Written by 田村 彩乃
目 次
フィッシング詐欺とは、メール・SMS内のURLをクリックさせ、偽のWebサイトに誘導することで、人情報やアカウント情報を入力させて盗み取る行為です。
フィッシング詐欺の主な手口としては、以下の6つが挙げられます。
| 名称 | 手口 |
|---|---|
| フィッシングメール | 大手企業や公的機関を装って電子メールを送りつけ、受信者が本文内のURLを開くと正規サイトと酷似したフィッシングサイトに遷移。そこで個人情報を入力させようとする。 |
| SEOポイズニング | 検索エンジンの検索結果上位に悪質なWebページを表示させ、そこからユーザーをフィッシングサイトへ誘導する。 |
| スミッシング | 大手企業や公的機関を装ったSMSを送りつけ、受信者がSMS内のURLを開くと正規サイトと酷似したフィッシングサイトに遷移。そこで個人情報を入力させようとする。 |
| ソーシャルメディアフィッシング | 「Instagram」などのログイン画面に似せた偽サイトに誘導し、ログインIDとパスワードを不正に窃取しようとする。 |
| スピアフィッシング | 特定の人物や組織を狙ったフィッシング詐欺。 |
| ビッシング | 金融機関や警察官を装い「あなたのキャッシュカードが不正に利用されているので、今すぐ作り替えたほうがよい」などの不安をあおる電話をかけ、暗証番号や口座情報を聞き出そうとする。 |
フィッシング詐欺の被害にあうと、不正送金やクレジットカードの不正利用、マルウェア感染などのリスクが生じます。
近年では、企業・組織をねらったフィッシング詐欺も増加しているため、個人はもちろん、企業・組織でも対策を強化する必要があります。
▼個人でできるフィッシング詐欺対策
●URLを安易にクリックしない
●多要素認証を導入する
●正しいドメイン名か、SSL化されているか確認をクセづける
●ブックマークした公式サイトもしくは正規のアプリからアクセスする
▼企業が行うべきフィッシング詐欺対策
●セキュリティポリシーの策定と、体制の見直し
●従業員の教育と訓練
●フィッシング詐欺対策に優れたツールやサービスの導入
●社内で利用しているサービスやソフトウェアの設定見直し
本記事では、フィッシング詐欺の手口や企業・組織でできる対策、対処法などについて解説します。
この記事のポイント
- フィッシング詐欺とは、送信者を偽った電子メールやSMS、本物にそっくりな偽サイトなどを悪用し、ターゲットの個人情報を盗み取るサイバー攻撃の手口
- フィッシング詐欺の主な手口として「フィッシングメール」「SEOポイズニング」「スミッシング」「ソーシャルメディアフィッシング」「スピアフィッシング」「ビッシング」などが挙げられる。
- フィッシングメールの特徴として「個人情報を要求する内容」「緊急性を促す内容が多い」「送信元のメールアドレス・リンク先のURLが公式のものと少し異なる」等が見られる
フィッシング詐欺とは
フィッシング詐欺とは、送信者を偽った電子メールやスマートフォンのSMS、本物に限りなく似せた偽サイトなどを悪用して、ターゲットの個人情報を盗み取るサイバー攻撃の手口です。メールやSMSから悪質なフィッシングサイトへ誘導し、アカウント情報やカード情報などを入力させ、個人情報を搾取します。
▼フィッシング詐欺で狙われる情報
個人情報(氏名・住所・生年月日など)
画像情報(運転免許証・マイナンバーカードなど)
アカウント情報(ユーザーID・パスワードなど)
クレジットカード情報(カード番号・暗証番号など)
フィッシング詐欺に引っかかることで、以下のような損害を受ける可能性があります。
▼フィッシング詐欺の被害の例
- 銀行口座やクレジットカードの情報を盗まれ、不正な送金や不正利用に使われる
- SNSやメール、オンラインショッピングなどのアカウント情報を盗まれ、意図しない投稿やメッセージ送信、注文などをされてしまう
- フィッシングサイトに誘導され、ウイルスやスパイウェアなどの悪意あるマルウェアに感染させられる
マルウェアに感染してしまうと、機密情報のデータ改ざんや暗号化が行われたり、個人情報や企業秘密の搾取・流出といった損害に発展したりするリスクもあります。
従来の攻撃に比べ、メール文書やWebサイトのクオリティはますます巧妙となり、近年のフィッシング詐欺はひと目で判別のつかないケースが大半です。
主なフィッシング詐欺の手口
主なフィッシング詐欺の手口は以下の6つです。
・フィッシングメール(電子メールによる手口)
・SEOポイズニング
・スミッシング(SMSによる手口)
・ソーシャルメディアフィッシング(Twitterなどによる手口)
・スピアフィッシング(特定の人物・組織を狙う手口)
・ビッシング(電話による手口)
フィッシングメール(電子メールによる手口)
「フィッシングメール」と呼ばれる電子メールによる手口は、フィッシング詐欺の中でも非常によく用いられているものです。大手企業や公的機関を装ってメールを送りつけ、本文内のURLをクリックさせます。受信者がURLを開くと正規サイトと酷似したフィッシングサイトに遷移し、個人情報を入力させようとします。
▼東京ガスを装ったフィッシングメールの例
出典:フィッシング対策協議会|東京ガスをかたるフィッシング (2024/04/24)
▼「my TOKYO GAS」と酷似したフィッシングサイトの例
出典:フィッシング対策協議会|東京ガスをかたるフィッシング (2024/04/24)
SEOポイズニング
最近では、検索エンジンの検索結果上位に不正なWebサイトを表示させ、不正なサイトと気づかずにアクセスしたユーザーをフィッシングサイトへ誘導する「SEOポイズニング」という攻撃手法も見られます。
検索結果の上位に表示させるサイトは、攻撃者が自ら作成する場合もあれば、すでに上位表示されている、有名企業のWebサイトを改ざんするケースもあります。
後者の場合、見た目は正規サイトとほとんど変わらないため、フィッシング詐欺にあってからはじめて被害に気付く、というケースも多いです。
スミッシング(SMSによる手口)
スミッシングとは、SMSによるフィッシング詐欺の手口です。ターゲットのスマートフォンに対して大手企業や公的機関を装ったSMSを送りつけ、偽サイトに誘導して個人情報を盗み取ります。
出典:URLリンクへのアクセスに注意 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
構造としてはフィッシングメールと同様ですが、Eメールアドレス宛に送られるフィッシング詐欺のメールを「フィッシングメール」、SMS(電話番号)宛てに送られるフィッシング詐欺のメールを「スミッシング」と呼んで区別しています。
ソーシャルメディアフィッシング(Twitterなどによる手口)
ソーシャルメディアフィッシングとは、TwitterなどのSNSに似せたサイトを使い、IDやパスワードなどのログイン情報を盗み取るフィッシング詐欺の手口です。
ログイン情報が盗み取られると、アカウントが乗っ取られ、ログインできなくなったり、本人の意図しない情報が発信されたりする恐れがあります。
▼ソーシャルメディアフィッシングの一例
「Instagram」のログイン画面に似せた偽サイトに誘導し、ログインIDとパスワードを不正に窃取。該当のアカウントは攻撃者によって乗っ取られ、利用規約に反するような画像を何度も投稿されて、アカウントが凍結されてしまった。
スピアフィッシング(特定の人物・組織を狙う手口)
スピアフィッシングとは、特定の人物や組織を狙ったフィッシング詐欺の手口です。これまで紹介してきた手口が、不特定多数のユーザーを対象にしているのに対し、スピアフィッシングは攻撃対象が明確に定められています。
スピアフィッシングは、特定の人物や組織を情報漏洩や業務停止に追い込むことで「信頼を低下」させたり、「金銭的なダメージ」を与えたりするのが主な目的です。手段として「標的型攻撃メール」が用いられる例もよくあります。
ビッシング(電話による手口)
ビッシングとは、「Voice(音声)」と「Phishing(フィッシング)」を組み合わせた造語で、電話を利用した詐欺行為を指します。
ビッシングの具体例としては、金融機関や警察官を装い「あなたのキャッシュカードが不正に利用されているので、今すぐ作り替えたほうがよい」などの不安をあおる電話をかけ、暗証番号や口座情報を聞き出そうとします。
フィッシング詐欺の近年の動向・発生推移
フィッシング対策協議会が発表した「フィッシング報告状況と対策」によれば、2024年の1年間に報告されたフィッシング詐欺の件数は171万8,036件(前年比44%増加)で、過去最悪となりました。
▼フィッシング報告件数の推移 (年別)
※フィッシング対策協議会の情報をもとにエムオーテックスで作成
フィッシング詐欺の報告件数はこのこの5年間で約30.8倍に激増しており、各企業はフィッシング詐欺への対応が必要不可欠です。大企業・中小企業を問わずに狙われる可能性があり、社会問題とも呼べる事態に発展しています。
情報セキュリティ10大脅威に7年連続「フィッシング詐欺」が選出
IPA (情報処理推進機構)では、各年で特に猛威を振るった脅威をまとめた「情報セキュリティ10大脅威」を毎年発表しています。
個人向けと組織向けの2種類があり、「フィッシングによる個人情報等の詐取」は個人向け「情報セキュリティ10大脅威」で2019年から7年連続で選出されています。
▼情報セキュリティ10大脅威 2025(個人編)
| 脅威内容 |
|---|
| インターネット上のサービスからの個人情報の窃取 |
| インターネット上のサービスへの不正ログイン |
| クレジットカード情報の不正利用 |
| スマホ決済の不正利用 |
| 偽警告によるインターネット詐欺 |
| ネット上の誹謗・中傷・デマ |
| フィッシングによる個人情報等の詐取 |
| 不正アプリによるスマートフォン利用者への被害 |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
| ワンクリック請求等の不正請求による金銭被害 |
このように、フィッシング詐欺は社会においてリスクの高いサイバー攻撃であり、防御のための対策を講じることが求められます。
リアルタイム型フィッシング詐欺という恐ろしい手口も登場
警察庁が令和7年3月に発表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によれば、令和6年におけるインターネットバンキングに係る不正送金事犯の発 生件数は4,369件、被害総額は約86億9,000万円となっています。
前年と比較するとやや減少していますが、引き続き高水準で推移しています。
出典:警察庁|令和6年におけるサイバー空間をめぐる脅威の情勢等について(令和7年3月13日)
また、インターネットバンキングに係る不正送金事犯の9割がフィッシングによるものとされています。
このように、フィッシング詐欺による不正送金被害が深刻化する要因の一つに「リアルタイム型フィッシング詐欺」の登場があります。
リアルタイム型フィッシング詐欺とは、ユーザーがインターネットバンキングのIDやパスワードを偽サイトに入力するのをリアルタイムで把握。さらにワンタイムパスワード認証を突破するための認証情報も盗み取ってスピーディーに不正送金を完了させるものです。
▼リアルタイム型フィッシング詐欺のイメージ
フィッシング詐欺の特徴
フィッシング詐欺には、次のような特徴が見受けられることが多いです。
- 個人情報を要求する内容が書かれている
- 緊急性を要す内容でターゲットの不安を煽る
- 送信元のメールアドレス・リンク先のURLが公式のものと少し異なる
- 文字や文法が不自然・誤っている
- 本文に宛名がない(お客様、皆様など総称を使う)
- 不審な添付ファイルが見られる
フィッシング詐欺は個人情報の窃取を目的としているため、個人情報を要求する内容が書かれているケースも多く見られます。緊急性を要する内容でターゲットの不安を煽ることが多いのも、特徴の一つです。
また送信元のメールアドレスは、一見すると公式のものと同じように見えるものの、実際には少し異なるものが使われているケースが多々あります。またリンク先のURLに関しても、異様にURLが長い、不用意な文字が多く含まれている、といった特徴が見られます。
▼PayPay をかたるフィッシング
出典:フィッシング詐欺対策協議会│PayPay をかたるフィッシング
上記「PayPay をかたるフィッシングメールの事例」では、公式サイト(https://○○○○.com/)とよく似た、不正なWebサイトのURLが掲載されています。
その他、メール文書の中で、公式ではありえないスペルや文法上のミスが見られる、あるいはメールの文頭に宛名が書かれていなかったり、単に「お客様」「皆さま」など個人を特定しない表記になっていたりするものも、フィッシング詐欺の可能性が高いです。
▼宛名表記がおかしいフィッシング詐欺メールの例
さらに、不審な添付ファイルがある場合もフィッシング詐欺の可能性が疑われます。 特に、拡張子が「.exe」や「.zip」などの場合は、ウイルス感染のリスクがあるため、安易に開封しない様気を付けましょう。
個人で取り組める、効果的なフィッシング詐欺対策
まずはフィッシング詐欺対策としてすぐに取り組める、個人にもおすすめな、基本的なフィッシング詐欺対策について解説します。
- URLを安易にクリックしない
- 多要素認証を導入する
- 正しいドメイン名か、SSL化されているか確認をクセづける
- ブックマークした公式サイトもしくは正規のアプリからアクセスする
何よりも重要なことは、身に覚えのないメール・SMS・DM内のURLを安易にクリックしないことです。
クリックする前には、送信元のメールアドレスや本文の内容、ドメイン名などを確認するようにしましょう。
フィッシング詐欺で用いられるドメインには、以下の様な特徴があります。
- 実在企業に類似したドメイン名を使用するが、oが0に、Iがlになっていたりする。
- ドメイン名の一部にサービスや企業名を含める。xxx-amazon.comやxxx-rakuten.comなど。
- ドメイン名の拡張子を変える。「.com」「.net」ではなく、「.biz」や「.info」など。
- ドメイン名の末尾にランダムな文字列や数字を付ける。「amazon.com-1234.com」や「rakuten.com-xyz.com」など。
また、重要データの入力画面は基本的にSSL通信が行われているため、ブラウザのアドレスバーに「鍵マーク」がついているか・文字が緑色になっているか、などを確認するようにしましょう。
ただ、攻撃者はかなり巧妙な手口を使ってくるので、素人目でメール文書やWebサイトが本物か偽物かを判断するのは困難といえます。
そのため、普段からよく利用している金融機関、運送業者などの公式サイトはブックマークしておきましょう。
他にも、通常のIDとパスワードのみの認証でなく、指紋認証や顔認証など2種類以上の認証を用いる「多要素認証」を導入することも効果的です。
多要素認証を利用すれば、万一IDやパスワードが漏れても、アカウント乗っ取りや情報漏洩といった被害を防ぐことが可能です。
企業におけるフィッシング詐欺対策
フィッシング詐欺対策は企業・組織にとっても、昨今欠かすことのできないセキュリティ課題の一つです。企業におけるフィッシング詐欺対策を4つご紹介します。
1.セキュリティポリシーの策定と、体制の見直し
2.従業員の教育と訓練
3.フィッシング詐欺対策に優れたツールやサービスの導入
4.社内で利用しているサービスやソフトウェアの設定見直し
1.セキュリティポリシーの策定と、体制の見直し
社内のIT機器や情報資産をどのように運用していくのかについて取り決めたルールを「セキュリティポリシー」と呼びます。
これを定めておくことで、セキュリティポリシーから逸脱した行動を発見した管理者は、速やかに初動対応に移ることが可能になります。
未然に被害を防止しやすくなることはもちろん、万が一被害に遭った場合には、被害を最小限に食い止めることにもつながります。
2.従業員の教育と訓練
フィッシング詐欺への対策として、従業員のセキュリティ教育や訓練も欠かすことができません。先述した「セキュリティポリシー」の順守をはじめ、フィッシング詐欺への社員理解を深めることが大切です。
▼従業員へのセキュリティ教育実施手順の例
ステップ1:セキュリティ教育を行う目的や対策の重要性を知ってもらう
まずは、近年フィッシング詐欺被害が急増している事実とともに、セキュリティ教育の重要性を知ってもらう。
また、従業員がフィッシング詐欺に引っかかった場合、企業にどのようなリスクが生じるのか具体的に伝え、フィッシング詐欺対策の重要性を理解してもらう。
ステップ2:教育・訓練
フィッシング詐欺の手口やフィッシング詐欺の被害事例などを共有するとともに、怪しいメールが届いた際の具体的なアクションを伝える。
また、フィッシングメールを模したメールを従業員に送り、従業員の対応力向上を図る
ステップ3:継続的に情報を発信する
最新のフィッシング詐欺の手口などを継続的に発信し、従業員が情報に触れる機会を増やすことで、セキュリティ意識を高める。
3.フィッシング詐欺対策に優れたツールやサービスの導入
フィッシング詐欺対策に有効な、セキュリティソフトウェアやサービスを利用するのも1つの手段です。
効果的なソリューションの例として
- 不正サイトや迷惑メールをブロックする、フィルタリングサービス
- マルウェアの侵入をブロックする、ウイルス対策ソフト
等があげられます。
また、Webサイトやアプリケーションを公開する立場であれば、それらがフィッシング詐欺に悪用されないため、Webサイトやアプリの脆弱性をプロフェッショナルが検出し対策を提案する「セキュリティ診断(脆弱性診断)」を受けることも有効です。
4.社内で利用しているサービスやソフトウェアの「設定」見直し
社内で現在使用している、IT機器やアプリケーションの設定を見直し、セキュリティの穴を塞ぐ作業も必要です。
- アカウントを盗まれてもログインできないよう「多要素認証」を導入する
- OSやソフトウェアを最新の状態へアップデート・パッチ適用をする
- クラウドや重要なファイルへのアクセス権限を見直す
例えば、マイクロソフトが提供するクラウドサービス「Microsoft 365」では、フィッシング詐欺に対処するための、最適な利用設定(ポリシー)を提供しています。
このように、各サービスにてセキュリティポリシーを提示しているケースも多いため、内容に準拠し現在の設定を定期的に見直すことを心がけましょう。
万一、フィッシング詐欺にあってしまったら?
万が一、フィッシング詐欺の被害に遭ってしまった時は、冷静に状況を整理しつつ、以下の手順で対応に移ることが重要です。
1.社内や関係者への速やかな報告
2.パスワードの変更とアカウントの不正利用がないかの確認
3.クレジットカード会社や銀行への問い合わせ
4.被害状況・影響範囲の確認
5.復旧と再発防止策の検討
また、具体的な被害状況ごとに必要な対処法を以下で解説します。
クレジットカードを不正利用されてしまった場合
もしもクレジットカードが不正に利用されてしまった場合には、以下の対処法を行うようにしましょう。
・契約しているカード会社に連絡して、利用停止手続きを行う
・警察に被害届を提出する
・不正利用に対する補償申請を行う
契約しているカード会社に利用停止手続きをお願いすると、利用停止を行うだけでなく、本当に不正利用なのか、という調査が行われます。
不正利用だと認められた場合には、速やかに不正利用に対する補償申請を行いましょう。
補償申請には警察に被害届を提出する必要がありますので、忘れずに行うようにしてください。
インターネットバンキングから不正に金銭を引き出された場合
自身のインターネットバンキングから不正に金銭を引き出されてしまった場合には以下の対処を行うようにしましょう。
・金融機関に連絡する
・アカウント情報を変更する
・警察に被害届を提出する
・不正利用に対する補償申請を行う
不正送金や不正出金に気付いたら、被害額に関係なく、金融機関に速やかに連絡するようにしましょう。
また、被害を拡大させないために、インターネットバンキングのアカウント情報も変更するようにしてください。
クレジットカードの場合と同じく、インターネットバンキングにおいても不正利用に対する補償が存在します。
そのため、被害に気付いたらなるべく早めに申請することをおすすめします。
ただし、銀行側が注意喚起していたにも関わらず、注意喚起された手口によってID・パスワードを入力してしまうなど、当人に過失があった場合は補償が減額される可能性がありますので、注意してください。
フィッシング詐欺対策ならLANSCOPEEプロフェッショナルサービスにおまかせください
「LANSCOPE プロフェッショナルサービス」では、フィッシング詐欺をはじめとするサイバー攻撃に有効な、手厚いセキュリティソリューションを提供しています。
1.脆弱性診断・セキュリティ診断
2.クラウドセキュリティ診断
2種類のソリューションについてご紹介します。
「脆弱性診断」なら自社ネットワークやシステムの脆弱性対策が可能
1つ目にご紹介するのが、自社のネットワークやアプリケーションのセキュリティ課題を明らかにする「脆弱性診断・セキュリティ診断サービス」です。
万一、フィッシング詐欺に引っかかった場合、自社のネットワークやシステムにセキュリティの脆弱性があれば、感染や不正アクセスを容易に受けてしまいます。
セキュリティ診断を受けることで、組織のセキュリティ上の課題や欠陥を洗い出し、フィッシング詐欺を含むサイバー攻撃に対し、「いま自社に不足している必要なセキュリティ対策」に重点を絞って対処が可能です。
また組織であれば、自社がフィッシング詐欺の加担者(踏み台)にならないため、自社Webサイトやアプリケーションの脆弱性に対策することも大切です。弊社のセキュリティ診断であれば、それらのセキュリティ上の弱点を洗い出し、セキュアなサイトやアプリケーション構築を支援します。
万が一、フィッシング詐欺被害にあった際、被害を最小限に抑える対策として、弊社の「ペネトレーションテスト」も有効な手段です。ペネトレーションテストでは実際の攻撃を想定した「模擬攻撃」を仕掛けることで、システムの脆弱性や対策レベルを図ることができます。
「クラウド診断」なら Microsoft 365 や Salesforce のフィッシング対策も含めた設定全般の見直しが可能
2つ目にご紹介するのが「クラウドセキュリティ診断」です。
近年、Microsoft 365 や Salesforce 等、クラウドサービスを悪用した、不正アクセスや情報漏洩事故が後を絶ちません。これらクラウドを発端としたサイバー被害の原因の多くが「アクセス権限の設定不備」や「ログイン設定の脆弱性」に起因します。
クラウドセキュリティ診断であれば、Microsoft365 やAWS・salesforce といった、ご利用中のクラウドにおける設定不備を専門スタッフが改善。
多要素認証の導入・アクセス権限の制限などを強化することで、仮にフィッシング詐欺経由でIDやパスワードが搾取された場合も、不正アクセスできない体制を整えることが可能です。
まとめ
「フィッシング詐欺」をテーマに、その手口や詐欺の事例・対策などをご紹介しました。
この記事をまとめると
- フィッシング詐欺とは、送信者を偽った電子メールやSMS、本物にそっくりな偽サイトなどを悪用し、ターゲットの個人情報を盗み取るサイバー攻撃の手口
- フィッシング詐欺の主な手口として、電子メールやSMS(スミッシング)、SNSを活用したものなどが挙げられる。
- フィッシング詐欺事件は増加傾向にあり、2023年の1年間に報告されたフィッシング詐欺の件数は119万6390件で、過去最悪となった
- 特徴として「個人情報を要求する内容」「緊急性を促す内容が多い」「送信元のメールアドレス・リンク先のURLが公式のものと少し異なる」等が見られる
- 有効な対策として「ドメインを確認する習慣づけ」や「メール訓練の実施」「(万一に備えた)多要素認証の導入」などがある
今なお猛威を振るうフィッシング詐欺の被害に遭わないためにも、自社のセキュリティ体制を見直し、従業員の「不審なメールやWebサイトに注意する」意識の醸成を図ることが大切です。本記事が少しでもお役に立てれば幸いです。
