愛媛県四国中央市で、携帯電話の「ウイルス感染」や「サイバー攻撃」を口実に不安をあおられ、被害回復名目の“保険加入”を勧められた女性が合計1,050万円をだまし取られる事案が報じられました。還付金や投資に限らず、セキュリティ用語を使ってパニックを誘発し、冷静な判断を奪う詐欺が増えています。企業でも、従業員個人の端末や私用スマホ経由で同様の心理操作が起き得ます。
情シス・セキュリティ担当として重要なのは「技術対策」だけでなく、緊急を装う連絡に対する行動基準を社内に作ることです。特に“保険・補償・契約”の形を取られると正規手続きに見えやすく、送金や情報提供が止まりにくくなります。明日からは、相談導線と送金禁止ルールを先に用意しておくことが現実的です。
本件はソフトウェア脆弱性(CVE)を突く侵入というより、ソーシャルエンジニアリング型(サポート詐欺/なりすまし詐欺)に分類されます。典型的には「感染」「不正アクセス」「情報流出」などの文言で接触し、「今すぐ対応しないと被害拡大」と時間的圧力をかけます。相手は“サポート担当”を名乗り、電話を切らせない、家族や同僚に言わせないなどで被害者を孤立させます。
次に、専門用語や書類風の文面で権威付けし、「補償」「保険」「セキュリティ契約」を提示して支払いを合理化します。支払い方法は個人口座振込、電子マネー、暗号資産など追跡しづらい手段になりがちです。さらに少額決済→追加請求を繰り返し、“ここまで払ったのだから”という心理(サンクコスト)で総額が膨らみます。
スマホ環境では、画面共有、操作補助アプリ、MDM風の構成プロファイル導入などを誘導されるケースもあります。ここまで進むと、アカウント窃取や二次被害(社内SaaS不正ログイン、SMS転送、本人確認の突破)に発展し得ます。従業員の個人端末で起きても、業務メールやチャットに繋がっていれば企業リスクになります。
今回の報道では、被害回復名目の“保険加入”を持ちかけられ、合計1,050万円という高額被害に至っています。企業の文脈に置き換えると、従業員が「端末が危険」「会社の情報が漏れた」などと言われ、独断で送金・アプリ導入・認証情報提供をしてしまう構図が想定されます。結果として、金銭被害に加えてアカウント侵害、端末の遠隔操作、社内情報の持ち出しにつながる可能性があります。
また、この種の詐欺は“正規の支払い”に見せるため、被害者本人が詐欺だと認識しにくい点が厄介です。情シスが後から気付いても、送金の回収やアカウント復旧の初動が遅れます。したがって「被害をゼロにする」より「迷った瞬間に止める」「相談させる」運用設計が効果的です。
セキュリティ不安に付け込む詐欺は、CVE対策とは別軸で、心理操作により送金や情報提供まで到達させます。明日から情シスがやるべきことは、①緊急を装う連絡は一旦切る/閉じる、②公式窓口は自分で調べてかけ直す、③送金・電子マネー購入・暗号資産送付は業務関連でも原則禁止、という行動基準を社内周知することです。加えて、端末の画面共有や不審アプリ導入を“インシデント扱い”にして早期連絡させるだけでも被害拡大を抑えられます。
運用としては、従業員向けに「不審な警告が出た/サポートを名乗る連絡が来た」際の相談先(情シス窓口、CSIRT、夜間連絡)を一本化し、テンプレートで即時報告できる形にしてください。送金してしまった場合に備え、金融機関連絡、証跡保全(通話履歴・チャット・振込控え)まで含めた初動手順を簡単に配布しておくと実効性が上がります。
