてガイドラインに沿った対応が行われています。

EMV 3-Dセキュアの義務化

EMV 3-Dセキュアは、オンラインでのクレジットカード決済時に追加の本人確認を行う仕組みです。クレジットカード決済のリスクレベルに応じて、パスワードやワンタイムコード、生体認証などによる追加認証を行うことで、不正利用を防ぐ仕組みです。

経済産業省の主導により、クレジットカード決済を行うオンラインショップは2025年3月末までにEMV 3-Dセキュア、または同等の不正対策を導入することになりました。これにより、従来のクレジットカード番号とセキュリティコードのみを利用した決済から、強化された本人確認を組み込んだクレジットカード決済への移行が行われました。

パスワードレス認証の拡大

パスワードは依然として最も狙われやすいセキュリティ上の弱点のひとつです。その解決策として、パスワードを利用せずにユーザー認証を行う、パスキー(次世代のパスワードレス認証)の導入が世界的に進められています。生体認証や端末固有情報を活用することで、フィッシング攻撃への耐性を持ちながらパスワード入力が不要な素早い認証という、より良いユーザー体験の提供にもつながっています。

4. 一人ひとりが実践できる基本対策

4. 一人ひとりが実践できる基本対策

高度化するサイバー攻撃から身を守るには、日々の小さな心がけが何より大切です。ここからは、誰でも簡単に実践でき、効果が確実に期待できる対策を紹介します。

ID・パスワードを使い回さない、パスワード管理アプリを活用する

皆さんが利用するオンラインサービスがサイバー攻撃の被害に遭い、そのユーザーID・パスワードが漏えいしてしまうことは、避けることができない事実です。しかしながら、同じユーザーIDとパスワードを複数のサービスで利用していると、1つのサービスでの漏えい事件がその他のサービスでの被害へと連鎖してしまいます。このようなことが起こらないよう、利用するサービス毎に異なるパスワードを設定してください。

皆さんは日常生活の中で、数え切れないほどのオンラインサービスを利用しているかと思います。ID・パスワードを使い回さないためにはパスワード管理アプリの活用が不可欠です。パスワード管理アプリはパソコンや携帯電話のOS、Webブラウザに組み込まれていますので、それらを有効活用しましょう。

多要素認証を利用する、可能であればパスキー認証を利用する

IDとパスワードだけではユーザーアカウントへの不正アクセスを防ぎきれません。利用可能であれば、ワンタイムパスワードや認証アプリなどを利用した「多要素認証」を有効にしましょう。多要素認証はIDとパスワードに加え、追加の認証方法を組み合わせることで、アカウントへの不正アクセスをより困難にする仕組みです。

もしパスキー認証(次世代のパスワードレス認証)が利用できるようであれば積極的に活用することを推奨します。パスキー認証はパスワードを不要とし、生体認証などを用いるため、フィッシング攻撃に強い特徴を持ちます。

デバイスを最新の状態に保つ

多くのサイバー攻撃は既知の脆弱性を悪用することで発生します。サイバー攻撃者はソフトウェアの欠陥に関する情報を常にモニターしており、悪用できそうな欠陥が公表された際には、その直後から新たな攻撃の開発を始めています。

オペレーティングシステム (OS) やアプリを最新の状態に保つことは、攻撃の入り口を塞ぐ最も基本的で効果的な防御策です。スマートフォンやパソコンには自動更新機能が備わっていますので、それらを積極的に活用しましょう。特にブラウザや決済アプリ、メールアプリなど、日常的に利用するソフトは標的になりやすいため、常に最新の状態を保つことが被害を防ぐ鍵となります。

メールやSMSのリンクを不用意に開かない

金融機関や宅配業者、大手ECサイトなどを装った偽のメールやSMSが日々送られています。これらのメッセージには「アカウントが一時的に制限されました」「不正なアクセスを検知しました」「配送できませんでした」といった不安を煽る文言が含まれ、リンクをクリックするよう誘導します。ここで不用意にリンクをクリックしてしまうと、偽サイトに誘導され、ID・パスワードや個人情報を盗取される恐れがあります。

不審なメールやSMSを受け取った際は、削除するか無視し、必要があれば公式アプリや正規のWebサイトに直接アクセスし確認してください。メッセージの送信元アドレスや電話番号が不自然でないか、日本語の言い回しに違和感がないかなどもチェックのポイントです。小さな注意が、被害を未然に防ぐ大きな一歩となります。

アカウント通知を有効化する

多くのオンラインサービスでは、ログインや取引が発生した際にユーザーへ通知する機能が提供されています。この「アカウント通知」を有効にしておくことで、不正アクセスを早期に発見することができます。

例えば、身に覚えのない国や端末からのログインや取引の通知を受け取った場合、それは攻撃者によるアカウントの不正利用の可能性があり、迅速に対応を行う必要があります。具体的には、パスワードの変更を行うとともに、サービス提供者への連絡を行ってください。

5. ペイパルの取り組み

5. ペイパルの取り組み

ペイパルは個人のユーザーと加盟店の双方を守るために以下の施策を実施しています。

最新のサイバー攻撃動向に対応するサイバーセキュリティ対策

24時間365日体制でサイバー攻撃に対する監視と対処を行なっています。また、ペイパルでは最新のサイバー攻撃の動向を継続的にモニタリングすると共に、新たな脅威に対応すべく、サイバーセキュリティ対策を改善し続けています。さらに、クレジットカード情報を安全に取り扱う事を目的として策定された、国際的な業界標準であるPCI DSS (Payment Card Industry Data Security Standard) に準拠しています。

パスキーを始めとする多要素認証によるユーザー認証のサポート

ペイパルではアカウントログインにおいてパスキーをサポートすることで、パスワードを覚えることなく安全かつ迅速なログインを可能としています。また、パスキー以外にも、認証アプリの利用など、多要素認証による安全なユーザー認証の手段を提供しています。

独自の不正防止モデル

ペイパルはオンライン決済の先駆けとして設立されてから、業界最高水準の不正防止モデルを独自に確立してきました。全ての取引を24時間、365日モニタリングしており、不審な動きがあった場合にはアカウントを制限するなど、お客様の被害を最小限に抑えるしくみで取引の安全性を確保しています。

6. おわりに

サイバー攻撃やオンライン詐欺は今後も進化を続け、生成AI(人工知能)の活用により、従来よりも巧妙で複雑な手口が増えることが予想されます。しかしながら、一人ひとりが基本的な対策を実践し、電子決済サービス業界が協力してセキュリティ強化に取り組むことで、被害を最小限に抑えることは可能です。

ペイパルはグローバルで培った知見と最新技術を活かし、日本のユーザーの皆さまが安心してインターネット取引を利用できる環境を提供し続けます。本稿でご紹介した内容が皆様のオンライン生活を安全なものにする一助となれば幸いです。

※1 ランサムウェア: 不正アクセスによりコンピュータ内のデータを強制的に暗号化し、利用できない状態にしてしまう悪意のあるソフトウェアの総称。攻撃者は暗号化を解除(復号)するための手段と引き換えに、利用者へ身代金の支払いを要求します。近年では、暗号化の前にデータを窃取し、「情報を公開されたくなければ身代金を支払え」と二重に脅迫する手口も一般的になっています。
※2 サプライチェーン攻撃: 取引先や業務委託先などを経由して、真の攻撃対象の組織や利用者を狙う攻撃。攻撃対象組織が利用するシステムの提供元を攻撃し、そこから攻撃対象組織のシステムに侵入する、という大規模なサプライチェーン攻撃による被害が実際に報告されています。
※3 日本プルーフポイント株式会社「日本が今、最も狙われている【続編】—プルーフポイントのデータからみる生成AI時代のメール脅威と対策」より

 
Contact Us - Filler feature box for Ad content
Media Resources - Filler feature box for Ad content
最新情報

ペイパルからの最新ニュースをメールで受け取ることができます

申し込む