米国 FBI 政府高官になりすましたメールや電話に対する警告 (2025.05.15)

こんにちは、丸山満彦です。

FBIとインターネット犯罪苦情センター（IC3）（www.ic3.gov）が、米国 FBI 政府高官になりすましたメールや電話に対する警告を公表しています。

日本政府等においても、職員をかたる電話やメールによる詐欺行為が問題となっていますので、世界的に同じようなことが起こっているのだろうと思います。成功率が高いのですかね...

日本でも、内閣府、総務省、財務省、金融庁、厚生労働省等の職員を語った電話やメール、ショートメッセージがあることから警告をだしています。ただ、対処方法等についても併せて発表していおくのがよいのだろうと思います。その点、FBIの警告を見習うことは重要なことかもしれませんね。。。

 

● Internet Crime Complaint Center; IC3

・2025.05.15 Senior US Officials Impersonated in Malicious Messaging Campaign

Alert Number: I-051525-PSA

 

Senior US Officials Impersonated in Malicious Messaging Campaign	悪質メッセージキャンペーンで米国高官がなりすまされる
FBI is issuing this announcement to warn and provide mitigation tips to the public about an ongoing malicious text and voice messaging campaign. Since April 2025, malicious actors have impersonated senior US officials to target individuals, many of whom are current or former senior US federal or state government officials and their contacts. If you receive a message claiming to be from a senior US official, do not assume it is authentic.	FBI は、現在進行中の悪質なテキストメッセージおよび音声メッセージのキャンペーンについて警告し、緩和のヒントを提供するため、この発表を行う。2025年4月以降、悪意ある行為者が米国の高官になりすまして個人を標的としており、その多くは米国の連邦政府または州政府の現職または元高官とその関係者である。米国の高官を名乗るメッセージを受け取った場合、それが認証されたものだと思わないこと。
Specific Campaign Details	具体的なキャンペーンの詳細
The malicious actors have sent text messages and AI-generated voice messages — techniques known as smishing and vishing, respectively — that claim to come from a senior US official in an effort to establish rapport before gaining access to personal accounts. One way the actors gain such access is by sending targeted individuals a malicious link under the guise of transitioning to a separate messaging platform. Access to personal or official accounts operated by US officials could be used to target other government officials, or their associates and contacts, by using trusted contact information they obtain. Contact information acquired through social engineering schemes could also be used to impersonate contacts to elicit information or funds.	悪意のある行為者は、個人アカウントにアクセスする前に信頼関係を築こうと、米国の高官を名乗るテキストメッセージやAI生成の音声メッセージ（それぞれsmishingやvishingと呼ばれる手法）を送信している。このようなアクセスを得る方法の1つは、別のメッセージング・プラットフォームへの移行を装って、標的となる個人に悪意のあるリンクを送ることだ。米国政府関係者が運営する個人アカウントまたは公式アカウントへのガバナンスは、入手した信頼できる連絡先情報を使用して、他の政府関係者、またはその関係者や連絡先を標的にするために使用される可能性がある。また、ソーシャル・エンジニアリング・スキームを通じて入手した連絡先情報は、情報や資金を引き出すために連絡先になりすますために使用される可能性もある。
"Smishing" is the malicious targeting of individuals using Short Message Service (SMS) or Multimedia Message Service (MMS) text messaging. "Vishing", which may incorporate AI-generated voices, is the malicious targeting of individuals using voice memos. Both smishing and vishing use tactics similar to spear phishing, which uses email to target specific individuals or groups.	「スミッシング」とは、ショート・メッセージ・サービス（SMS）またはマルチメディア・メッセージ・サービス（MMS）のテキスト・メッセージングを利用して個人を狙う悪意のある手口である。「ビッシング」は、AI生成的な音声を取り入れる可能性があり、ボイスメモを使って個人を狙う悪質なものである。スミッシングもビッシングも、特定の個人またはグループをターゲットに電子メールを使用するスピアフィッシングに似た手口を使用する。
Smishing, Vishing, and Spear Phishing Are Common Criminal Tactics	一般的な犯罪手口はスミッシング、ビッシング、スピアフィッシング である
Traditionally, malicious actors have leveraged smishing, vishing, and spear phishing to transition to a secondary messaging platform where the actor may present malware or introduce hyperlinks that direct intended targets to an actor-controlled site that steals log-in information, like user names and passwords. For smishing, malicious actors typically use software to generate phone numbers that are not attributed to a specific mobile phone or subscriber to engage with a target by masquerading as an associate or family member. For vishing, malicious actors are more frequently exploiting AI-generated audio to impersonate well-known, public figures or personal relations to increase the believability of their schemes.	伝統的に、悪意のある行為者はスミッシング、ビッシング、スピアフィッシングを利用して、二次的なメッセージングプラットフォームに移行し、そこで行為者はマルウェアを提示したり、ハイパーリンクを導入して意図したターゲットを行為者が管理するサイトに誘導し、ユーザー名やパスワードなどのログイン情報を盗むことがある。スミッシングの場合、悪意のある行為者は通常、特定の携帯電話や加入者に起因しない電話番号を生成するソフトウェアを使用し、同僚や家族になりすましてターゲットに関与する。ビッシングの場合、悪意のある行為者はAI生成的な音声を悪用して、有名人や公的な人物、または個人的な関係者になりすまし、詐欺の信憑性を高めることが多くなっている。
Recommendations	推奨事項
The following guidance can be used to identify a suspicious message and help protect yourself from this campaign.	以下の防御策は、不審なメッセージを識別し、このキャンペーンから身を守るのに役立つ。
Spotting a Fake Message	偽メッセージを見分ける
・Verify the identity of the person calling you or sending text or voice messages. Before responding, research the originating number, organization, and/or person purporting to contact you. Then independently identify a phone number for the person and call to verify their authenticity.	・電話をかけてきたり、テキストや音声メッセージを送ってきたりする人物の身元を確認する。対応する前に、発信元の電話番号、組織、連絡先を調べる。そして、その人物の電話番号を独自に特定し、電話をかけて認証する。
・Carefully examine the email address; messaging contact information, including phone numbers; URLs; and spelling used in any correspondence or communications. Scammers often use slight differences to deceive you and gain your trust. For instance, actors can incorporate publicly available photographs in text messages, use minor alterations in names and contact information, or use AI-generated voices to masquerade as a known contact.	・Eメールアドレス、電話番号を含むメッセージの連絡先、URL、通信やコミュニケーションで使用されているスペルなどを注意深く調べる。詐欺師はしばしば、わずかな違いを利用してあなたを欺き、信頼を得ようとする。例えば、詐欺師は公開されている写真をテキストメッセージに取り入れたり、名前や連絡先情報を少し変えたり、AI生成的な音声を使って既知の連絡先になりすましたりする。
・Look for subtle imperfections in images and videos, such as distorted hands or feet, unrealistic facial features, indistinct or irregular faces, unrealistic accessories such as glasses or jewelry, inaccurate shadows, watermarks, voice call lag time, voice matching, and unnatural movements.	・手や足がゆがんでいる、顔の形が不自然、顔がはっきりしない、不規則、眼鏡や宝石などのアクセサリーが不自然、影が正確でない、電子透かしがある、音声通話のタイムラグがある、音声が一致しない、動きが不自然など、画像や動画の微妙な欠陥に注意する。
・Listen closely to the tone and word choice to distinguish between a legitimate phone call or voice message from a known contact and AI-generated voice cloning, as they can sound nearly identical.	・既知の連絡先からの正当な電話やボイス・メッセージと、AIが生成的 に作成したボイス・メッセージは、ほぼ同じに聞こえることがあるため、口調や言葉の選 択をよく聞いて区別すること。
・AI-generated content has advanced to the point that it is often difficult to identify. When in doubt about the authenticity of someone wishing to communicate with you, contact your relevant security officials or the FBI for help.	・AIが生成したコンテンツは、識別が困難なほど進化している。真偽が疑わしい場合は、セキュリティ当局やFBIに相談すること。
How to Protect Yourself from Potential Fraud or Loss of Sensitive Information	詐欺の可能性や機密情報の紛失から身を守るには
・Never share sensitive information or an associate’s contact information with people you have met only online or over the phone. If contacted by someone you know well via a new platform or phone number, verify the new contact information through a previously confirmed platform or trusted source.	・オンラインや電話でしか面識のない人に、機密情報や取引先の連絡先を教えない。新しいプラットフォームや電話番号を通じて、よく知っている人から連絡があった場合は、以前に確認したプラットフォームや信頼できる情報源を通じて、新しい連絡先情報を確認すること。
・Do not send money, gift cards, cryptocurrency, or other assets to people you do not know or have met only online or over the phone. If someone you know (or an associate of someone you know) requests that you send money or cryptocurrency, independently confirm contact information prior to taking action. Also, critically evaluate the context and plausibility of the request.	・金銭、ギフトカード、暗号通貨、その他の資産を、面識のない相手やオンラインや電話のみで知り合った相手に送らないこと。知人（または知人の関係者）から送金や暗号通貨を要求された場合、行動を起こす前に連絡先を独自に確認すること。また、依頼の背景や信憑性を批判的に評価すること。
・Do not click on any links in an email or text message until you independently confirm the sender's identity.	・メールやテキストメッセージのリンクは、送信者の身元を確認するまでクリックしないこと。
・Be careful what you download. Never open an email attachment, click on links in messages, or download applications at the request of or from someone you have not verified.	・ダウンロードには注意する。本人確認をしていない相手からの依頼で、メールの添付ファイルを開いたり、メッセージ内のリンクをクリックしたり、アプリケーションをダウンロードしたりしない。
・Set up two-factor (or multi-factor) authentication on any account that allows it, and never disable it. Actors may use social engineering techniques to convince you to disclose a two-factor authentication code, which allows the actor to compromise and take over accounts. Never provide a two-factor code to anyone over email, SMS/MMS text message or encrypted messaging application.	・二要素（または多要素）認証を許可しているアカウントでは、二要素（または多要素）認証を設定し、決して無効にしないこと。ソーシャル・エンジニアリングのテクニックを使って2ファクタ認証コードを開示させ、アカウントを乗っ取る。電子メール、SMS/MMSテキストメッセージ、または暗号化されたメッセージングアプリケーションを介して、2ファクタコードを誰にも提供しないこと。
・Create a secret word or phrase with your family members to verify their identities	・家族間で秘密の単語やフレーズを作り、本人確認を行う。
Victim Reporting and Additional Information	被害者の報告と追加情報
・For additional information, see FBI's guidance on Spoofing and Phishing as well as a previous Public Service Announcement about how "Criminals Use Generative Artificial Intelligence to Facilitate Financial Fraud." Cybersecurity and Infrastructure Security Agency (CISA) has published the following resources "Phishing Guidance: Stopping the Attack Cycle at Phase One | CISA" and "Teach Employees to Avoid Phishing | CISA."	・その他の情報については、なりすましとフィッシングに関するFBIのガイダンス、および「犯罪者が生成的人工知能を使用して金融詐欺を助長する」方法に関する以前の公共サービス広告を参照のこと。サイバーセキュリティ・インフラ・セキュリティ庁(CISA)は以下の資料を公表している： 攻撃サイクルを第一段階で止める｜CISA「 および 」従業員にフィッシング回避を教える｜CISA" を公表している。
If you believe you have been the victim of the campaign described above, contact your relevant security officials and the FBI. The FBI requests victims report any incident to your local FBI Field Office or the Internet Crime Complaint Center (IC3) at www.ic3.gov. Be sure to include as much detailed information as possible.	上記のキャンペーンの被害に遭ったと思われる場合は、関係するセキュリティ担当者及びFBIに連絡すること。FBIは、被害者がインシデントを受けた場合、最寄りのFBI支局またはインターネット犯罪苦情センター（IC3）（www.ic3.gov）に報告するよう要請している。可能な限り詳細な情報を記載すること。

 

 

 

---

 

参考...

 

● 内閣府

・内閣府を騙った電子メールやサイトにご注意ください

● 金融庁

・当庁を騙った電子メールや動画にご注意ください

● デジタル庁

・デジタル庁職員を名乗る不審電話にご注意ください

● 総務省

・総務省職員を名乗る不審電話にご注意ください

● 外務省

・外務省職員を発信元と詐称する不審メールにご注意ください

● 出入国在留管理庁

・入管を名乗る不審な電話、メール等にご注意ください

● 財務省

・財務省の名をかたる詐欺などにご注意！

● 国税庁

・不審なメールや電話にご注意ください

● 厚生労働省

・厚生労働省職員や機関を装った不審な電話・メールにご注意ください。

● 警察庁

・警察官等をかたる詐欺

 

 

フィッシング対策については、警察庁

● 警察庁

・フィッシング対策