目次：

• 詐欺の種類と特徴
• フィッシング
• ナイジェリアプリンス詐欺
• オンラインショッピング詐欺
• マーケットプレイス詐欺
• 投資詐欺
• 偽の宝くじ詐欺
• ビジネスメール詐欺（BEC）
• テクニカルサポート詐欺
• 配達通知詐欺
• ロマンス詐欺
• セクストーション（性的脅迫）・偽のセクストーション
• 健康・美容詐欺
• 法律・法的機関を装う詐欺
• 詐欺から身を守るための基本対策
• 詐欺は「いつか」ではなく「いつでも」起こり得ます

世界全体での詐欺による被害額は、年間1兆ドルを超えるとも言われています。これは、いくつかの国の経済規模に匹敵するほどの金額です。実際、世界中の人々の約半数が、毎週何らかの詐欺に遭遇しているというデータもあります。特にアメリカでは、1人あたりの平均被害額が3,520ドルと、世界でもトップクラスの被害が報告されています。
詐欺は年齢を問わず誰もが標的となり、メール、SNS、電話、さらには街中のQRコードを通じて私たちに忍び寄ってきます。詐欺はあらゆる場所に潜んでいます。被害に遭う前に、代表的な詐欺の手口を知っておきましょう。

フィッシングは、信頼できる企業やサービスを装い、パスワードや銀行情報などの個人情報を盗み取ったり、マルウェアを仕込んだリンクをクリックさせたりする手口です。「アカウントの有効期限が切れました」「未払い料金があります」など、緊急性を装って行動を促すのが特徴です。フィッシングの派生型として、QRコードを使った「クイッシング」、SMSを使った「スミッシング」、音声通話を使った「ヴィッシング」があります。

説明：ESETのテレメトリによると、2023年上半期に確認されたフィッシング詐欺メールは、代表的な手口のひとつです。上記画像はアメリカン・エキスプレスからの通知を装っており、「今すぐここで確認（Verify Here Now）」と記載されている目立つボタンをクリックすると、フィッシングサイトへ誘導される仕組みになっています。

ホモグリフとタイポスワッティングにご注意
ホモグリフは、正規のURLやメールアドレスを模倣するため見た目が似ている文字を使用します。タイポスワッティングは、人気のあるウェブサイトの正しいつづりに似せたドメイン名を登録ます。通常、ほんの僅かはスペルミスを含みます。いずれの手法も、フィッシング詐欺やショッピング詐欺で一般的に使われます。たとえば、「℮s℮t.com」は、文字『e』の代わりに「推定」記号の『℮』を2つ使用して「eset.com」を模倣しています。

「大金を送金したいので手伝ってほしい」と持ちかけ、協力を引き換えに多額の金銭を約束する古典的な詐欺です。詐欺師は、異国の政府機関の高官や王子を名乗り、巨額の資産を移すために協力を求めてきます。送金を円滑にするため、被害者に個人情報や前払い金を要求します。

説明：このメールの送信者は、アフガニスタンに派遣されているアメリカ陸軍の軍曹だと偽り、詐欺的な主張をしています。彼は、15kg（33.069ポンド）の金の延べ棒と100万ドルの現金を移送するための支援を求め、その見返りとして報酬を約束しています。

偽のウェブサイトや実際のオンラインサイトを偽った広告を使い、「激安」「期間限定」などの魅力的なオファーで注意を引きます。実在しない商品を販売したり、個人情報、さらには銀行情報を盗んだりする詐欺です。

説明：中国のオンラインマーケットプレイスで安価に販売されているバッグを、手作りの高級品であるかのように装い、セール品として提供する詐欺です。

存在しない商品やサービスに対して前払いを求める詐欺です。さらに悪いことに、ダークウェブ上では、詐欺師が詐欺用のアイテムリストが出回っています。偽の商品リスト、フィッシングサイト、偽の決済ゲートウェイ、SMS通知、被害者とチャットをリアルタイムで翻訳するツールなどを簡単に作成できるボットやツールキットが簡単に入手可能で、詐欺キャンペーンを大規模に展開するための手段が整っています。

説明：このインターフェースは、マーケットプレイス詐欺を実行するために使用される「Telekopye」ボットのものです。詐欺師はこのツールを使って、フィッシングページ、偽の決済ゲートウェイ、配送通知などを数クリックで生成し、それらのリンクを被害者に送信することができます。

ベンチャービジネス、暗号通貨、実在しない金融商品や不動産など、さまざまな投資詐欺がありますが、その根本的な特徴は共通しています。それは、「驚くほどの高いリターン」をうたって投資を募る一方で、最終的に被害者が手元に何も残らないという点です。中には、長期間にわたって資金を出し続けるよう仕向けられ、損失がさらに大きくなるケースもあります。投資詐欺は非常に広く蔓延しており、SNSプラットフォームの悪用、有名人のディープフェイク、偽のレビュー、ブランドロゴを使った偽広告などを通じて、信頼性を装って人々を騙しています。

説明：ESETフィッシングフィードで確認された仮想通貨をテーマにした詐欺サイトの例。

「当選しました」と偽って、手数料や税金の支払い、個人情報の提供を求める詐欺です。ワールドカップなどのイベントを利用した事例もあります。

説明：2022年ワールドカップを餌にした偽の宝くじ当選通知。この詐欺では様々な個人識別情報の提供を要求されます。「ATMカード」を受け取るためには、代理店に連絡するよう求められ、代理店は当選金を受け取るための前払い手数料を要求します。

攻撃者が企業のCEOや財務責任者など、信頼されている人物になりすまし、従業員を騙して金銭や機密情報を送金させようとします。また、下請け業者や取引先を装ったり、実際のやり取りの中に巧妙に入り込んで、正当なやり取りであるかのように見せかけることもあります。
さらに、音声・映像・ライブ通話を含むAIやディープフェイク技術の進化により、こうした詐欺はますます巧妙になっています。香港警察が報告したある事例では、詐欺師がディープフェイクのビデオ会議を使って、国際企業の社員を騙し、2,500万ドル（約37億円）を送金させる事件も発生しました。

信頼できる企業のテクニカルサポートを装って、「あなたのPCに問題があります」と偽り、遠隔操作を要求します。その後、データを盗んだりマルウェアを仕込んだり、そのほかのサイバー攻撃を実行します。また、これらの偽のサービスに対して支払いを要求することもあります。

説明：標的となったユーザーを偽のテクニカルサポートに電話させるように仕向ける、偽のセキュリティ警告。

特にショッピングシーズンに多発しする詐欺で、「荷物の誤配がありました」などの偽メッセージを送ります。個人情報の提供、怪しいアプリのインストール、もしくは問題を「解決」するための対応費を求めることもあります。

説明：ESETテレメトリにより報告された配送詐欺メール。配送の試みが失敗したと主張し、配送先住所の確認を要求します。

恋愛関係を装って信頼関係を築き、時間をかけて被害者を信用させたうえで、医療費や凍結された銀行口座、犯罪者からの脅迫などの「偽の緊急事態」を理由に金銭を要求します。
ディープフェイク技術の進化により、こうした詐欺はさらに巧妙になっています。たとえば、ブラッド・ピットがあなたのおばあさんに優しく語りかけるリアルな映像を生成することも可能です。この詐欺のバリエーションとして、困っている家族になりすます手口も確認されています。

説明：ロマンス詐欺は、一見無害な「間違い電話」のメッセージから始まることがあります。

個人を騙してプライベートな画像を共有させ、それを公開すると脅して恐喝します。偽のセクストーション詐欺では、攻撃者は実際には脅迫する情報を所有していないにもかかわらず、所有していると主張し支払いを要求します。たいていは仮想通貨での支払いを求めます。これらの詐欺では、ディープフェイクや大量スパムキャンペーンを利用し、被害者を違法行為や不適切・恥ずかしいポルノコンテンツの閲覧で虚偽の告発した後、支払わなければ暴露すると脅迫することがあります。

説明：このセクストーションメールは、Pegasusスパイウェアをめぐる話題を利用しています。

効果が劇的だと謳う偽の医薬品や存在しない医療機器が提供されます。SNS、悪質な広告、チャット、SMS、フォーラムなどを通じて拡散されることが多く、バイアグラやオゼンピックといった信頼性の高いブランドを模倣するケースも見られます。よくあるバリエーションとしては、まだ技術的に未成熟である非侵襲型の血糖値モニターを装った詐欺などがあります。

説明：非侵襲型血糖モニタリング装置の偽広告。製品は実在しないにもかかわらず大々的に広告。

これらの詐欺は、他の詐欺の被害者を新たに標的とすることがよくあります。サイバー犯罪者は、法執行機関の職員や法律専門家になりすまし、悪質な広告、電話、SMS、チャットメッセージなどを通じて被害者に接触し、手数料を支払えば支援すると持ちかけます。
彼らは、失った資金の回収、法的助言や相談、新たな訴訟の開始、あるいは偽の集団訴訟への参加などを約束します。詐欺師は、ユーロポールやインターポール、架空の法律事務所の弁護士などになりすまし、信頼性を装って被害者を騙そうとします。

説明：Meta広告ライブラリに掲載されていた詐欺広告の一例です。現在は無効となっているこれらの広告は、ESETのエンジンによって「HTML/Nomani」として検出され、ESETの2024年下半期脅威レポートで詳細に解説されています。皮肉なことに、これらの広告は過去に詐欺被害に遭った人々を再び標的にしているのが特徴です。

説明：詐欺師に騙されて失った金銭の返還を約束する偽のユーロポールのウェブページ。

詐欺の手口は多種多様です。ずさんなものから驚くほど巧妙なものまであります。それらすべてを防ぐための対策は一つのブログ記事では語り尽くせませんが、以下の一般的なルールは守ってください。

• 疑う姿勢を持つ：
  不審なメッセージやオファーには慎重に対応しましょう。「今すぐ対応を！」と急かす内容には特に注意が必要です。
• 情報源を確認する：
  メールアドレスやURL、ドメイン名、レビューなどをよく確認しましょう。不安な場合は、公式サイトや正規の連絡先から確認を。
• 強力なパスワードを使う：
  アカウントごとに異なる強力なパスワードを設定しましょう。ESETの無料パスワードジェネレーターやパスワードマネージャーの活用もおすすめです。
• 多要素認証（MFA）を有効にする：
  可能な限り、アカウントに追加の認証ステップを設定しましょう。
• 信頼できるセキュリティ対策を導入する：
  スパムのフィルタリング、フィッシング対策、決済保護など、複数の層で守れるセキュリティ製品を活用しましょう。たとえば、Androidには「ESET Mobile Security」、家庭全体には「ESET HOME セキュリティ」シリーズがおすすめです。
• ソフトウェアを常に最新に保つ：
  OSやブラウザ、セキュリティソフトを定期的にアップデートしましょう。
• 正しい知識を身につける：
  詐欺の手口や傾向を知ることが、最大の防御になります。

詐欺は今や、誰にとっても身近な脅威です。「自分は大丈夫」と思わず、日頃から情報収集し、サイバー脅威の基本と予防策を理解することが不可欠です。

知識こそが最大の防御です。常に情報をアップデートし、警戒を怠らず、信頼できるサイバーセキュリティ対策であなたのデジタルライフを守りましょう。