急増する金融犯罪の手口をFC3マトリクスで読み解く（2）～「口座乗っ取り（銀行・法人）」編

金融犯罪対策センター（Financial Crime Control Center：以下、FC3）の海老原です。
FC3では金融機関の利用者や顧客を守ることを目的に、日々さまざまな金融犯罪への対策に取り組んでいます。

ニュースを賑わせる不正送金など巧妙化する金融犯罪の多くは、実はある程度限られた型の組み合わせで成り立っていることが多くあります。本連載では、こうした金融犯罪の手口をFC3マトリクスで体系的に捉え、対策の検討にどのように活用できるのかについて、事例を交えながら全6回で解説していきます。第2回の今回は、「口座乗っ取り（銀行・法人）」についての考え方を解説します。

なお、FC3マトリクスそのものの考え方や全体像については、第1回で詳しく解説していますので、合わせてぜひご覧ください。

「口座乗っ取り（銀行・法人）」とは

まず、本記事で解説する「口座乗っ取り（銀行・法人）」について説明します。「口座乗っ取り（銀行・法人）」とは、事業法人が保有する銀行口座の認証情報を犯罪者が不正に取得し乗っ取ることで、口座内の資金を詐取するタイプの金融犯罪を指します。

近年では、フィッシングを起点とした金銭詐取が多発しており、深刻な被害が発生しています。特にインターネットバンキング（IB）に関わる不正送金被害は直近数年で急増しており、2025年には100億円の大台を超えました。このうち、法人における被害額は47億円と、前年比4倍まで拡大しています。このような状況から、金融機関にとって法人口座を狙った口座乗っ取りへの対策は、特に喫緊の課題となっています。

次章では、この「口座乗っ取り（銀行・法人）」について、FC3マトリクスを用いることで犯罪者の手口がどのように整理できるのかを具体的に見ていきましょう。

「口座乗っ取り（銀行・法人）」におけるFC3マトリクス

FC3マトリクスでは、金融犯罪における攻撃の流れを犯行の準備から実行、資金化に至るまで段階ごとに分解し、「リソース準備」「偽装コミュニケーション」「不正ログイン」「追加認証突破」「不正取引実行」「資金化」といった複数のフェーズで整理しています。犯罪者は、これらの各フェーズにおける手口を単独で用いるのではなく、複数を組み合わせることで攻撃を成立させています。そのため、特定の手口や個別の対策のみを切り出して議論するのではなく、攻撃全体の流れを俯瞰し、どのフェーズにどのようなリスクが存在するのかを把握することが重要です。

実際のFC3マトリクスの「口座乗っ取り（銀行・法人）」の手口は、以下の図のような構造です。FC3マトリクスは犯罪ライフサイクルに沿って、「不正の開始（リソース準備・偽装コミュニケーション・不正ログイン）」から、「不正取引の実行（追加認証突破・不正取引実行）」、「犯罪収益の捻出（資金化）」の各段階において、犯罪者がどういうアクションを取るのかを整理しています。「口座乗っ取り（銀行・法人）」の手口であれば、犯罪者が橙色でハイライトした項目のアクションを実行することを示しています。

ビッシング（ボイスフィッシング）とは

「口座乗っ取り（銀行・法人）」の事例の中でも、2025年にかけて特に顕著に被害が確認されたのが「ビッシング（ボイスフィッシング）」です。ビッシングとは、犯罪者が電話による音声通話で認証情報などを聞き出そうとする手口です。実在の金融機関や取引先を装い、緊急対応を迫って冷静な判断を奪うことで、結果的に不正ログインや不正送金へとつなげていきます。具体的な手口の流れは以下の通りです。

まず、犯罪者は、銀行員を装って企業に電話をかけ、「インターネットバンキングの電子証明書の期限が切れた」などもっともらしい理由を提示し、手続きの案内の送付を口実にメールアドレスを聞き出します。その後、聞き出したメールアドレス宛にフィッシングメールを送信し、フィッシングサイトへ誘導します。

企業の担当者は銀行からの正規の連絡だと信じ込み、疑うことなくサイトに接続し、インターネットバンキングのIDやパスワードなどの認証情報を入力してしまいます。犯罪者は、詐取した認証情報を用いて不正ログインし、予め用意した不正口座に送金を実行して資金を詐取します。認証時に一度しか使用できないワンタイムパスワード（OTP）のような仕組みに対しても、リアルタイムフィッシングによって、入力させた情報を即時に悪用し、有効期限や時間制限を回避されてしまいます。

このビッシングによる法人口座の不正送金被害は、2025年の2月から4月にかけて急増し、その後一時的に下火になるものの、11月に再び被害が急増しています。年間の被害額は44.8億円にのぼっており、法人を狙った口座乗っ取りによる影響は深刻です。

銀行などの金融機関では、法人向けインターネットバンキングにおける不正対策として、電子証明書の導入などによる認証強化とともに、ルールベースの不正取引検知システムの組み合わせで一定レベルの防御が成り立っていました。しかし、電話を使ったコミュニケーションにより相手を信じ込ませる手口（ソーシャルエンジニアリング）で、効率的にフィッシングサイトへ誘導して認証情報を詐取され、認証を突破されるケースが増えています。

被害情報が報道され注意喚起されることや、被害が出た銀行が即日送金の停止など緊急対策を講じることで、一時的には被害が減少する傾向は見られるものの、一定期間をおいて再度被害が急増していることからも、従来の対策だけでは対処し切れなくなりつつある状況がうかがえます。

FC3マトリクスを用いた対策検討

FC3マトリクスを参照しながら、ビッシングの対策について考えてみましょう。

まず、準備段階において犯罪者は、フィッシングサイトの準備や詐取した資金を送金するための不正口座を用意します。これらのフィッシングサイトや不正口座を検知して対処できれば、被害の予防につながります。

次に、偽装コミュニケーションのフェーズでは、犯罪者はビッシングを成功させるために、銀行員を装って企業の担当者に電話をかけ、信じ込ませてきます。緊急性や正当性を装うことで思考停止を誘うため、一度立ち止まって銀行担当者の名刺の電話番号やメールアドレスに連絡するなどの方法により銀行からの正規の連絡であるかを確認することが有効です。

また、社内の複数人によるチェックを行うことで、フィッシングサイトに安易にアクセスしてしまう可能性を下げられます。そのためには、このような手口の被害が実際に発生していることを企業の担当者に広く注意喚起を行うことが重要です。あわせて、インターネットバンキングの利用に係る社内のチェックプロセスを強化してもらうこと（経理担当者が単独で送金を承認できないルールの導入など）も予防の対策として考えられます。

サービス提供者側でできる対策として、検知したフィッシングサイトを速やかに停止させる対応や、フィッシング耐性のある多要素認証（パスキーなど）の導入は、不正ログインの成立確率を大きく下げます。他にも、通常の利用とは異なる環境からのログインや、短時間に繰り返されるログイン試行といった挙動を監視することで、不正なログインの兆候を早期に捉えることも可能です。

ただし、これらの対策を単独で導入すれば十分というわけではなく、全体の流れを踏まえたうえで、どのフェーズに重点を置くべきかが重要です。このようにFC3マトリクスを用いることで、断片的な事例や対策だけでは見落としがちな、複数の段階にまたがる攻撃手口やフェーズ間の連続性も把握でき、俯瞰的な対策の検討を行えます。

さいごに

今回の記事では、FC3マトリクスを用いて「口座乗っ取り（銀行・法人）」の手口を整理し、犯罪者の犯行をどのように捉えられるのか、そして対策の検討方法を解説しました。このように手口の流れを体系的に理解することで、自社における課題がどのフェーズに存在するのか、また、それに対してどのような対策を検討すべきかを、より具体的に考えることが可能となります。

今後の連載でも、近年大きな被害を発生させている金融犯罪をメインに、さまざまな手口についてFC3マトリクスを用いて解説していきます。次回は、「口座乗っ取り（証券）」を取り上げ、銀行とは異なる観点から、手口の整理や対策の考え方についてご紹介する予定です。ぜひご期待ください。