Written by WizLANSCOPE編集部
目 次
フィッシング詐欺とは、実在する企業やサービスの送信元を装ったメールやSMSを送り、リンクをクリックさせることで偽のWebサイトへ誘導し、個人情報や認証情報などを入力させて不正に窃取する手口です。
近年では、法人口座を狙った攻撃の増加に加え、生成AIの普及を背景に手口の巧妙化が進んでおり、その脅威は無視できないレベルにまで拡大しています。
本記事では、個人だけでなく企業・組織にとっても対策が求められるフィッシング詐欺について、代表的な手口や最新の動向、具体的な対策方法などを解説します。
▼本記事でわかること
- フィッシング詐欺の手口
- フィッシング詐欺への対策
- フィッシング詐欺への対処法
「高度化するフィッシング詐欺に備えたい」「近年のフィッシング詐欺の手口を知りたい」といった方は、ぜひご一読ください。
3分で分かる!
脆弱性診断のご案内
LANSCOPE プロフェッショナルサービスの脆弱性診断でできることをわかりやすく解説!ぴったりの診断を選べるフローチャートもご用意しています。
フィッシング詐欺とは
フィッシング詐欺とは、実在する企業やサービスの送信元を装ってメールやSMSを送り、リンクをクリックさせることで偽のWebサイトへ誘導し、個人情報や認証情報などを入力させて不正に窃取する手口です。
例えば、クレジットカード会社を装い、以下のようなメールを送りつけてリンクをクリックさせるケースが挙げられます。
不正利用の可能性があるため、カードの利用を一時停止いたしました。
つきましては、以下のリンクから再認証手続きをお願いいたします。
https://〜〜
遷移先がフィッシングサイトであると気付かずにクレジットカード情報などを入力してしまうと、その情報は攻撃者の手に渡ってしまいます。
近年では、生成AIの発展などを背景に手口が巧妙化しており、メールの文面や誘導先サイトのデザインを一見しただけで詐欺だと見分けることは、容易ではなくなっています。
そのため、送られてきたメールやSMS、さらには電話の内容も安易に、公式サイトや公式アプリ、正規の窓口から必ず確認する習慣を身につけることが重要です。
フィッシング詐欺の手口
フィッシング詐欺の代表的な手口としては、以下が挙げられます。
- メール
- SMS
- 電話
- QRコード
- 検索エンジン
手口を理解することで、対策の強化に役立てましょう。
メール
電子メールによる手口は、フィッシング詐欺の中でも特に多く用いられています。
攻撃者は、大手ECサイトやクレジットカード会社などを装ってメールを送信し、本文内のリンクを巧妙にクリックさせようとします。
受信者がリンクを開くと、正規サイトと酷似したフィッシングサイトへ誘導され、そこで個人情報やクレジットカード情報などの入力を求められます。
下記は、東京ガスを装ったフィッシングメールの例です。
一見しただけでは詐欺メールと見分けることが難しいほど、自然な内容になっていることがわかります。
出典:フィッシング対策協議会|東京ガスをかたるフィッシング (2024/04/24)
フィッシングメールの実例についてより詳しく知りたい方は、下記の記事で紹介しているので、ぜひ本記事とあわせてご確認ください。
SMS
携帯電話の番号宛てにメッセージを送信するSMSを利用した手口は、フィッシング詐欺の一種で「スミッシング」と呼ばれ、近年急増しています。
攻撃者は、宅配業者や通信事業者などを装ってユーザーにメッセージを送り、本文内のリンクをクリックさせて、フィッシングサイトへ誘導します。
SMSはメールと比べて文章が短く、内容も簡潔であるため、不審に思わずにクリックしてしまうケースが増えています。
出典:IPA|URLリンクへのアクセスに注意(2021年8月31日)
電話
電話を用いたフィッシング詐欺は、「ビッシング(ボイスフィッシング)」と呼ばれます。
具体的には、大手金融機関や警察官などを装い、「あなたのキャッシュカードが不正に利用されているため、至急手続きが必要です」といった不安を煽る電話をかけ、暗証番号や口座情報を聞き出そうとします。
電話で緊急性を強調されると、受け手は冷静な判断が難しくなり、内容を十分に確認しないまま、指示に従ってしまうケースも少なくありません。
QRコード
攻撃者が作成したQRコードを読み取らせることで、ユーザーをフィッシングサイトへ誘導する手口も確認されています。
このようなQRコードを用いたフィッシング詐欺は、「クイッシング(QRコード詐欺)」と呼ばれます。
フィッシングメールにQRコードを添付する手法が多く用いられており、QRコードは読み取るまでリンク先のURLを確認できないため、被害を回避しにくい傾向があります。
出典:フィッシング対策協議会|Amazon をかたるフィッシング (2023年1月5日)
検索エンジン
最近では、GoogleやYahoo!などの検索エンジンの検索結果上位に不正なWebサイトを表示させる手口も確認されています。
この手法は、「SEOポイズニング」と呼ばれます。
検索結果の上位に表示させるサイトは、攻撃者が自ら作成する場合もあれば、すでに上位表示されている有名企業のWebサイトを改ざんするケースもあります。
後者の場合、見た目は正規サイトと見分けがつかないほど精巧に作り込まれていることも多く、フィッシング詐欺の被害に遭って初めて気付くケースも少なくありません。
フィッシング詐欺の近年の動向・発生推移
フィッシング対策協議会が2026年1月に発表した「フィッシング報告状況」によると、2025年に報告されたフィッシング詐欺の件数は245万4,297件に上り、過去最多を記録しました。
▼フィッシング報告件数の推移 (年別)
※フィッシング対策協議会の情報をもとにエムオーテックスで作成
2020年の報告件数は22万4,676件であり、これと比較すると10倍以上に増加していることがわかります。
近年、フィッシング詐欺が急増している要因の一つとして、「生成AIの普及」が挙げられます。
生成AIを悪用することで、従来不自然になりがちだった日本語も、自然かつ説得力のある文章として生成できるようになり、さらに短時間で大量に作成することも可能になりました。
こうしたフィッシングメールに対抗するためには、定期的な情報セキュリティ教育やメール訓練の実施に加えて、不審なメールや不正なWebサイトへのアクセスをブロックするセキュリティツールの導入が推奨されます。
出典:フィッシング対策協議会|2025/12 フィッシング報告状況(2026年01月21日)
フィッシング詐欺に遭わないための対策
前述の通り、フィッシング詐欺の件数は近年増加傾向にあり、その手口にも高度化・巧妙化が見られます。
被害を防ぐためには、以下のような対策を講じることが重要です。
- メールセキュリティ製品の導入
- 認証の強化
- Webフィルタリングの導入
- 従業員への教育と訓練
詳しく確認していきましょう。
メールセキュリティ製品の導入
メールセキュリティ製品を導入することで、フィッシング詐欺をはじめとした「メール」を悪用した攻撃を防げる可能性が高まります。
メールセキュリティ製品に搭載されている機能の例としては、以下が挙げられます。
| アンチウイルス機能 | メールの添付ファイルやリンクに潜むマルウェアを検出し、システムに被害が及ぶ前に取り除く |
|---|---|
| スパムフィルタリング機能 | 受信トレイに届く前に不要なスパムメールを検出し、ブロックする |
| 送信ドメイン認証機能 | 送信元メールアドレスのドメインを検証し、なりすましや改ざんを検知する |
認証の強化
ID・パスワードのみに依存した認証方式では、フィッシング詐欺によって認証情報が盗まれると、容易にアカウントを乗っ取られてしまいます。
そのため、多要素認証などの認証方式を導入し、認証自体を強化することが強く推奨されます。
多要素認証(Multi-Factor Authentication、MFA)とは、ユーザーの本人確認を強化するために、「知識情報」「所持情報」「生体情報」のうち、2つ以上の要素を組み合わせるセキュリティ手法です。
| 知識情報 | パスワードなどの特定のユーザーのみが知っている情報 |
|---|---|
| 所持情報 | スマートフォンやICカードなど利用者本人が所持している情報 |
| 生体情報 | 指紋や静脈、顔、虹彩など、本人固有の身体情報 |
多要素認証を導入することで、仮にパスワードが漏洩した場合でも、追加の認証が必要となるため、不正ログインのリスクを大幅に低減できます。
さらに、パスキーなどのパスワードに依存しない認証方法の導入も有効です。
パスキーとは、パスワードの代わりにデバイスに保存された生体認証やPINを用いて本人確認を行う仕組みです。
パスキーは公開鍵暗号方式に基づいており、登録されていないドメインからの認証要求は自動的に拒否するため、フィッシングサイト上では認証が成立しません。
そのため、万が一フィッシングサイトに誘導された場合でも、認証情報が窃取されるリスクを防ぐことができます。
Webフィルタリングの導入
Webフィルタリングとは、不正なWebサイトへのアクセスを防ぐために、通信を制御する仕組みです。
近年のフィッシングサイトは正規サイトと酷似しており、見た目だけで判別することは困難になっています。
そのため、Webフィルタリングを活用し、フィッシングサイトなどの危険なサイトへのアクセスを未然にブロックすることが重要です。
従業員への教育と訓練
フィッシング詐欺への対策として、従業員への情報セキュリティ教育やメール訓練の実施も欠かせません。
どれほど高精度なツールやシステムを導入していても、従業員のセキュリティ意識が低い場合、不審なリンクやファイルを開いてしまうリスクが残ります。
そのため、定期的に情報セキュリティ教育を行い、フィッシング詐欺の手口やリスク、実例などを共有し、危機意識の醸成を図ることが重要です。
また、基礎知識の定着に加え、実際の攻撃を模したメール訓練をあわせて実施することで、より実践的なセキュリティ意識の向上が期待できます。
フィッシング詐欺を見分けるポイント
近年のフィッシング詐欺は、文章や内容に違和感がないよう巧妙に作られており、遷移先のWebサイトも本物と見分けがつかないほど精巧に作り込まれているケースが増えています。
そのため、人の目だけで見分けることは年々難しくなっていますが、それでも被害を防ぐためには、典型的な特徴を理解し、常に注意を払うことが重要です。
例えば、フィッシング詐欺には、次のような特徴が見受けられることが多いです。
- 個人情報や認証情報の入力を求める内容が含まれている
- 緊急性を強調し、不安や焦りを煽る表現が使われている
- 送信元のメールアドレスやリンク先のURLが正規のものとわずかに異なる
- 不特定多数に向けた「お客様」や「皆様」などの宛名が使われている
- 不審なファイルが添付されている
フィッシングメールでは、特に緊急性を強調して受信者の判断力を低下される手口が多く見られます。
例えば、「クレジットカードが不正利用されています」「今すぐパスワードを変更してください」といった内容のメールを受け取ると、焦りから冷静に判断できなくなる可能性があります。
また、近年は生成AIの発展により自然な文章が多くなっている一方で、不自然な日本語や文法の誤りが含まれている場合や、宛名が曖昧な場合は注意が必要です。
明確な宛名がなく、かつ緊急性を強調する内容の文面が届いた場合は、フィッシングの可能性を疑うべきでしょう。
さらに、不審な添付ファイルが含まれている場合も注意が必要です。特に「.exe」や「.zip」などのファイルは、マルウェア感染のリスクがあるため、安易に開かないようにしましょう。
フィッシング詐欺に遭った場合の対処法
万が一、フィッシング詐欺の被害に遭ってしまった場合は、冷静に状況を整理しつつ、以下の手順で適切に対応することが重要です。
- 手順(1):社内や関係者への報告
- 手順(2):パスワードの変更とアカウントの不正利用の確認
- 手順(3):クレジットカード会社や銀行への連絡
- 手順(4):被害状況および影響範囲の確認
- 手順(5):復旧と再発防止策の検討
ここでは、具体的な被害状況ごとに必要な対処法について解説します。
クレジットカードを不正利用された場合
万が一クレジットカードが不正利用された場合には、以下の対応を速やかに行いましょう。
- 契約しているカード会社に連絡し、利用停止手続きを行う
- 警察に被害届を提出する
- 不正利用に対する補償申請を行う
カード会社に利用停止を申請すると、利用停止措置が取られるとともに、不正利用の有無についての調査が行われます。
不正利用だと認められた場合は、速やかに補償申請を行いましょう。
なお、補償申請には警察への被害届の提出が必要となる場合があるため、忘れずに対応することが重要です。
インターネットバンキングから不正に金銭を引き出された場合
インターネットバンキングから不正に金銭を引き出された場合は、以下の対応を速やかに行いましょう。
- 該当の金融機関に連絡する
- アカウント情報を変更する
- 警察に被害届を提出する
- 不正利用に対する補償申請を行う
不正送金や不正出金に気付いた場合は、被害額にかかわらず、速やかに金融機関に連絡することが重要です。
また、被害を拡大を防ぐため、インターネットバンキングのパスワードや認証情報も速やかに変更する必要があります。
クレジットカードと同様に、インターネットバンキングにも不正利用に対する補償制度が設けられている場合があります。そのため、被害に気付いたら、できるだけ早く申請を行いましょう。
ただし、事前に注意喚起がされていたのにもかかわらず、同様の手口で被害に遭った場合などは、「利用者に過失があった」と判断され、補償額が減額される可能性があります。
フィッシング詐欺対策に「LANSCOPE プロフェッショナルサービス」
「LANSCOPE プロフェッショナルサービス」では、フィッシング詐欺をはじめとするサイバー攻撃に有効なセキュリティソリューションを提供しています。
本記事では、直接的な対策・間接的な対策の2種類のソリューションを紹介します。
- クラウドセキュリティ診断 (直接的な対策)
- 脆弱性診断・セキュリティ診断(間接的な対策)
詳しく見ていきましょう。
クラウドセキュリティ診断
近年のクラウドサービスの利用拡大に伴い、クラウド環境を狙ったフィッシング詐欺や不正アクセスが急増しています。
この攻撃の多くは、クラウド環境の設定不備やアクセス制御の甘さなどに起因します。
攻撃者は偽装メールを通じてクラウドサービスのログイン情報を窃取し、企業の内部情報に不正アクセスをおこないます。
「LANSCOPE プロフェッショナルサービス」の「クラウドセキュリティ診断」では、Microsoft 365 や Salesforce など、ご利用中のクラウドサービスに対して、アカウント管理・アクセス権限・多要素認証(MFA)の導入状況、監査ログ設定などの観点から診断を行います。
診断できるリスクの例としては、以下が挙げられます。
- 不適切なアクセス権限の設定
- 多要素認証(MFA)が未設定のアカウント
- 不要に外部共有されているファイルやフォルダ
- セキュリティポリシーの不備(例:IP制限がない、監査ログが有効化されていない)
診断結果に基づき、セキュリティ要件に応じた設定の最適化を支援することで、仮にフィッシング詐欺によってIDやパスワードが窃取された場合でも、不正アクセスや情報漏洩を防止できる強固なクラウドセキュリティ体制を構築できます。
例えば、多要素認証(MFA)の未設定アカウントを特定・是正することで、認証情報の漏洩だけでは侵入できない仕組みを整えます。
また、不適切なアクセス権限を見直し、不要に外部共有されているファイルやフォルダの特定と制御、IPアドレス制限の適用といった設定を確認・改善することで、外部からの不正接続の抑止や、不審な挙動の早期検知・対応につなげることができます。
「LANSCOPE プロフェッショナルサービス」では、経験豊富な弊社の診断員が、変化の激しいクラウドセキュリティの最先端を反映した診断サービスを提供します。
クラウドの設定不備や管理体制の抜け漏れを可視化し、フィッシング詐欺やサイバー攻撃の被害を最小限に抑えるための、実践的な施策として効果的です。
脆弱性診断・セキュリティ診断
フィッシング詐欺によって窃取されたID・パスワードは、社内システムへの不正アクセスに悪用され、さらなる情報漏洩やマルウェア感染などの被害へと発展するリスクがあります。
特に攻撃者は、入手した認証情報をもとに、社内のWebアプリケーションやネットワークに残された脆弱性を探索し、不正アクセスを試みます。
こうした二次被害を未然に防ぐためには、Webアプリケーションやサーバー、ネットワーク機器に潜むセキュリティ上の欠陥を専門家が診断する「脆弱性診断・セキュリティ診断」の実施が有効です。
脆弱性診断では、認証バイパスやSQLインジェクションなどのWeb脆弱性、パッチ未適用のOS・ミドルウェア、不要ポートの開放など、システム全体のリスクを洗い出します。
これにより、フィッシング被害後に発生し得る「侵入・横展開・情報窃取」といった一連の攻撃リスクを大幅に軽減することができます。
LANSCOPE プロフェッショナルサービスの「脆弱性診断・セキュリティ診断」は、12,000件以上のサービス提供実績と90%以上のリピート率を誇り、国家資格「情報処理安全確保支援士」を保有する80名以上の診断員が、安心の技術力と専門性で支援します。
診断結果は、自社サイトが抱えるリスクを「点数」で可視化し、「報告書」には、経営層が自社サイトのリスクを把握するための、エグゼクティブサマリーや、発見された脆弱性の対策・修正提言なども含まれます。
効率的かつ網羅的に、優先順位をつけて自社のセキュリティ課題に対策したいという企業・組織の方は、ぜひ LANSCOPE プロフェッショナルサービスの「脆弱性診断・セキュリティ診断」の実施をご検討ください。
まとめ
本記事では「フィッシング詐欺」をテーマに、手口や対策、対処法などを解説しました。
本記事のまとめ
- フィッシング詐欺とは、実在する企業やサービスの送信元を装ってメールやSMSを送り、リンクをクリックさせることで偽のWebサイトへ誘導し、個人情報や認証情報などを入力させて不正に窃取する手口
- フィッシング詐欺には、メールやSMSを悪用した手法だけでなく、電話で情報を聞き出す手口や、検索エンジンの検索結果上位に不正なWebサイトを表示させる手口などが存在する
- フィッシング対策協議会の発表によると、2025年に報告されたフィッシング詐欺の件数は245万4,297件に上り、過去最多を記録した
- フィッシング詐欺の被害に遭わないためには、「メールセキュリティ製品の導入」「認証の強化」「Webフィルタリングの導入」といった技術的な対策とあわせて、従業員への教育やメール訓練の実施といった組織的対策を組み合わせて実施することが重要
生成AIの普及で、自然な文面のフィッシングメールを大量に作成することが可能になったことも影響し、フィッシング詐欺の被害は増加の一途をたどっています。
万が一、企業・組織がフィッシング詐欺の被害に遭った場合、情報漏洩や不正アクセス、金銭的損失などの深刻な被害につながる恐れがあります。
そのため、メールセキュリティ製品やWebフィルタリングの導入など、被害を未然に防ぐための対策を適切に講じることが重要です。
また、攻撃者に悪用される脆弱性を解消するための取り組みとしては、本記事紹介した「クラウドセキュリティ診断」や「脆弱性診断・セキュリティ診断」の実施が有効です。
特に近年は、クラウドサービスの普及に伴い、業務で利用する企業が増えたことから、クラウドサービスの脆弱性が攻撃対象となるケースも増えています。
セキュリティ上の課題を把握し、適切に対処するためにも、ぜひ診断を実施し、優先度に沿った適切な対応の実施をご検討ください。
3分で分かる!
脆弱性診断のご案内
LANSCOPE プロフェッショナルサービスの脆弱性診断でできることをわかりやすく解説!ぴったりの診断を選べるフローチャートもご用意しています。
おすすめ記事
