12月、街が華やぐ一方で、スマホの通知欄は妙に騒がしくなる。セール、旅行、配送連絡、ポイントやマイルの期限…。やることが増える時期ほど、人は“確認作業”を省きたくなる。そこを狙うのが、いわゆる**ソーシャルエンジニアリング（感情を揺さぶって行動させる詐欺）**だ。年末は「待っていた荷物」「使いたいマイル」「お得なアップグレード」など、餌が多い。Kasperskyは12月に多い手口として5つを挙げ、具体的な自衛策も提示している。 InfoMoney

※本記事は、ブラジルメディアInfoMoneyが紹介したKasperskyの注意喚起（2025年12月23日掲載）をベースに、日本語読者向けに背景説明と対策を再構成したオリジナル解説です。 InfoMoney

まず押さえる：PIXとCPFって何？

今回の5手口は、ブラジル特有の仕組み（PIX＝即時送金、CPF＝納税者番号）を悪用する。日本で言えば、PIXは“即時振込アプリ”、CPFは**“マイナンバーに近い識別番号”**のイメージ。要は「送金・本人確認・公的機関」を匂わせると、人は反射的に従いやすい。PIX詐欺の手口は学術的にも分類・研究が進んでいるほど広範だ。 arXiv

1）「PIXを受け取りました」詐欺：得した気にさせて“別サイト”へ誘導

手口：知らない送信元からSMSが届き、「PIXの入金があった」「受け取るにはリンクをクリック」と誘う。しかしリンク先はオンラインゲーム系（例：いわゆる“tigrinho”など）に飛ばされ、さらに「解放手数料が必要」「登録が必要」と言われる。 InfoMoney

結末：手数料として支払ったお金が抜かれるだけでなく、登録時の個人情報も持っていかれる。 InfoMoney

対策（超具体）

• 「受け取り」はリンクからしない。心当たりがあるなら、銀行/決済アプリを自分で開いて履歴確認。

• “少額の手数料”でも払わない。少額は心理的ハードルを下げる常套手段。 InfoMoney
  
  

2）配達“追加料金（税・手数料）”詐欺：名前とCPFまで出して信用させる

手口：Black Friday後など、配送待ちが増える時期にメッセージが激増。メールやSMSで「あなたの荷物に手数料が必要」と言い、リンク先の偽ページで支払いを促す。画面にはPIXのQRコード、しかも金額は低め。 InfoMoney

結末：支払ったお金は“名義貸し口座”などへ送られ、回収困難になりやすい。大手配送会社名を騙る亜種も。 InfoMoney

対策

• 配送状況は公式アプリ/公式サイトで追跡番号を手入力。SMSのリンクは踏まない。

• 個人情報（名前・CPF）が出てきても安心しない。漏えい情報で“もっともらしく”見せているだけ。 InfoMoney
  
  

3）「CPFが無効（取り消し）」詐欺：政府サイトそっくりで“支払い”に誘導

手口：税務当局、中央銀行、連邦警察などの名を騙るメールが届く。リンク先はgov.brに似せた偽サイトで、住所や労働手帳情報、場合によっては親情報まで表示し「CPFが不正。正規化のため手数料を払え」と迫る。チャット窓で会話風に誘導する亜種もある。 InfoMoney

結末：PIXで払ったお金は名義貸し口座へ。回収は難しい。 InfoMoney

対策

• 公的機関を名乗る「支払いリンク」は、まず疑う。

• 公式サイトは自分でURL入力してアクセス（メールのリンクを使わない）。 InfoMoney
  
  

4）「マイル失効」詐欺：旅行前の焦りをピンポイントで突く

手口：SMS/メールで「マイルが失効した／もうすぐ失効」と通知し、リンクを踏ませる。遷移先はポイント・マイルの公式サービスに見せた偽サイト。 InfoMoney

結末：ログイン情報を盗まれ、勝手に航空券を発券されるなど、マイルが消える。 InfoMoney

対策

• 期限確認はカード会社/航空会社の公式アプリで。

• 二要素認証があるなら必ずON（“盗まれても入れない”を作る）。
  
  
  

5）「クレカ無料アップグレード」詐欺：富裕層狙い、“銀行ログイン”を奪い取る

手口：大手銀行を名乗り、「特典多数のカードへ無料アップグレード」と甘い話をSMS/メールで送る。リンク先で口座アクセス情報を入力させる。 InfoMoney

結末：得た情報は別の不正（追加詐欺）に転用される。 InfoMoney

対策

• “無料で格上げ”は、まず公式の案内か確認。

• 銀行ログイン情報をリンク先で入れない（アプリから手続きできるかが基準）。
  
  
  

AI時代の“見分けづらさ”が追い打ち：URL確認が最後の砦に

以前は「不自然な日本語（ポルトガル語）」「誤字」が見分けポイントだった。だが今はAIで文章が整えられ、偽サイトもそれっぽく作れる。だからこそ、**URL（ドメイン）**の小さな違いが最大の手がかりになる。公式名に似た1文字違い、余計なドット、紛らわしいサブドメイン――これらは危険信号だ。 InfoMoney

Kaspersky流「自衛10カ条」を“行動”に落とす（超実践版）

InfoMoneyの記事では、年末に効く10の対策が列挙されている。ポイントは「クリック前に一呼吸」「公式ルートへ戻る」「被害面を小さくする」だ。 InfoMoney

• うますぎる話を疑う（限定割引・特別招待は特に） InfoMoney

• 個人情報が載っていても信用しない（“本物感”の演出） InfoMoney

• 感情を動かす文言＝詐欺の燃料（緊急、恐怖、好意） InfoMoney

• 公式サイト/公式アプリに戻る（リンクではなく自分で開く） InfoMoney

• URLを必ず確認（AIで文章は綺麗になる時代） InfoMoney

• ネット決済はバーチャルカードで（使い捨て・期限付き） InfoMoney

• カード情報をサイトに保存しない（流出時の被害拡大を防ぐ） InfoMoney

• 取引履歴をこまめに確認（早期発見が回復確率を上げる） InfoMoney

• 端末/アカウントを守る総合対策を用意（セキュリティ製品等） InfoMoney
  
  

SNSの反応：今年の年末は「配送」「PIX」「旅行ネタ」が特に刺さる

この注意喚起はニュースだけでなくSNSにも波及している。たとえばLinkedInでは、「年末は消費者の注意が落ちるタイミングで、買い物・旅行・PIX・マイル・カードが犯罪者のレーダーに入る」と整理し、手口理解が予防になると呼びかける投稿が見られる。 LinkedIn

またInstagramでも「この時期は金融詐欺が増える」「買い物の忙しさで引っかかりやすい」といった注意喚起投稿が流れている。 Instagram

SNSで“あるある”として共有されがちな声（公開投稿の傾向を要約・意訳）

• 「“荷物が止まってる”SMS、リンク踏みそうになった…」 InfoMoney

• 「少額の“手数料”って言われると払っちゃいそうで怖い」 InfoMoney

• 「個人情報が表示されてて、本物だと思いかけた」 InfoMoney

• 「マイル失効メール、旅行前だと焦る。公式アプリで確認が正解」 InfoMoney

• 「“無料アップグレード”は美味しすぎる。結局ログイン情報狙い」 InfoMoney

（※上は、個別投稿の断定引用ではなく“反応の傾向”の編集要約です。）

まとめ：年末の最強ルールは「リンクより先に、公式へ戻る」

5つの手口は全部ちがう顔をしている。でも共通点はシンプルだ。
①急がせる／②得させる／③個人情報で安心させる → ④リンクを踏ませる。
だからこちらの対抗策もシンプルにできる。通知を信じず、公式アプリ・公式サイトに戻る。URLを確認する。支払いは反射でしない。

年末の忙しさは変えられない。ならば“行動の型”だけ先に決めておこう。あなたの3秒が、数万円〜数十万円の損失を防ぐ。 InfoMoney