KPMGグローバル金融犯罪実態調査 - 特殊詐欺の戦略的な対策

複雑なグローバル社会構造において、銀行などの金融機関は、顧客の資金の「門番」と見なされることが多くあります。しかし特殊詐欺に関しては、政府、規制当局、通信会社、テクノロジー・SNS 関連会社、暗号資産交換業者、法執行機関などの組織のほか、顧客自身も門番の役割を果たさなくてはなりません。

KPMGのグローバル金融犯罪実態調査では、昨今の詐欺の実態や顧客保護につながるベストプラクティスを把握するため、世界5大陸16ヵ国において48の銀行等を調査対象とし、不正・詐欺対策の専門家へのインタビューを通じて情報を収集しました。幅広い見解が得られるよう、グローバル展開する大手銀行や、デジタル・ネオバンク、相互組合・住宅金融組合などに回答を求めました。

世界各地の銀行で見られた特殊詐欺には次のような共通のパターンや傾向が見られます。

ネットショッピングサイトを悪用して顧客を騙し、架空の物品購入取引に対し支払いを行わせる詐欺です。安価で販売量の多い商品を対象とするケースが一般的ですが、一部の銀行からは自動車に関連した高額の事案も報告されています。また、大規模なエンターテインメントイベントの開催時期に急増する傾向があります。チケットの需要が高まるタイミングで、偽のチケットをネット販売する詐欺が発生するのです。

投資詐欺には、投資対象資産が実在しない虚偽の投資を持ちかける詐欺と、正規の投資機会ではあるものの投資資金を投資に回さず詐欺犯が持ち逃げする詐欺とがあります。以下は、昨今見られる投資詐欺の例です。

• 社債取引詐欺：著名な企業の社債の取引や長期の預託金に見せかけます。

• ボイラールーム詐欺：高圧的な販売手法を用いて、顧客に有価証券を水増し価格で購入させます。

• 暗号資産詐欺：詐欺犯が偽の暗号資産や、取引所、ウェブサイト、あるいはアプリを作成して顧客を偽の投資に勧誘し、資金を騙し取ります。

なりすまし詐欺の手口は進化し続けており、ますます巧妙化しています。詐欺犯はSNS、電子メール、電話を通じたやりとりで被害者を騙し、機密情報の提供や送金を促します。正規の文書に名前やメールアドレスを微調整するなどの細工を施す手口が多く見られます。

• CEO詐欺：CEOなどの上級幹部になりすまして従業員、顧客、あるいはベンダーを騙し、送金や機密情報の提供を促します。通常電子メールを通じて行われ、しばしば切迫感が演出されます。

• 銀行員を騙る詐欺：銀行員を装って、自身が管理する口座に送金するよう仕向ける手口です。「ヘルプデスク詐欺」とも呼ばれるこの詐欺の手口は巧妙さを増しており、他の部門に電話を転送するふりをする、または偽の問合せ番号を提供するなどして被害者を騙すケースが多く見られます。

• 企業を狙ったなりすまし：企業の人事やIT 部門を標的にした詐欺で、被害者にQRコードまたはリンクを送り、それを通じて企業の資金や個人情報へのアクセスを獲得します。

• 当局関係者を騙る詐欺：政府関係者や警察官などになりすます手口です。北欧では、被害者が当局関係者を装った人物と対面するという事案が度々発生しており、懸念が強まっています。

• サポート詐欺：ITまたはPOS関連のテクニカルサポート窓口になりすまし、被害者のパソコンや個人情報にアクセスします。リモートアクセス詐欺とも呼ばれています。

• 会計士を騙るなりすまし詐欺：会計士を装い、偽の税務申告サービスや金融アドバイスを提供します。

• 〇〇ッシング：信頼のおける企業や家族へのなりすまし行為で、電子メール（フィッシング）、QRコード（クイッシング）、SMS（スミッシング）、または電話（ビッシング）が使用されます。

特殊詐欺の一種で、出会い系サイト、アプリ、SNS 上で偽のプロフィールを使用して、被害者をオンラインの恋愛関係に誘い込む手口です。

チャット、電子メール、電話などで数ヵ月やりとりして被害者の信頼を得ます。最終的には、個人的な問題や家族の緊急事態をでっち上げるか、被害者に直接会いに行きたいという口実で金銭を要求します。ロマンス詐欺は、金銭被害に加え、深刻な心理的・精神的被害も伴います。

実在しないサービスや商品に対して前払金を支払わせる詐欺で、以下の手口が見られます。

• 偽の旅行会社が、安いプランを宣伝して前払金を要求した上、パスポート情報などの機密情報を盗みます。
• 宝くじ詐欺は、当選金の受け取りにかかる手数料という名目で金銭を騙し取る行為です。
• 求人詐欺は、内定者に対し前払金の支払あるいは機微情報の提供を要求する行為です。

BEC詐欺とも呼ばれ、ソーシャルエンジニアリングやサイバー侵入を通じて正規のビジネスメールアカウントを乗っ取り、不正に送金する行為をいいます。不正送金と悟られないよう、実際の仕入先の請求書を偽装するのが特徴です。本調査では、デジタルテクノロジーには頼らず、被害者を騙して情報を書き換えさせる、または送金先を変更させようとするケースが増加しているとの回答もありました。

複数の不正・詐欺手口を組み合わせたもので、以下はその例です。

• ロマンス・ベイティング：ロマンス詐欺の被害者は、やりとりが進むにつれて投資に勧誘され、要求される金額は徐々に大きくなります。投資が相当額に達したところで、資金を持ち逃げされます。この行為は、「豚殺し」または「豚の屠殺」とも呼ばれます。

• 資金回収詐欺：被害者が詐欺に遭ったことに気づき、弁護士事務所などに資金回収を依頼すると、前払金の支払を求められます。実際はこの弁護士事務所も詐欺犯であり、被害者はさらなる金銭被害を受けることになります。

ディープフェイクとは、テクノロジーを利用して、本物と見分けがつかない偽の動画や音声、発言を生成する技術です。以下は、銀行が遭遇したディープフェイクの事例です。

• 生成AIを使用した、本人確認や身元確認に使用されるパスポートなどの書類の偽造
• 生成AIを使用した、もっともらしい詐欺メールやメッセージの生成。多言語に翻訳し世界中のターゲットに送信された例もある
• ディープフェイクで生成した架空の人物を利用したロマンス詐欺
• 生成AIを使用した、不正行為のための偽銀行サイトの作成

本調査により、最も狙われやすいのは個人および法人顧客の口座であり、特に個人顧客が最も被害に遭っていることが明らかになりました。また、詐欺の手口により標的の年齢層が異なるものの、高齢の顧客が狙われるケースが多いとの回答が大多数の回答者から寄せられました。

詐欺行為が行われるチャネルとして、ネットバンキングやモバイルバンキングを中心とするデジタルプラットフォームがほとんどという回答が多く見られました。

顧客が、異なる銀行の自らが保有する口座間で資金を移動する行為を言います。資金移動元の銀行では、詐欺などの不正取引を目的とした資金移動を特定できるかどうか不安を持っています。