Written by 夏野ゆきか
目 次
フィッシングメールとは、個人情報やアカウント情報、クレジットカード情報などを不正に取得する目的でユーザーに配信される、詐欺メールです。偽装された送信元やリンクを用いて、受信者を公式サイトに見せかけた偽サイトに誘導し、ターゲットの重要情報を盗み取ります。
以下は実際に発生した、「国税庁」を名乗るフィッシングメールの事例です。「URLにアクセスし、未納分を納税してください」という虚偽の内容で、ターゲットを偽サイトへ誘導。サイト上で個人情報やクレジットカード情報を入力させ、窃取することが攻撃者の目的です。
▼国税庁を装ったフィッシングメール
出典:フィッシング対策協議会|国税庁をかたるフィッシング (2024/05/22)
また、社内の管理部門(人事や情シス担当など)を装い、偽の業務連絡や通知内容を従業員向けに送信して、社内システムのアカウント情報や機密データ盗む手口も常習的に行われています。
件名: 「【重要】冬季休暇のスケジュール確認のお願い(締切:本日中)」
本文: 「年末年始の冬季休暇スケジュールを調整するため、全社員の休暇予定を確認させていただいております。以下のリンクより、冬季休暇の予定をご入力ください。」
件名: 「システムメンテナンスのお知らせ」
本文: 「IT部門より、システムメンテナンスのため、以下のリンクからパスワードのリセットをお願いします。」
悪質なフィッシングメールを見分ける方法として、不審なメールを受け取った際には、以下の項目を確認しましょう。
▼フィッシングメールの特徴
- ・ 送信元アドレスの確認(正規のドメインか、フリーアドレスになっていないか)
- ・ タイトルや本文に不自然な日本語が使われていないか
- ・ 記載されたURLが公式サイトと合致しているか
- ・ 受信者の不安をあおるような表現が含まれていないか
- ・ 宛名が不特定多数になっていないか
- ・ メールの内容が通常の業務と一致しているか
また、フィッシングメールへの有効な対策として、メール内のURLを無効化するセキュリティソフトや多要素認証導入による不正アクセスの防止などが有効です。MOTEXの提供するNDR「Darktrace」では、フィッシングメールをはじめとする企業のメール詐欺リスクに幅広く対策できます。
この記事では、フィッシングメールの具体的な手口や見分け方、有効なセキュリティ対策について解説します。
フィッシングメールとは
フィッシングメールとは、詐欺的な手法で個人情報やアカウント情報を盗みとることを目的とした偽装メールを指します。
フィッシングメールの手口では、信頼できる企業や組織、知人を装ったメールをターゲットに送信し、メール内のリンクや添付ファイルをクリックさせることで、個人情報や企業の機密情報の窃取・マルウェア感染などの被害をもたらします。
またフィッシングメールの中でも、ターゲットが「企業」であるか「個人」であるかによって、攻撃手口が異なります。
企業を対象としたフィッシングメール
企業や組織をターゲットとしたフィッシングメールの特徴は、以下の通りです。
目的:企業の顧客情報や機密データ、資金を奪取すること
ターゲット:特定の役職者(経営者、経理担当者、IT管理者など)や全社員
攻撃内容の例
・社内システムを装ったメール
「貴社の社内ポータルへのログイン認証が期限切れです。以下のリンクから再認証を行ってください」といったメールを従業員へ送り、偽のログイン画面でIDとパスワードを窃取。
・経営者を装ったメール
「至急対応してください。取引先の口座情報が変更されました。新しい口座に送金をお願いします。」といったメールを経理担当者に送り、偽口座に送金させる(ビジネス詐欺メール)
個人を対象としたフィッシングメール
不特定多数の個人をターゲットとしたフィッシングメールの特徴は、以下の通りです。
目的:個人のクレジットカード情報、アカウント情報、銀行口座情報などを盗み取ること
対象:広範な個人ユーザー
攻撃内容の例
・金融機関を装ったメール
「セキュリティ確認のため、以下のリンクから口座情報を再確認してください」というメールを送り、偽サイトでクレジットカード情報を入力させる
・大手ECサイトを装ったメール
「不正なログインが確認されました。アカウントを保護するため、直ちにログイン情報を更新してください」というメールを送り、 偽のログインページでIDとパスワードを窃取。
このように、個人向けは幅広いターゲットへ大量送信することを前提とした攻撃が一般的であるのに対し、企業向けは特定のターゲットを狙ったスピア型の攻撃が多いという違いがあります。
フィッシング詐欺件数は5年で約21倍に急増
フィッシングメールを含む、フィッシング詐欺の被害件数は国内でも急激に増加しています。
フィッシング対策協議会が発表した、最新の「フィッシング報告状況と対策」によれば、2023年の1年間に報告されたフィッシング詐欺の件数は119万6,390件(前年比23.5%増加)。
この5年で、その数は約21.4倍に増加しています。
▼フィッシング報告件数の推移 (年別)
※フィッシング対策協議会の情報をもとにエムオーテックスで作成
この急激な増加は、サイバー攻撃手法の高度化やリモートワークの普及、オンライン取引の普及に伴うデジタル依存度の上昇などが背景にあると考えられます。個人情報や認証情報を狙う攻撃だけでなく、企業の機密情報や資金を標的とした、より高度なフィッシング詐欺が増加している点も、近年の特徴でしょう。
この状況を改善するためにも、個人レベルでは不審なメールやリンクを見分けるための意識・知識レベルの向上、企業レベルではフィッシング対策を含む包括的なメールセキュリティ対策の導入が急務です。
フィッシングメールの具体的な手口
ここでは、フィッシングメールの代表的な手口について、実例を挙げて解説します。
ID・パスワードの変更や確認連絡を装う手口
フィッシングメールの典型的な手口として、受信者にID・パスワードの変更やログインを促すものが挙げられます。
「心当たりのないサインインが行われました。アカウントを保護するためにパスワードを変更してください。」
「本人確認のため、以下のリンクからログインして情報を確認してください。」
▼ログインを促すフィッシングメールの例
出典:フィッシング対策協議会|ビックカメラをかたるフィッシング (2024/02/14)
メール内のURLをクリックすると、正規サイトに酷似した偽のログイン画面が表示されます。ここで受信者がIDやパスワードを入力すると、その情報が攻撃者に盗まれてしまいます。
商品の購入確認や発送連絡を装う手口
ECサイトやフードデリバリーサービス、宅配業者を装ったフィッシングメールも多発しています。以下のような内容が典型的です。
「あなたのアカウントで購入が確認されました。キャンセルする場合はこちらのリンクをクリックしてください。」
「発送準備が完了しました。詳細を確認するには以下をクリックしてください。」
▼購入確認を装うフィッシングメールの例
出典:フィッシング対策協議会|Uber Eats をかたるフィッシング (2023/04/06)
不審なメール内のURLをクリックすると、偽サイトに誘導され、IDやパスワードを入力するよう求められます。この際に認証情報が攻撃者に盗まれ、不正アクセスの被害に繋がる可能性があります。
公的機関からの通知を装う手口
公的機関を装ったフィッシングメールには、以下のようなものがあります。いずれも信頼性の高い公共機関を名乗り、受信者の不安感を煽る点が共通しています。
・税金通知を装う手口
国税庁、市区町村の税務課を名乗り「税金が未納です」「追加納税が必要です」として、リンクをクリックさせ、偽サイトで個人情報やクレジットカード情報を入力させる。
・年金・保険通知を装う手口
日本年金機構、社会保険事務所を名乗り「年金の振込情報を更新してください」「保険料が不足しています」として、年金番号やマイナンバー、銀行口座情報を窃取する目的で偽サイトに誘導する。
・公共料金の未払いを装う手口
電力会社、水道局などを名乗り「電気料金が未納です」「水道料金の支払いが確認できません」として、即時支払いを求めるリンクをクリックさせ、支払い情報を詐取する。
▼総務省を名乗るフィッシングメール
公的機関を装った事例として、国税庁になりすましたフィッシングメールも確認されています。
▼公的機関からの通知を装ったフィッシングメールの例
出典:フィッシング対策協議会|国税庁をかたるフィッシング (2024/05/22)
「税金が納められていない」「税金が滞納している」などといって受信者の不安をあおり、早急な対応を求めるような内容になっています。
ただし、国税庁のホームページでも、SMS・メールで国税の納付や、差押えに関する通知は行っていない旨が公表されています。不安をあおる内容が書かれていても冷静に対処するようにしましょう。
フィッシングメールの見分け方
フィッシングメールか見分けるためには、以下のポイントを確認するようにしましょう。
- ・ 送信元アドレスの確認(正規のドメインか、フリーアドレスになっていないか)
- ・ タイトルや本文に不自然な日本語が使われていないか
- ・ 記載されたURLが公式サイトと合致しているか
- ・ 受信者の不安をあおるような表現が含まれていないか
- ・ 宛名が不特定多数になっていないか
- ・ メールの内容が通常の業務と一致しているか
1.送信元のアドレスがフリーアドレスになっていないか
「送信元のアドレス」を確認しましょう。企業や公的機関からの正式な連絡であれば、その組織専用のドメインを使用しているのが一般的ですが、フィッシングメールではフリーアドレスや、類似した偽ドメインが使われることがあります。
▼確認のポイント
- 正規のドメインが使用されているか。
- 一文字違いの偽ドメインや、フリーメールアドレスが使われていないか。
2.タイトルや本文に不自然な日本語が使われていないか
フィッシングメールには、自動翻訳ツールを使用して作成されたと思われるような、不自然な日本語が含まれているケースが多く見られます。
出典:警視庁|フィッシング110番
不自然な日本語や誤字脱字が多い場合は、フィッシングの可能性が高いです。
3.記載されているURLが公式サイトと合致しているか
フィッシングメールに記載されている偽サイトのURLは、「amazon」が「amaz0n」になっているなど、社名やサービス名の一部が類似した文字に変換されているケースがよく見られます。
ドメインも「.live」「.xyz」など、普段目にしないものを使用していることが多いです。
▼詐欺サイトのURL例
出典:消費者庁|人気インテリア家具や雑貨等の公式通信販売サイトを装った偽サイトに関する注意喚起(令和5年4月26日)
また、「.exe」「.bat」「.zip」などの実行可能ファイルや圧縮ファイルが添付されている場合、マルウェア感染のリスクが高いです。
4.受信者の不安をあおるような表現が含まれていないか
フィッシングメールの特徴として、受信者の不安をあおるような表現が含まれていることが多いです。
「アカウントがロックされました」「すぐに対応しないと利用停止になります」など、受信者を焦らせる文言が含まれている場合は注意が必要です。
緊急性を煽る文面に遭遇した場合は、メールに記載されたURLからではなく、公式サイトから正規のサポート窓口へ問い合わせるようにしましょう。
5.あて名が不特定多数になっていないか
「お客様各位」や「利用者様」など、不特定多数を対象とした宛名の場合はフィッシングの可能性があります。受信者が複数いるメールで送信先アドレスが複数並んでいる場合も注意が必要です。
6.メールの内容が通常の業務と一致しているか
業務と関係のない要求、日常的に受け取らないメッセージ( 突然の送金依頼、機密情報の開示要求など)は、フィッシングメールの可能性があります。
指示に従わず、電話やチャットなど別の公式な連絡手段より確認を取りましょう。
フィッシングメールへの対策
フィッシングメールへの対策としては、以下が挙げられます。
- ・ メール攻撃に有効なセキュリティソリューションの導入
- ・ 多要素認証の導入
- ・ URLと添付ファイルのスキャン
- ・ 従業員へのセキュリティ教育の実施
- ・ NDRなど内部ネットワーク監視の導入
メール攻撃に有効なセキュリティソリューションの導入
企業のフィッシングメール対策であれば、メール攻撃への対策に特化したセキュリティソリューションの導入を検討しましょう。
高度なフィッシング防止機能やマルウェアのリアルタイム検出、添付ファイル・URLの詳細分析など、メールセキュリティに特化した機能が備わっています。代表的なものに、マイクロソフトが提供する Microsoft Defender for Office 365 や、Googleの Google Workspace Security などがあります。
また、エムオーテックスが提供する Darktrace/Emailは、AI(人工知能)を活用した次世代のメールセキュリティソリューションです。従来のルールやシグネチャベースのメールセキュリティ対策と異なり、AIによる行動分析を中心に、未知の脅威や高度なフィッシングメールを検出・防御し、組織を守ります。
Darktrace/Email の主な特徴
・AIによる異常検知(不自然な送信者、不審なURL、不規則な添付ファイル動作など)
・未知の脅威対応(ゼロデイ攻撃、スピアフィッシング、BECなどの対策可)
・自動の脅威対応(高度な脅威を検出した場合、自動で該当メールを隔離。被害を最小限に防止)
多要素認証の導入
多要素認証(MFA)は、従来のIDとパスワードに加えて、追加の認証要素を組み合わせることで、不正アクセスを防ぐセキュリティ対策です。
以下の3種類の認証要素のうち、2つ以上を活用してログイン認証を行います。
- ・ 知識情報(パスワード、秘密の質問など)
- ・ 所持情報(ワンタイムパスワードなど)
- ・ 生体情報(指紋認証、顔認証など)
▼多要素認証のイメージ
万が一フィッシングメールで認証情報が漏洩した場合でも、攻撃者がアカウントにアクセスするリスクを大幅に軽減します。特に、社内システムやメールアカウントなど重要なシステムへのアクセスには、MFAを必須化することが推奨されます。
URLと添付ファイルのスキャン
メール内のURLや添付ファイルは、フィッシング詐欺やマルウェアの主要な侵入口となるため、これらをリアルタイムでスキャンする仕組みが不可欠です。
メールゲートウェイやセキュリティソフトを活用することで、URLに埋め込まれた悪意のあるリンクを検出してブロックすることが可能です。添付ファイルについては、サンドボックス環境での実行検証を行い、安全性が確認された上で開封する対策が効果的です。
従業員へのセキュリティ教育の実施
フィッシングメールから企業を守るため、従業員教育は特に重要な対策の一つです。
技術的な対策精度が向上しても、攻撃者は人間の心理的な隙を狙った手法を多用するため、従業員一人ひとりにおける手口の理解、適切な対処を身に着けることが不可欠です。
フィッシングメールの特徴を理解
従業員がフィッシングメールを見分けられるように、典型的な手口や特徴を教育。
シミュレーション訓練の実施
模擬的なフィッシングメールを送信し、従業員がどの程度適切に対応できるかを評価。定期的に実施することで、従業員の警戒心を維持できる。
不審メールの報告体制の整備
従業員が怪しいメールを受信した際に、迅速にIT部門やセキュリティ担当者に報告できる仕組みを整備し、フローを共有。
NDRなど内部ネットワーク監視の導入
NDR(Network Detection and Response)は、ネットワーク全体を対象に異常な通信パターンを検知し、迅速に対応するためのセキュリティソリューションです。
フィッシングメールによって発生する異常なトラフィックをリアルタイムで検知し、外部への情報流出や社内ネットワークへの不正アクセスを防ぎます。機械学習やAIを活用した高度な分析機能により、正常な通信パターンと異常な挙動を迅速に識別し、必要に応じて攻撃を遮断します。
特に、ネットワーク内での不審な挙動を監視、異常をいち早く検知するため、従業員がフィッシングメールを開封してしまった後の二次被害を防ぐ上でも、重要な役割を果たします。
フィッシングメールに引っかかってしまったら?
フィッシングメールの被害を最小限に抑えるためには、迅速かつ適切な対応が重要です。
被害の種類別の具体的な対処方法を解説します。
- ・ アカウント情報を入力してしまった場合
- ・ クレジットカード情報を入力してしまった場合
- ・ 口座情報を入力してしまった場合
- ・ 添付ファイルをダウンロードしてしまった場合
1.アカウント情報を入力してしまった場合
フィッシングメールに記載されたURLから偽サイトにアクセスし、IDやパスワードを入力してしまった場合は、速やかに以下の対応を行います。
パスワードの変更
被害に遭ったサービスのIDとパスワードを直ちに変更します。同一のID・パスワードを複数のサービスで使い回している場合は、すべてのサービスで異なるパスワードに変更します。
多要素認証(MFA)の有効化
被害が拡大するリスクを軽減するため、多要素認証を有効にすることが推奨されます。
2.クレジットカード情報を入力してしまった場合
クレジットカード情報を入力してしまった場合、以下の手順を速やかに実施します。
カード会社への連絡
・カード会社に連絡し、利用停止手続きを実施。
・不正利用が確認された場合、カード会社へ補償申請を行います。
被害届の提出
・補償申請には警察への被害届が必要であるため、合わせて提出します。
カードの再発行
・攻撃者がカード情報を悪用するリスク、例えば「ダークウェブ」等で売買する可能性もあるため、該当カードを破棄し新しいカードを発行しましょう。
関連ページ
3.口座情報を入力してしまった場合
銀行の口座情報を入力してしまった場合は、以下の手順で対処します。
金融機関への連絡
金融機関に連絡し、口座の利用停止を依頼。
補償申請と被害届の提出
口座から不正に金銭が引き出された場合、警察に被害届を提出し、金融機関に被害補償を申請します。
4.添付ファイルをダウンロードした場合
フィッシングメールの添付ファイルをダウンロードした場合、マルウェア感染の可能性があるため、以下の対応を行います。
ネットワークからの隔離
インターネット接続を直ちに切断し、感染が拡大しないようにします。
アンチウイルスソフトでスキャン
ファイルにマルウェアが含まれる可能性があるため、アンチウイルスソフトを使用してスキャンと駆除を実施します。
専門家への相談
アンチウイルスソフトがない場合や、適切な対応が不明な場合は、PCメーカーのサポート窓口や専門業者に相談しましょう。
自社サイトがフィッシング詐欺に利用された時の対処法
自社サイトを模倣したフィッシングサイトが発見された場合、以下の対処を行うようにしましょう。
1.所轄警察のサイバー犯罪相談窓口への通報
まずは所轄警察のサイバー犯罪相談窓口に通報し、対応を依頼します。被害状況を適切に記録し、法的手続きが迅速に進むよう支援を受けることが可能です。
2.ユーザーへの注意喚起
正規のSNSアカウントや公式サイトを通じて、模倣サイトの存在を周知し、ユーザーに対して注意を呼びかけます。注意喚起には、具体的な被害事例や正規サイトへのアクセス方法を明示し、誤って情報を入力しないように促します。
3.フィッシングサイトの閉鎖依頼
フィッシング詐欺対応事業者や該当ドメインを管理するホスティングプロバイダーに連絡し、詐欺サイトの閉鎖を依頼します。このとき、必要な証拠(模倣された内容や詐欺の詳細)を添付することで迅速な対応が期待できます。
被害状況の把握とフォロー
フィッシングサイトによる被害範囲を把握し、該当被害者へのフォローアップを行います。
また、詐欺サイトの閉鎖依頼後も新たなフィッシングサイトが作られる可能性があるため、以下のようなセキュリティサービスを利用するのも有効です。
・フィッシングサイトの検知から閉鎖依頼まで、包括的に支援するサービス
・自社ブランドやドメイン名の、類似ドメインの登録を監視・防止するサービス
フィッシングメール対策なら、NDR「Darktrace(ダークトレース)」におまかせ
エムオーテックスの提供する、NDR「Darktrace(ダークトレース)」では、企業・組織におけるメールを活用したサイバー攻撃を最新鋭のAI技術で防ぐ、Darktrace/Email 機能を提供します。
Darktrace/Email とは?
Darktraceは、企業や組織のネットワークおよびクラウド環境のパケットを収集し、通信全体を可視化しながら、異常な挙動をリアルタイムで検知するNDRソリューションです。自己学習型AIを搭載しており、ユーザーの通信パターンやメールの「文脈」を理解することで、従来のシグネチャベースでは検知が難しい精度の高い攻撃メールにも対応可能です。
対応可能な脅威
Darktraceは、以下のような多様なメールセキュリティリスクを自律的に検知・対応します。
- ・ ビジネスメール詐欺(BEC)
- ・ フィッシング攻撃
- ・ ソーシャルエンジニアリング
- ・ 業務メールアカウントへの不正侵入
- ・ なりすましメール
- ・ データ窃取
- ・ スピアフィッシング
- ・ 迅速かつ自動的な対応
また、メール受信から約1秒以内に危険度を分析し、以下のアクションを自動的に実行。ユーザーが誤って攻撃メールを開封するリスクを、未然に防ぎます。
- ・ 不正URLの無効化
- ・ 危険な添付ファイルの削除
- ・ メールの隔離
Darktrace/Emailはクラウド環境にて利用でき、Microsoft 365(Business Basic以上のライセンス)、またはGoogle Workspace/G Suite(Enterpriseプラン以上)の環境にて利用可能です。
詳細はぜひ、以下ページをご覧ください。
まとめ
本記事では、「フィッシングメール」をテーマに、実例や見分け方、有効な対策について解説しました。
本記事のまとめ
- フィッシングメールとは
詐欺メールの一種で、個人情報やアカウント情報、クレジットカード情報などを不正に取得することを目的に、公式サイトを模倣した偽サイトへ誘導する手口。 - フィッシングメールの手口
一般向けの手口として「ID・パスワードの変更や確認連絡」「商品の購入確認や発送連絡」「公的機関からの通知」などを装う事例などがある。また対企業の場合、経営者や取引先・パートナー企業などを装った手口がよく見られる - フィッシングメールへの対策
「メール攻撃に特化したセキュリティツールの導入」「多要素認証(MFA)の導入」「従業員向けのセキュリティ教育」などがある。 - 自社サイトが模倣された場合の対応
所管警察のサイバー犯罪相談窓口への通報、ユーザーへの注意喚起、詐欺サイトの閉鎖依頼、被害社フォローなどが必要。
近年、フィッシングメールの手口は高度化し、精度も向上しているため、従来の手法では見分けが困難なケースも増加しています。不審なメールを受け取った際は、メール内のURLをクリックせず、必ず正規サイトやアプリからのアクセスを徹底します。
また、最新のセキュリティソリューションの活用、多要素認証の導入によって、不正アクセスや情報漏洩、マルウェア感染のリスクを低減しましょう。企業であれば、従業員を対象とした定期的なセキュリティ教育の実施も不可欠です。
おすすめ記事
