スペインの銀行フィッシング詐欺：Santander・BBVA・CaixaBankを騙る手口と対策

スペインは深刻なフィッシング危機に直面しています。2025年だけで、スペインの国家サイバーセキュリティ機関INCIBEは97,348件のインシデントを処理しました。前年比16.6%増です。うち21,571件がフィッシングで、銀行フィッシングはINCIBEに報告された全サイバーセキュリティ事案の約40%を占めています。

Santander、BBVA、CaixaBank、Sabadell、INGなどスペインの主要銀行の顧客であれば、誰もがターゲットになり得ます。

スミッシングが主な攻撃手段

最も一般的な手口はSMSスプーフィング（スミッシング）です。犯罪者は銀行の公式番号から送信されたように見えるSMSを送ります。多くの場合、偽のSMSは正規の銀行メッセージと同じスレッドに表示されます。

攻撃タイプ	手口	標的銀行
SMS偽装	本物の銀行スレッドに偽メッセージ	Santander, BBVA, CaixaBank
フィッシングメール	ログインページの複製	全主要銀行
偽バンキングアプリ	本物を模した悪意あるアプリ	BBVA, Sabadell
後追い電話	SMS後にコードを聞き出す電話	ING, CaixaBank

典型的なスミッシングメッセージ

• 「お客様の口座が一時的にブロックされました。本人確認を行ってください：[リンク]」
• 「不正な取引が検出されました。こちらで確認してください：[リンク]」
• 「新しいデバイスからオンラインバンキングにアクセスがありました：[リンク]」

被害の規模

• 97,348件 -- 2025年にINCIBEが処理したインシデント
• 21,571件 -- フィッシング事案
• 40% -- 銀行詐欺関連の割合
• 16.6% -- 前年比増加率

フィッシング攻撃の仕組み

ステップ1：餌

銀行の本物の通知と見分けがつかないSMSやメールが届きます。送信者名には「BBVA」や「Santander」と表示されます。

ステップ2：偽ページ

リンク先は銀行のログインページを完璧にコピーしたウェブサイトです。URLはbbva-seguridad.comやsantander-verificacion.esのような、一見本物に見えるものです。

ステップ3：認証情報の窃取

ユーザー名、パスワード、NIF/DNIを入力すると、認証コードを要求されます。犯罪者はこのコードをリアルタイムで使用して実際の口座にアクセスします。

ステップ4：資金流出

数分以内に攻撃者は送金を開始し、パスワードを変更し、利用可能な資金を引き出します。

身を守る方法

ゴールデンルール

1. 銀行はSMSでリンクを送らない。 リンク付きのSMSは偽物です。
2. リンクから認証情報を入力しない。 必ず銀行アプリを直接開くかURLを手入力してください。
3. URLを慎重に確認する。 正確なドメイン（bbva.es、bancosantander.es等）を確認。
4. 二段階認証を有効にする。
5. 電話で認証コードを絶対に共有しない。

安全なチャネルで確認

不審な銀行連絡を受けたら、完全に別のチャネルで確認してください。物理的なカード裏面の番号に電話しましょう。

銀行に関する機密情報を家族やアドバイザーと共有する必要がある場合は、LINEや普通のSMSではなく、LOCK.PUBのようなサービスでパスワード保護付きの期限付きリンクを作成することをお勧めします。

被害に遭ったら

手順	対応	連絡先
1	カードを即時ブロック	銀行の24時間電話窓口
2	全銀行パスワードを変更	公式アプリからのみ
3	INCIBEに報告	017に電話（無料）
4	警察に届出	Guardia CivilまたはPolicia Nacional
5	証拠を保全	メッセージ、メール、URLのスクリーンショット

LOCK.PUBで安全に共有

口座情報や金融書類を共有する必要があるなら、通常のSMSやメールで送るのは避けましょう。LOCK.PUBを使えば、パスワード保護付きで自動期限切れのリンクを作成できます。フィッシング犯が悪用するチャネルに機密情報を残す必要はありません。

警戒を続けましょう

スペインの銀行フィッシングは加速しています。2025年の16.6%増がそれを証明しています。最善の防御はシンプルです：銀行メッセージのリンクは絶対にクリックせず、常にアプリに直接アクセスし、不審なメッセージはすぐに報告してください。