フィッシング詐欺はどうして無くならないの？ 狙われる人間の心理

「Amazonプライムのお支払いに問題があります」 「【重要】〇〇銀行からのお知らせ：不正利用の疑い」 「お荷物のお届けにあがりましたが不在の為持ち帰りました」

皆さんのスマホやパソコンにも、こうしたSMS（ショートメッセージ）やメールが頻繁に届いているはずです。これらは、本物そっくりの偽サイトに誘導してパスワードやクレジットカード情報を盗み取る「フィッシング（Phishing）詐欺」と呼ばれるサイバー犯罪です。

長年「怪しいメールは開かない」「URLをクリックしない」と注意喚起され続けているにも関わらず、被害は年々増加の一途を辿っています。なぜ、フィッシング詐欺は無くならないのでしょうか。

---

1. 詐欺師は「テクノロジー」ではなく「人間の心理」をハッキングする

フィッシング詐欺が強力なのは、高度なプログラミング技術を使ってコンピューターの弱点を突くのではなく、「人間の焦りや恐怖」という心理の弱点を突いているからです。セキュリティ業界ではこれを「ソーシャルエンジニアリング」と呼びます。

例えば、深夜に突然「あなたのクレジットカードで30万円のパソコンが購入されました。心当たりがない場合は今すぐ以下のURLからキャンセルしてください」というメールが来たらどうでしょうか。 「えっ、不正利用された！？早く止めなきゃ！」とパニックになり、URLの文字列（ドメイン）が本物かどうかを確認する余裕もなく、偽サイトにログインして情報を入力してしまうのです。

どんなに高性能なウイルス対策ソフトを入れていても、「ユーザー自身の手でパスワードを入力して送信ボタンを押す」という行為を防ぐことはできません。

---

2. 巧妙化する手口：二段階認証も突破される？

少し前まで、「IDとパスワードだけでなく、スマホに届くSMSのコード（ワンタイムパスワード）を要求する『二段階認証』を設定しておけば安全だ」と言われていました。 しかし現在、フィッシング詐欺はこの二段階認証すら突破してきます。

中間者攻撃（Man-in-the-Middle）の恐怖

最新のフィッシングサイトは、ユーザーと本物のサイトの「間に立つ」ように作られています。

1. あなたが偽サイトにIDとパスワードを入力する。
2. 詐欺師のプログラムが、一瞬で「本物のサイト」にそのIDとパスワードを入力する。
3. 本物のサイトから、あなたのスマホに「二段階認証のSMSコード」が届く。
4. 偽サイトの画面に「SMSに届いたコードを入力してください」と表示される。
5. あなたが信じ込んでコードを入力すると、詐欺師がそれを本物のサイトに入力し、ログイン完了（乗っ取り成功）。

このように、リアルタイムでユーザーから情報を引き出し、二段階認証の壁をすり抜ける手法（AiTM攻撃など）が猛威を振るっています。

---

3. 私たちはどうやって身を守ればいいのか

人間の注意力が限界を迎えている現在、「気をつける」「URLをよく見る」という精神論だけでは身を守れません。仕組み（システム）で対抗する必要があります。

防御策①：パスキー（Passkeys）の利用

前述の通り、人間の手でパスワードを入力するシステム自体に限界があります。「パスキー」を利用すれば、ウェブサイトのURLと暗号鍵が強力に紐付くため、偽サイトに誘導されてもスマホが「ここは本物のサイトではない」と判断して認証をストップしてくれます。フィッシングをシステム的に無効化できる最強の防御策です。

防御策②：ブックマークや公式アプリからアクセスする癖をつける

メールやSMSで届いたURLは「原則すべて偽物だ」と疑うくらいのスタンスが丁度よいです。 アカウントの確認やパスワード変更が必要だと言われた場合は、メッセージ内のリンクは絶対に押さず、必ず自分が登録してあるブックマークや、スマホの「公式アプリ」を開いて、そこから確認する癖をつけてください。

---

4. まとめ：恥ずかしいことではない

もしフィッシング詐欺に引っかかってしまっても、決して「自分はITに疎くてバカだ」と責める必要はありません。最近の詐欺サイトは、セキュリティの専門家でさえ一見しただけでは見抜けないほど巧妙に作られています。

大切なのは、「人間は必ず騙される生き物である」という前提に立ち、パスキーなどの最新の防具を身につけ、日頃から正しいルート（公式アプリなど）を通る習慣をつけておくことです。