Written by WizLANSCOPE編集部
フィッシング詐欺とは、実在する企業や公的機関を装い、メールやSMS、Webサイトなどを通じて認証情報や機密情報を窃取するサイバー攻撃の一種です。
企業・組織を標的としたフィッシング詐欺は年々増加しており、その手口も巧妙化しています。
特に生成AIの普及・発展により、違和感のない自然な文章を容易に作成できるようになったことで、従来よりもフィッシングメールを見分けることは難しくなっています。
フィッシング詐欺による被害は、アカウントの乗っ取りや情報漏洩だけでなく、不正送金やランサムウェア感染など、企業活動に深刻な影響を及ぼす可能性があります。
そのため、従来のように「怪しいメールに注意する」だけではなく、最新の手口を理解したうえで組織的な対策を講じることが重要です。
本記事では、近年のフィッシング詐欺の実例を紹介しながら、最新の手口や被害の特徴、有効な対策について解説します。
近年のフィッシング詐欺の動向
生成AIの普及・発展の影響もあり、フィッシング詐欺の手口は高度化・巧妙化の一途をたどっています。
フィッシング対策協議会が2026年1月に公表した「フィッシング報告状況」によると、2025年に報告されたフィッシング件数は245万4,297件に上り、過去最多を記録しました。
前年の171万8,036件から大幅に増加しており、フィッシング被害の深刻化がうかがえます。
▼フィッシング報告件数の推移 (年別)
※フィッシング対策協議会の情報をもとにエムオーテックスで作成
近年のフィッシング詐欺では、生成AIを活用して違和感のないメール文面を作成したり、実在する企業やサービスになりすました精巧な偽サイトを構築したりするなど、従来よりも本物と偽物を見分けることが難しくなっています。
加えて、資金力が高い企業・組織を標的とした攻撃も増加しており、フィッシング詐欺によって窃取した認証情報を悪用して不正送金やランサムウェア感染につなげるケースも報告されています。
そのため、フィッシング詐欺はいまや単なる情報窃取にとどまらず、企業活動に深刻な影響を及ぼすサイバー攻撃となっており、より一層の警戒が求められています。
こうした被害を防ぐためには、最新のフィッシング詐欺の手口を理解し、自社のセキュリティ対策に反映することが重要です。
まずは、近年実際に発生したフィッシング詐欺の事例を確認していきましょう。
フィッシング詐欺の実例6選
フィッシング詐欺の手口は、近年ますます高度化・巧妙化の一途をたどっています。
適切な対策を講じるためには、実際にどのような手口が用いられ、どのような被害が発生しているのかを理解することが重要です。
ここでは、近年発生したフィッシング詐欺の実例をもとに、代表的な手口を6つ紹介します。
- フィッシングメール
- スミッシング
- クイッシング
- ボイスフィッシング
- 検索結果の悪用
- リアルタイムフィッシング
それぞれの実例を通して、攻撃の特徴や注意すべきポイントを確認していきましょう。
フィッシングメール
フィッシング詐欺の代表的な手口の一つが、フィッシングメールです。
近年は生成AIの普及により、攻撃者は違和感のない自然な文章を容易に作成できるようになり、フィッシングメールはより巧妙化しています。
攻撃者はメール内のリンクから受信者をフィッシングサイトへ誘導し、ID・パスワードやクレジットカード情報などを窃取します。
フィッシングメールは、証券会社や決済サービス、クレジットカード会社など、実在するさまざまな企業・サービスを装って送信されます。
実際に2026年4月には、実在の証券会社を装い、「セキュリティ強化および補償方針変更に伴うパスキー設定のお願い」という件名のフィッシングメールが確認されました。
出典:フィッシング対策協議会|SBIネオトレード証券をかたるフィッシング (2026/04/17)
従来のフィッシングメールでは、「不正利用が確認された」「アカウントが停止される」など、利用者の不安や焦りを煽る文面が多く用いられていました。
一方、この事例では「セキュリティ強化」や「補償方針変更」といった利用者にとって有益に見える内容を用いることで警戒心を下げ、自然な流れで認証情報を入力させようとしている点が特徴です。
このように、近年のフィッシングメールは不安を煽るだけでなく、セキュリティ対策や利便性向上を装うケースも増えており、一見しただけでは正規の案内と見分けることが難しくなっています。
この事例でも、最終的には偽サイトへ誘導したうえで、ログインIDやパスワードなどの認証情報の入力が求められます。
なお、誘導先のフィッシングサイトは正規サイトに酷似したデザインで作られていることが多く、一見しただけで本物かどうかを判断することは困難です。
スミッシング
スマートフォンやインターネットサービスの利用拡大に伴い、被害が急増したのがSMS(携帯電話番号宛のショートメッセージ)を悪用した「スミッシング」と呼ばれる手口です。
攻撃の流れは基本的にはフィッシングメールと同様で、金融機関や通信事業者、配送事業者などを装ったSMSを送り、メッセージ内のリンクからフィッシングサイトへ誘導して認証情報などを窃取します。
SMSは電話番号宛に直接届くため、メールよりも信頼されやすく、開封率が高い傾向があります。
また、スマートフォンではURL全体を確認しづらいことから、フィッシングサイトであることに気付きにくい点も特徴です。
実際に近年は、大手配送業者を装って、「再配達のご依頼はこちら」「不在通知」「配達失敗通知サービス」などの文面で利用者を偽サイトへ誘導する手口が継続的に報告されています。
出典:ヤマト運輸|ヤマト運輸からのメールやSMS(ショートメール)が「迷惑(詐欺)メール」かを見分ける方法はありますか?
この手口が巧妙なのは、アカウント停止や不正利用といった強い不安を煽るのではなく、「荷物の受け取り」という日常的な行動に紛れ込ませている点です。
特にインターネット上で商品やサービスを購入することが一般化した現在では、実際に配送を待っているタイミングと重なることも多く、正規の通知と誤認して、安易にリンクにアクセスしてしまうリスクがあります。
クイッシング
QRコードを悪用した「クイッシング」と呼ばれる手口も増加しています。
この手口では、攻撃者が作成したQRコードを読み取らせることで、利用者をフィッシングサイトへ誘導し、認証情報やクレジットカード情報などを窃取します。
フィッシングメールにQRコードを添付する手口のほか、近年では郵便ポストに投函されるチラシのQRコードが偽装されていたり、店舗に設置された決済用QRコードの上から偽のQRコードが貼り付けられたりする事例も報告されています。
この手口が巧妙なのは、利用者がQRコードに対して警戒心を持ちにくい点にあります。
メールやSMSに記載されたURLには注意を払っていても、QRコードは日常的に利用されているため、深く確認せずに読み取ってしまうケースが少なくありません。
また、QRコード自体からは遷移先を直感的に判断できないため、不審なサイトへ誘導されても気付きにくいという特徴があります。
そのため、従来のフィッシング対策をすり抜けやすい手口として警戒されています。
ボイスフィッシング(ビッシング)
ボイスフィッシング(ビッシング)は、電話を利用したフィッシング詐欺です。
近年は企業を標的としたボイスフィッシングも増加しており、2025年には地方の鉄道会社が約1億円をだまし取られる被害が発生しました。
ボイスフィッシングでは、攻撃者が銀行やサポート窓口などを装って電話をかけ、被害者から認証情報やワンタイムパスワードを聞き出そうとします。
実際にこの事例では、銀行をかたる自動音声の電話があり、「ログインIDの更新が必要」などと案内したうえで、担当者を名乗る人物へ通話を引き継ぐ手口が用いられました。
その後、攻撃者はメールアドレスを聞き出し、フィッシングサイトのリンクを送信して認証情報を入力させています。
この手口が巧妙なのは、メールだけでなく電話を組み合わせることで、被害者に「正規のサポート窓口とやり取りしている」という安心感を与える点です。
さらに、自動音声から担当者へ引き継ぐ流れを見せることで、実在する金融機関の手続きのように見せかけている点も特徴です。
また、電話による対話を通じて被害者の反応に応じながら攻撃を進められるため、メールのみを用いたフィッシングよりも信用させやすいという側面もあります。
最終的に攻撃者は、入力された認証情報や聞き出したワンタイムパスワードを悪用してインターネットバンキングへ不正アクセスし、法人口座から資金を不正送金しました。
フィッシングサイトを検索上位に表示
検索エンジン最適化(SEO)技術やインターネット広告を悪用し、フィッシングサイトを検索結果の上位に表示させる手口もあります。
この手口は、「フィッシングサイトに騙されないよう、公式サイトへアクセスするために自ら検索している」という利用者の心理を巧みに利用したものです。
メールやSMSを送信しなくても、利用者が自らフィッシングサイトへアクセスしてしまう点が特徴です。
攻撃者はSEO技術を悪用して検索順位を高めたり、検索広告の枠を購入したりすることで、フィッシングサイトを検索結果の上位に表示させます。
実際に過去には、大手鉄道会社が運営するWebサイトの名称で検索した際、正規サイトと酷似したフィッシングサイトが検索結果の上位に表示される事案が報告されています。
この事案では、攻撃者が検索広告を利用してフィッシングサイトを上位表示させていたとされています。
この手口が巧妙なのは、利用者が自ら検索してアクセスしているため、不審なメールやSMSを受け取った際のような警戒心が働きにくい点です。
また、検索結果の上位表示や広告表示によって正規サイトであると誤認しやすく、「検索上位=安全」という思い込みを利用されやすい点も特徴です。
そのため、検索順位や広告表示だけでサイトの信頼性を判断せず、URLやドメイン名を確認することが重要です。
リアルタイムフィッシング
リアルタイムフィッシングとは、ユーザーがフィッシングサイトに入力したID・パスワードを攻撃者がリアルタイムで正規サイトに入力し、ワンタイムパスワードなどの追加認証まで突破する手口です。
従来のフィッシング詐欺では、認証情報を窃取した後に攻撃者が不正アクセスを試みるケースが一般的でした。
一方、リアルタイムフィッシングでは、被害者が認証情報を入力している最中に攻撃者も同時に正規サイトへアクセスするため、二要素認証やワンタイムパスワードによる保護を回避できる場合があります。
2025年に話題となった証券口座への不正アクセス被害では、フィッシング詐欺によって認証情報が窃取され、第三者による不正取引が行われたケースが確認されています。
被害の拡大を受け、証券各社は多要素認証の必須化などの対策を進めました。
この手口が巧妙なのは、認証情報だけでなく追加認証の仕組みまで悪用することで、従来は有効と考えられていたセキュリティ対策を突破できる点です。
そのため、近年のフィッシング詐欺のなかでも特に高度な手口として警戒されています。
フィッシング詐欺への対策
高度化・巧妙化が進むフィッシング詐欺の被害を防ぐためには、手口を正しく理解したうえで、技術的な対策と組織的な対策を組み合わせて実施することが重要です。
本記事では、企業が実施すべき基本的なフィッシング詐欺対策として、以下の4つを紹介します。
- メールセキュリティソフトの導入
- 認証の強化
- Webフィルタリングの導入
- 従業員への教育と訓練
それぞれの対策について詳しく確認していきましょう。
メールセキュリティソフトの導入
メールセキュリティソフトを導入することで、フィッシングメールやなりすましメールを検知・ブロックし、被害を未然に防ぎやすくなります。
近年のフィッシング詐欺は、企業や組織を標的としたものも増加しています。
万が一、攻撃者によって業務システムやクラウドサービスの認証情報が窃取された場合、情報漏洩や不正アクセスだけでなく、不正送金やランサムウェア感染などの重大な被害につながる可能性があります。
そのため企業・組織は、従業員個人の注意に依存するのではなく、技術的に不審なメールを検知・遮断する仕組みを整備することが重要です。
メールセキュリティソフトには、主に以下のような機能が搭載されています。
| 機能 | 内容 |
|---|---|
| アンチウイルス機能 | ・メールの添付ファイルやリンクに潜むマルウェアを検出し、システムに被害を及ぼす前に隔離・削除する機能 |
| 本文・添付ファイルの暗号化機能 | ・メール本文や添付ファイルを暗号化し、第三者による盗聴や情報漏洩を防ぐ機能 |
| スパムフィルタリング機能 | ・スパムメールや不審なメールを検出し、受信トレイに届く前に隔離・ブロックする機能 |
| なりすまし対策機能 | ・SPF、DKIM、DMARCなどの認証技術を用いて送信元を検証し、なりすましメールを防ぐ機能 |
認証の強化
ID・パスワードのみに依存した認証方式を採用している場合、フィッシング詐欺によって認証情報が窃取されると、不正ログインされるリスクが高まります。
そのため、「多要素認証(MFA)」や「パスワードレス認証」などの強固な認証方式を導入し、認証を強化することが重要です。
多要素認証(MFA)とは、本人確認のために「知識情報」「所持情報」「生体情報」のうち、2つ以上の要素を組み合わせる認証方式です。
| 知識情報 | パスワードなどの特定のユーザーのみが知っている情報 |
|---|---|
| 所持情報 | スマートフォンやICカードなど利用者本人が所持している情報 |
| 生体情報 | 指紋や静脈、顔、虹彩など、本人固有の身体情報 |
多要素認証を導入することで、仮にパスワードが漏洩した場合でも追加の認証が必要となるため、不正ログインのリスクを大幅に低減できます。
ただし、近年はリアルタイムフィッシングのように多要素認証を突破しようとする高度な攻撃も確認されています。
そのため、多要素認証は重要な対策ではあるものの、メールセキュリティや従業員教育など、他の対策と組み合わせて運用することが重要です。
もう一つのパスワードレス認証は、その名の通りパスワードを使用しない認証方式です。
生体認証や端末認証、PINなどを利用して本人確認を行うため、パスワードの窃取や使い回しによるリスクを低減できます。
また、認証情報そのものを窃取されにくいことから、フィッシング対策としても有効とされています。
Webフィルタリングの導入
Webフィルタリングとは、有害な情報を掲載している不適切なWebサイトや、サイバー攻撃者によって作成・改ざんされたWebサイトなどへのアクセスを制限し、安全なWeb利用を実現するための仕組みです。
近年のフィッシングサイトは正規サイトと見分けがつかないほど精巧に作られる傾向があるため、見た目だけで本物か偽物かを判別することは困難になっています。
本記事で紹介した通り、フィッシングメールやスミッシング、クイッシング、検索結果の悪用といった手口の多くは、最終的に利用者をフィッシングサイトへ誘導することを目的としています。
そのため、危険なサイトへのアクセスを自動的に検知・ブロックするWebフィルタリングを導入することで、認証情報の入力やマルウェア感染などの被害を未然に防ぎやすくなります。
特に、従業員が誤って不審なリンクをクリックした場合でも被害を抑制できるため、フィッシング対策における重要な防御策の一つといえます。
従業員への教育と訓練
フィッシング詐欺の手口が高度化・巧妙化するなか、技術的な対策だけで被害を完全に防ぐことは困難です。
例えば、従業員のセキュリティ意識が低い場合、フィッシングメールに記載されたリンクを安易にクリックしてしまい、組織全体に被害が及ぶ危険性があります。
そのため、従業員一人ひとりのセキュリティ意識を高め、不審なメールやSMS、Webサイトを見極められるようにすることが重要です。
定期的な情報セキュリティ教育を実施し、フィッシング詐欺の最新動向や実際の事例、被害発生時の影響などを共有することで、従業員の危機意識を高めることができます。
また、情報セキュリティ教育に加え、実際の攻撃を模した標的型攻撃メール訓練やフィッシングメール訓練を実施することで、より実践的な対応力の向上が期待できます。
フィッシング詐欺対策に「LANSCOPE プロフェッショナルサービス」
本記事で紹介した対策を実施することで、フィッシング詐欺のリスクを大幅に低減できます。
しかし、近年のフィッシング詐欺は生成AIの活用やリアルタイムフィッシングの登場などによって高度化の一途をたどっており、すべての攻撃を完全に防ぐことは困難です。
そのため、「攻撃を防ぐ対策」だけでなく、万が一認証情報が窃取された場合でも不正アクセスや情報漏洩につながらない環境を整備しておくことの重要性が高まっています。
そこで有効となるのが、クラウド環境やシステムの設定不備、脆弱性を事前に把握し、改善するためのセキュリティ診断です。
セキュリティ診断を実施することで、クラウドサービスの設定不備やアクセス権限の過剰付与、システムに潜む脆弱性などを洗い出し、攻撃者に悪用されるリスクを低減できます。
「LANSCOPE プロフェッショナルサービス」では、クラウド環境やシステムに潜むリスクを可視化し、フィッシング詐欺による被害を受けにくい環境づくりを支援するために、以下のサービスを提供しています。
- クラウドセキュリティ診断
- 脆弱性診断・セキュリティ診断
それぞれのサービスについて詳しく解説します。
クラウドセキュリティ診断
近年、クラウド環境を狙ったフィッシング詐欺や不正アクセスが増加しており、その多くはクラウドサービスの設定不備やアクセス権限の管理不足、多要素認証(MFA)の未導入などに起因しています。
攻撃者はフィッシングメールなどを利用してクラウドサービスの認証情報を窃取し、企業の機密情報や業務データへの不正アクセスを試みます。
LANSCOPE プロフェッショナルサービスの「クラウドセキュリティ診断」では、Microsoft 365やSalesforceをはじめとするクラウドサービスに対し、アカウント管理やアクセス権限、多要素認証(MFA)の導入状況、監査ログ設定などの観点からセキュリティリスクを診断します。
▼診断できるリスク例
- 不適切なアクセス権限の設定
- 多要素認証(MFA)が未設定のアカウント
- 不要に外部共有されているファイルやフォルダ
- セキュリティポリシーの不備(IP制限や監査ログ設定の未実施など)
診断によって洗い出されたリスクは可視化し、要件に応じた改善策を提示します。
これにより、フィッシング詐欺によって認証情報が窃取された場合でも、不正アクセスや情報漏洩につながるリスクを低減し、より安全なクラウド利用環境の構築に近づきます。
また、リモートワークや外部委託の拡大に伴い、クラウドサービスの利用範囲は年々広がっています。
そのため、定期的に設定状況やアクセス権限を見直し、セキュリティリスクを継続的に管理することが重要です。
脆弱性診断・セキュリティ診断
フィッシング詐欺は、窃取したID・パスワードを用いて社内システムへ侵入し、さらなる情報漏洩やマルウェア感染などの被害へと発展するリスクがあります。
特に、攻撃者は入手した認証情報をもとに、社内のWebアプリケーションやネットワークに残された脆弱性を探し、不正アクセスを試みます。
こうした将来的なリスクを未然に防ぐ対策として、Webアプリやサーバ、ネットワーク機器に潜むセキュリティホールを専門家が診断する「脆弱性診断」が有効です。
脆弱性診断では、認証バイパスやSQLインジェクションなどのWeb脆弱性、パッチ未適用のOS・ミドルウェア、不要ポートの開放などの課題を洗い出します。
Webアプリやネットワーク環境のセキュリティを見直すことで、フィッシング被害後の侵入・横展開・情報窃取といった二次被害のリスクを大きく軽減できます。
12,000件以上のサービス提供実績と90%以上のリピート率を誇り、国家資格「情報処理安全確保支援士」を保有する診断員が、安心の技術力と専門性で支援します。
「診断結果」では、自社サイトが抱えるリスクを「点数」で可視化することが可能です。
「報告書」には、経営層が自社サイトのリスクを把握するための、エグゼクティブサマリーや、発見された脆弱性の対策・修正提言なども含まれます。
効率的かつ網羅的に、優先順位をつけて自社のセキュリティ課題に対策することが可能となります。
万が一、フィッシング詐欺被害にあった際、被害を最小限に抑える対策として、弊社の「ペネトレーションテスト」も有効な手段です。
ペネトレーションテストでは実際の攻撃を想定した「模擬攻撃」を仕掛けることで、システムの脆弱性や対策レベルを測ることができます。
まとめ
本記事では、近年のフィッシング詐欺の動向や実例、有効な対策について解説しました。
本記事のまとめ
- フィッシング対策協議会の公表によると、2025年に報告されたフィッシング件数は245万4,297件に達し、過去最多を記録した
- 実際に確認されているフィッシング詐欺の手口としては、従来からあるフィッシングメールに加え、SMSやQRコード、電話、検索結果の悪用など多様化が進んでいる
- フィッシング詐欺への対策としては、「メールセキュリティソフトの導入」「認証の強化」「Webフィルタリングの導入」などの技術的な対策と、「従業員への教育と訓練」といった組織的な対策を組み合わせて実施することが重要
近年のフィッシング詐欺は、資金力が高い企業や組織を標的とするケースも増えています。
万が一業務システムの認証情報が窃取され、不正アクセスが発生すると、情報漏洩や不正送金、ランサムウェア感染などの重大な被害につながる可能性があります。
そのため、最新の手口を把握するとともに、技術的対策と人的対策を組み合わせた多層的なセキュリティ対策を講じることが重要です。
また、フィッシング詐欺対策では攻撃を防ぐだけでなく、万が一認証情報が窃取された場合でも被害を最小限に抑えられる環境を整備することが求められます。
LANSCOPE プロフェッショナルサービスでは、クラウドセキュリティ診断や脆弱性診断・セキュリティ診断を通じて、クラウド環境やシステムに潜むリスクの可視化と改善を支援しています。
巧妙化するフィッシング詐欺への対策強化をご検討中の企業・組織の方は、ぜひセキュリティ診断・脆弱性診断の実施をご検討ください。
おすすめ記事
