JSSEC、『スマートフォン利用シーンに潜む脅威 TOP10 2026』を公開

プレスリリース要約

一般社団法人日本スマートフォンセキュリティ協会（JSSEC）は、「スマートフォン利用シーンに潜む脅威 TOP10 2026」を発表しました。生成AIを悪用したフェイク動画やQRコード詐欺（クイッシング）など、巧妙化する新たな脅威が浮き彫りになっており、サービス提供企業側にも抜本的な対策が求められています。

JSSECが発表した「スマートフォン利用シーンに潜む脅威 TOP10 2026」は、会員企業やセキュリティイベントでの投票を経て選定された最新の脅威レポートです。今回、特に注目された脅威の第1位には「生成AIによるフェイク動画・音声」、第2位に「フィッシングメール・偽メール」、第3位に「QRコードを用いた詐欺（クイッシング）」がランクインしました。これらは従来のセキュリティ対策をすり抜ける巧妙な手口が特徴であり、スマートフォンの日常的な利用シーンに深く潜み込んでいる実態が明らかになっています。

レポートでは、これらの脅威が利用者の注意喚起だけでは防ぎきれない限界に達していると指摘しています。そのため、SNS、金融、決済、EC、通信などのサービスを提供する事業者に対し、なりすまし広告の排除や、パスキーなどフィッシング耐性の高い認証方式への移行、異常な取引を検知するシステムの導入といった多層的な防御策を強く求めています。企業は自社サービスの設計段階から安全性を組み込む「セキュリティ・バイ・デザイン」の姿勢が求められます。

Journalポイント

実はこれ、ユーザーの『だまされやすさ』を狙うだけでなく、二要素認証などの既存の安全対策を突破する手口が急増しているんです。

え、そうなんですか？二要素認証を設定していれば安心だと思っていました。

実は今、ログイン情報と同時にリアルタイムで認証コードを奪い取るリアルタイムフィッシングという手法が横行しているんです。これにより、ユーザーが気づかないうちに突破されてしまいます。

でも、それってもともとシステム側で防ぐことはできないんですか？

そこで注目されているのがパスキーと呼ばれる新しい認証技術です。これはパスワードを使わず、端末の生体認証などを利用するため、偽サイトに情報を盗まれる心配がありません。

なるほど！じゃあQRコードを使った詐欺、クイッシングについてはどう対策すればいいですか？

クイッシングというのは、QRコードを悪用して偽のウェブサイトへ誘導する詐欺のことで、見た目ではリンク先が分からないのが特徴です。対策としては、読み取った際に正規のドメインであることを画面上で明確に表示したり、簡単には偽装できない安全な画面遷移を設計することが重要になります。

他の業界でも、同じようなセキュリティ対策へのシフトが進んでいるのでしょうか？

実はIT業界全体が、誰も信用しないことを前提とするゼロトラストというセキュリティの考え方にシフトしています。金融やECだけでなく、あらゆるビジネスで『異常な挙動を検知して止める』仕組み作りが急務となっています。

なるほど、企業側のセキュリティ設計こそが、顧客を守る鍵になるんですね。勉強になりました！