フィッシング詐欺とは、電子メールや偽のウェブサイト、SMSなどを使って、個人や組織の情報資産を盗み取ることを目的としたサイバー攻撃の一種です。昨今、フィッシング詐欺の手口が巧妙化しており、一見「偽のメールやWebサイトとは見分けがつかない」ような犯行が増加しています。

本記事では、フィッシング詐欺の例や具体的な種類、組織でできる対策などについて解説します。

フィッシング詐欺とは

フィッシング詐欺とは、送信者を偽った電子メールやスマートフォンのSMS、本物に限りなく似せた偽サイトなどを悪用して、ターゲットの個人情報を盗み取るサイバー攻撃の手口です。メールやSMSから悪質なフィッシングサイトへ誘導し、アカウント情報やカード情報などを入力させ、個人情報を搾取します。

フィッシング詐欺に引っかかることで、以下のような損害を受ける可能性があります。

マルウェアに感染してしまうと、機密情報のデータ改ざんや暗号化が行われたり、個人情報や企業秘密の搾取・流出といった損害に発展したりするリスクもあります。

従来の攻撃に比べ、メール文書やWebサイトのクオリティはますます巧妙となり、近年のフィッシング詐欺はひと目で判別のつかないケースが大半です。

実際のフィッシングメールの例

以下は、IPA（独立行政法人情報処理推進機構）で公開されている、SMSを利用したフィッシング詐欺の事例です。

引用：URLリンクへのアクセスに注意 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

あたかも大手宅配業者であるかのようなメッセージを送信し、ターゲットに「宛先不明の荷物を確認しなければならない」と誤認させて、偽サイトのURLをタップさせようとする手法が用いられています。

偽サイトのURLをタップすると、本物そっくりの偽サイトに接続され、Apple ID等の個人情報を入力するように求められます。個人情報をそのまま送信してしまうと、攻撃者が運用するサーバーへと個人情報が送られ、情報を不正に盗み取られてしまいます。

主なフィッシング詐欺の手口

攻撃者はさまざまな媒体を通じて、個人情報を盗み取ろうと画策しています。ここでは、主なフィッシング詐欺の5つの手口を紹介するとともに、それぞれの特徴について解説します。

フィッシングメール（電子メールによる手口）

「フィッシングメール」と呼ばれる電子メールによる手口は、フィッシング詐欺の中でも非常によく用いられているものです。大手企業や公的機関を装ってメールを送りつけ、住所や電話番号、氏名、メールアドレス、ID、パスワードなどの個人情報を不正に盗み取ることを目的としています。

よく見ると日本語に不自然な部分があったり、送信元のメールアドレスが異なっていたりするものの、一見本物と見分けのつかない高度なものも近年増加しています。

フィッシングサイト（偽サイトによる手口）

フィッシングサイトによる情報の不正窃取も、フィッシングメールと並んでよく用いられている手法です。大手企業や公的機関を装った偽サイトに誘導し、フォームから個人情報を入力させることで、住所や電話番号、氏名、メールアドレス、クレジットカード番号などを、不正に入手することが目的です。

また最近では、検索エンジンの検索結果上位に悪質なWebページを表示させ、ユーザーをフィッシングサイトへ誘導する「SEOポイズニング」という攻撃手法も見られます。サイトを閲覧することで、偽サイトへ転送されたり、悪質なマルウェアに感染したりするリスクがあります。

スミッシング（SMSによる手口）

スミッシングとは、冒頭でもご紹介したSMSによるフィッシング詐欺の手口です。ターゲットのスマートフォンに対して大手企業や公的機関を装ったSMSを送りつけ、偽サイトに誘導して個人情報を盗み取ります。

構造としてはフィッシングメールと同様ですが、Eメールアドレス宛に送られるフィッシング詐欺のメールを「フィッシングメール」、SMS（電話番号）宛てに送られるフィッシング詐欺のメールを「スミッシング」と呼んで区別しています。

ソーシャルメディアフィッシング（Twitterなどによる手口）

ソーシャルメディアフィッシングとは、TwitterなどのSNSに似せたサイトを使い、IDやパスワードなどのログイン情報を盗み取るフィッシング詐欺の手口です。

近年では多くの人がSNSを利用していることから、ソーシャルメディアフィッシングの被害に遭うリスクも増大しています。ソーシャルメディアフィッシングによってログイン情報が盗み取られると、アカウントが乗っ取られ、ログインできなくなったり、本人の意図しない情報が発信されたりする恐れがあります。

スピアフィッシング（特定の人物・組織を狙う手口）

スピアフィッシングとは、特定の人物や組織を狙ったフィッシング詐欺の手口です。これまで紹介してきた手口が、不特定多数のユーザーを対象にしているのに対し、スピアフィッシングは攻撃対象が明確に定められています。

スピアフィッシングは、特定の人物や組織を情報漏洩や業務停止に追い込むことで「信頼を低下」させたり、「金銭的なダメージ」を与えたりするのが主な目的です。手段として「標的型攻撃メール」が用いられる例もよくあります。

フィッシング詐欺の近年の動向・発生推移

フィッシング対策協議会の公開する「2022年版フィッシング報告状況と対策」によれば、フィッシング詐欺の報告件数は、2019年以降右肩上がりで増加しています。報告数は2022年9 月末時点で755,028件にも上っており、この数は2019年（3年前） の約13.5倍に相当します。

▼フィッシング報告件数の推移 (年別)

引用：フィッシング対策協議会 事務局│2022年版フィッシング報告状況と対策

上記のグラフを見ても分かるように、フィッシング報告数とフィッシングURL数はこの2?3年で激増しており、各企業はフィッシング詐欺への対応が必要不可欠です。大企業・中小企業を問わずに狙われる可能性があり、社会問題とも呼べる事態に発展しています。

2023年の情報セキュリティ10大脅威では「フィッシング詐欺」が1位に

IPA（情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威」では、各年で特に猛威を振るった脅威に対して、個人と組織に分けてランキング付けされています。2023年の情報セキュリティ10大脅威では、個人部門で「フィッシングによる個人情報等の詐欺」が、昨年に引き続き1位にランクインすることとなりました。

▼情報セキュリティ10大脅威 2023（個人編）

順位	脅威内容	前年順位
1位	フィッシングによる個人情報等の詐取	1位
2位	ネット上の誹謗・中傷・デマ	2位
3位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	3位
4位	クレジットカード情報の不正利用	4位
5位	スマホ決済の不正利用	5位
6位	不正アプリによるスマートフォン利用者への被害	7位
7位	偽警告によるインターネット詐欺	6位
8位	インターネット上のサービスからの個人情報の窃取	8位
9位	インターネット上のサービスへの不正ログイン	10位
10位	ワンクリック請求等の不正請求による金銭被害	圏外

出典：IPA│情報セキュリティ10大脅威 2023

このように、フィッシング詐欺は社会においてリスクの高いサイバー攻撃であり、防御のための対策を講じることが求められます。

フィッシング詐欺の特徴と見分けるポイント5つ

続いて、フィッシング詐欺の特徴と見分けるための5つのポイントについて解説します。

フィッシング詐欺の主な特徴

フィッシング詐欺には、次のような特徴が見受けられることが多いです。

大手企業や金融機関などになりすますことで、ターゲットに対する信頼性を高める手口が用いられています。「有名企業からの連絡なのだから、本物だろう」と思い込んでしまう心理を突いた悪質な手口といえます。

また、フィッシング詐欺は個人情報の窃取を目的としているため、個人情報を要求する内容が書かれているケースも多く見られます。緊急性を要する内容でターゲットの不安を煽ることが多いのも、特徴のひとつです。

フィッシング詐欺を見破る5つのポイント

フィッシング詐欺を目的として送られてくるメールやSMSなどのメッセージは、次のような特徴を持っているものが多いです。そのため、受信したメッセージに不審な点がないかどうかをよく確認し、本物かどうかを見極めましょう。

送信元のメールアドレスは、一見すると公式のものと同じように見えるものの、実際には少し異なるものが使われているケースが多々あります。またリンク先のURLに関しても、異様にURLが長い、不用意な文字が多く含まれている、といった特徴が見られます。

▼PayPay をかたるフィッシング

出典：フィルタリング詐欺対策協議会│PayPay をかたるフィッシング

上記「PayPay をかたるフィッシングメールの事例」では、公式サイト（https://○○○○.com/）とよく似た、不正なWebサイトのURLが掲載されています。

その他、メール文書の中で、公式ではありえないスペルや文法上のミスが見られる、あるいはメールの文頭に宛名が書かれていなかったり、単に「お客様」「皆さま」など個人を特定しない表記になっていたりするものも、フィッシング詐欺の可能性が高いです。

▼宛名表記がおかしいフィッシング詐欺メールの例

出典：>警察庁│フィッシング110番

さらに、不審な添付ファイルがある場合もフィッシング詐欺の可能性が疑われます。 特に、拡張子が「.exe」や「.zip」などの場合は、ウイルス感染のリスクがあるため、安易に開封しない様気を付けましょう。

個人で取り組める、効果的なフィッシング詐欺対策

まずはフィッシング詐欺対策としてすぐに取り組める、個人にもおすすめな、基本的なフィッシング詐欺対策について解説します。

不審なメールやウェブサイトを開かない

何よりも重要なことは、身に覚えのない不審なメールやウェブサイトは開かないことです。契約した覚えのない請求に関するメールや、突然届いた国家機関や公共機関からのSMSは、注意が必要です。

少しでも怪しい内容であれば、不用意にURLやファイルを開かず、速やかに削除する・本当に公式サイトのものか確認する、などの対処を行いましょう。

多要素認証を導入する

フィッシング詐欺対策として、通常のIDとパスワードのみの認証でなく、指紋認証や顔認証など2種類以上の認証を用いる「多要素認証」を導入することも効果的です。

多要素認証を利用すれば第三者による不正アクセスが難しくなるため、万一IDやパスワードが漏れても、アカウント乗っ取りや情報漏洩といった被害を防ぐことが可能です。

正しいドメイン名か、SSL化されているか確認をクセづける

URLをクリックする際、「正しいドメイン名かの確認をクセづける」ことも、フィッシング詐欺対策として大切です。近年、詐欺ドメインの見分けがつきにくくなっているものの、フィッシング詐欺で用いられるドメインには、以下の様な特徴があります。

これらの特徴を踏まえ「メール内のURLに不審な点がないか」を、日頃からチェックする習慣づけを行いましょう。

また、重要データの入力画面であれば必ずSSL通信が行われているため、仮にURLをクリックした後も、ブラウザのアドレスバーに「鍵マーク」がついている・文字が緑色になっている、などの特徴を確認するようにしましょう。

この他、直接的な対策ではありませんが「定期的にオンライン口座やクレジットカード情報を確認することも大切です。万が一フィッシング詐欺被害に遭ったとき、初期対応を早めて解決をスムーズにする効果が期待できるためです。

不審な動きが見られた時は、すぐに利用先の事業者に連絡し、オンライン口座やクレジットカード情報の停止を依頼しましょう。

企業におけるフィッシング詐欺対策

フィッシング詐欺対策は企業・組織にとっても、昨今欠かすことのできないセキュリティ課題の１つです。企業におけるフィッシング詐欺対策を4つ、ご紹介します。

1.セキュリティポリシーの策定と、体制の見直し
2.従業員の教育と訓練
3.フィッシング詐欺対策に優れたセキュリティソフトやサービス
4.社内で利用しているサービスやソフトウェアの設定見直し

１．セキュリティポリシーの策定と、体制の見直し

社内のIT機器や情報資産をどのように運用していくのかについて取り決めたルールを「セキュリティポリシー」と呼びます。明確なセキュリティポリシーの策定は、フィッシング詐欺対策にも高い効果を発揮します。

セキュリティポリシーを定めておくことで、セキュリティポリシーから逸脱した行動を発見した管理者は、速やかに初動対応に移ることが可能になります。結果的に、未然に被害を防止しやすくなるだけでなく、万が一被害に遭った場合でも、解決を早めたり被害を最小限に食い止めたりすることにもつながります。

ポリシーを策定したあとは、従業員がルールに沿って行動できるよう、ポリシーの周知や社内教育を行うことも重要です。

従業員の教育と訓練

フィッシング詐欺への対策として、従業員のセキュリティ教育や訓練も欠かすことができません。先述した「セキュリティポリシー」の順守をはじめ、フィッシング詐欺への社員理解を深めることが大切です。

などの項目に関し、セキュリティ研修やメール訓練を通じて、習得を促します。

３．フィッシング詐欺対策に優れたセキュリティソフトやサービス

フィッシング詐欺対策に有効な、セキュリティソフトウェアやサービスを利用するのも１つの手段です。

効果的なソリューションの例として

等があげられます。

また、Webサイトやアプリケーションを公開する立場であれば、それらがフィッシング詐欺に悪用されないため、Webサイトやアプリの脆弱性をプロフェッショナルが検出し対策を提案する「セキュリティ診断（脆弱性診断）」を受けることも有効です。

４．社内で利用しているサービスやソフトウェアの「設定」見直し

社内で現在使用している、IT機器やアプリケーションの設定を見直し、セキュリティの穴を塞ぐ作業も必要です。

例えば、マイクロソフトが提供するクラウドサービス「Microsoft 365」では、フィッシング詐欺に対処するための、最適な利用設定（ポリシー）を提供しています。

このように、各サービスにてセキュリティポリシーを提示しているケースも多いため、内容に準拠し現在の設定を定期的に見直すことを心がけましょう。

万一、フィッシング詐欺にあってしまったら？

さまざまな対策を施しても、残念ながらフィッシング詐欺に遭ってしまう可能性はあります。万が一、フィッシング詐欺の被害に遭ってしまった時は、冷静に状況を整理しつつ、以下の手順で対応に移ることが重要です。

1.社内や関係者への速やかな報告
2.パスワードの変更とアカウントの不正利用がないかの確認
3.クレジットカード会社や銀行への問い合わせ
4.被害状況・影響範囲の確認
5.復旧と再発防止策の検討

まずは接続されているインターネットから被害に遭った端末を切り離し、社内や関係者へフィッシング詐欺に遭ったことを速やかに報告しましょう。その後、パスワードを変更して、情報を盗み取られたアカウントが不正利用されていないかどうかを確認します。

クレジットカード情報や口座情報が流出した場合は、利用先のクレジットカード会社や銀行への問い合わせも必要です。複数人が被害に遭っているようなら、被害状況とともに影響範囲を確認し、可能な限り速やかな原状回復をはかることが求められます。

原状回復が完了したら、フィッシング詐欺の被害が起こった原因を明らかにして、再発防止策を検討しましょう。

フィッシング詐欺対策ならLANSCOPEEプロフェッショナルサービスにおまかせください

「LANSCOPE プロフェッショナルサービス」では、フィッシング詐欺をはじめとするサイバー攻撃に有効な、手厚いセキュリティソリューションを提供しています。

1.セキュリティ診断（脆弱性診断）
2.クラウドセキュリティ診断

2種類のソリューションについてご紹介します。

「脆弱性診断」なら自社ネットワークやシステムの脆弱性対策が可能

1つ目にご紹介するのが、自社のネットワークやアプリケーションのセキュリティ課題を明らかにする「セキュリティ診断（脆弱性診断）サービス」です。

万一、フィッシング詐欺に引っかかった場合、自社のネットワークやシステムにセキュリティの脆弱性があれば、感染や不正アクセスを容易に受けてしまいます。

セキュリティ診断を受けることで、組織のセキュリティ上の課題や欠陥を洗い出し、フィッシング詐欺を含むサイバー攻撃に対し、「いま自社に不足している必要なセキュリティ対策」に重点を絞って対処が可能です。

また組織であれば、自社がフィッシング詐欺の加担者（踏み台）にならないため、自社Webサイトやアプリケーションの脆弱性に対策することも大切です。弊社のセキュリティ診断であれば、それらのセキュリティ上の弱点を洗い出し、セキュアなサイトやアプリケーション構築を支援します。

万が一、フィッシング詐欺被害にあった際、被害を最小限に抑える対策として、弊社の「ペネトレーションテスト」も有効な手段です。ペネトレーションテストでは実際の攻撃を想定した「模擬攻撃」を仕掛けることで、システムの脆弱性や対策レベルを図ることができます。

「クラウド診断」なら Microsoft 365 や Salesforce のフィッシング対策も含めた設定全般の見直しが可能

2つ目にご紹介するのが「クラウドセキュリティ診断」です。

近年、Microsoft 365 や Salesforce 等、クラウドサービスを悪用した、不正アクセスや情報漏洩事故が後を絶ちません。これらクラウドを発端としたサイバー被害の原因の多くが「アクセス権限の設定不備」や「ログイン設定の脆弱性」に起因します。

クラウドセキュリティ診断であれば、Microsoft365 やAWS・salesforce といった、ご利用中のクラウドにおける設定不備を専門スタッフが改善。

多要素認証の導入・アクセス権限の制限などを強化することで、仮にフィッシング詐欺経由でIDやパスワードが搾取された場合も、不正アクセスできない体制を整えることが可能です。

まとめ

「フィッシング詐欺」をテーマに、その手口や詐欺の事例・対策などをご紹介しました。

今なお猛威を振るうフィッシング詐欺の被害に遭わないためにも、自社のセキュリティ体制を見直し、従業員の「不審なメールやWebサイトに注意する」意識の醸成を図ることが大切です。本記事が少しでもお役に立てれば幸いです。