フィッシング詐欺とは？手口や事例、企業ができる対策を解説

フィッシング詐欺とは、実在する企業やサービスになりすまして個人情報を盗む、悪質な詐欺行為です。

2024年10月時点で、フィッシング詐欺協議会へ報告されたフィッシング詐欺の件数は、過去最多の130万7,153件にのぼります。近年では手口も巧妙化しており、企業は適切な対策導入が必要です。

本記事では、フィッシング詐欺の手口から最新事例、対策方法、被害発生時の対応方法まで、企業の担当者向けに詳しく解説します。

1. フィッシング詐欺とは

引用：山口県警察「フィッシング110番」

フィッシング詐欺は、実在のサービスや企業になりすまして偽のメールやSMSを送りつけ、貼り付けた偽のWebサイトに誘導して重要な個人情報を盗み出す詐欺行為です。

「フィッシング（phishing）」は、「魚釣り（fishing）」と「洗練（sophisticated）」という英語のつづりを組み合わせた造語とされています。その名の通り、以下のような「釣り」の要素があります。

攻撃者は、クレジットカード番号や銀行口座情報、IDやパスワードなどの個人情報を狙います。その悪質性と被害の深刻さから、IPA（独立行政法人情報処理推進機構）が毎年発表する「情報セキュリティ10大脅威」において、6年連続でランクインしている重大な脅威です。

2.フィッシング詐欺の手口

フィッシング詐欺の手口は、年々巧妙化しており、複数の手法を組み合わせた攻撃も見られます。主な手法は、以下の3つに分類されます。

これらの手口は、いずれも偽サイトに誘導してIDやパスワード、クレジットカード情報などの個人情報を盗むことを目的としています。入口対策に役立てるために、フィッシング詐欺の攻撃手法を把握しましょう。

電子メールやSMSでのリンク誘導

電子メールやSMSでのリンク誘導は、典型的なフィッシング詐欺の手口です。

クレジットカード会社や金融機関、携帯電話会社、宅配業者などを装ったメールやSMSを送りつけ、以下のように切迫感をあおる内容で受信者を不安にさせます。

メールやSMSにはリンクが添付されており、受信者がそのリンクをクリックすると、あらかじめ用意された偽サイトへ誘導されます。

偽サイトは本物のWebサイトとほぼ同じデザインで作られており、一目では見分けがつきません。クレジットカード番号や口座番号などの入力を求められ、入力された情報は攻撃者に送信されます。

SNSでのリンク誘導

SNSでのフィッシング詐欺は、XやFacebook、InstagramといったSNSプラットフォームを利用した手法です。攻撃者は興味をそそるニュースや製品紹介などに模した偽サイトを投稿し、悪意のある詐欺ページに遷移させます。

SNSでは、長いURLを短く変換した「短縮URL」を活用し、偽サイトに遷移させるケースも少なくありません。短縮URLは本来のURLが非表示となり、アクセス先がわかりにくい特徴があります。

また、SNSプラットフォームを模した偽サイトにユーザーを遷移させてログイン情報を盗み、アカウントを乗っ取る手口もあります。

アカウントを乗っ取られてしまうと、なりすましや個人情報の悪用の他、乗っ取られたIDがフィッシング詐欺に悪用される可能性もあります。SNSのフォロワーは、信頼している関係性であることが多く、被害が大きくなりやすいため、自社の信用も大きく傷つくでしょう。

ウイルス感染のポップアップ表示

Webブラウザーの使用中に突然表示される偽のウイルス感染警告は、フィッシング詐欺の手口の一つです。
Webサイト上でブラウザーの通知を許可するように誘導され（CAPTCHA認証を装った許可ボタンへの誘導事例もあり）、ブラウザー起動中に偽の通知が表示されます。

よく見られる偽警告の例は、以下のとおりです。

これらの警告をクリックすると、不正なアプリのインストールや個人情報入力を求める詐欺サイトに誘導されます。

このような警告が表示された場合は、決してクリックせずにブラウザーを閉じることが重要です。誤って通知を許可してしまった場合は、ブラウザーの設定から該当サイトの通知を無効化しましょう。

3.フィッシング詐欺の最新事例

近年のフィッシング詐欺は、手口の巧妙化が顕著になっており、多様な形態で被害が報告されています。

2024年10月時点でフィッシング詐欺協議会へ寄せられたフィッシング詐欺の報告件数は、過去最多の130万7,153件にものぼり、企業は最新の事例について押さえた対策が求められます。

フィッシングを発端としたインターネットバンキング不正送金

金融庁と警察庁は、2023年にフィッシングによる不正送金被害が過去最多を更新したことを受け、連名で4月、8月、12月の3回にわたり、注意喚起を実施しました。

引用：警察庁「不正送金発生状況」

2023年12月8日時点における不正送金の被害件数は5,147件、被害総額は約80.1億円にものぼります。

主な手口は、銀行を装ったSMSやメールからフィッシングサイトへ誘導し、以下の情報を盗むものです。

これらの情報を入手した攻撃者は、被害者になりすまして不正送金を行います。特に近年は、正規のWebサイトと見分けがつきにくい精巧な偽サイトが増加し、被害が拡大しています。

QRコードを用いたフィッシング攻撃

近年、QRコードを利用したフィッシング詐欺被害（クイッシング）が急増しています。2023年12月5日、米連邦取引委員会（FTC）は、QRコードに隠された有害なリンクに関する警告を発表しました。

特に注意が必要な事例として、2023年7月下旬～8月上旬にかけて、マイクロソフトを装ったQRコード付きの不審メールが多数確認されています。メール本文には、期限までにアカウント情報の更新を促すメッセージとともに、QRコードが添付されていました。

クイッシング攻撃の特徴は、以下のとおりです。

QRコードが記載されたメールで即座の行動を促されている場合は、スキャンを控えましょう。

ボイスフィッシング

ボイスフィッシングは、電話による音声通話を利用した新たなフィッシング詐欺手法です。具体的な手口は、以下のとおりです。

被害に遭うと、インターネットバンキングの認証情報が盗まれ、預金が不正送金される深刻な被害につながる可能性があります。

二段階式スピアフィッシング

二段階式スピアフィッシングと呼ばれる、2通の電子メールを使って企業の認証情報を狙う巧妙なフィッシング詐欺手口もあります。

具体的な手口は、以下のとおりです。

メール内のリンクをクリックすると、正規のDropboxサイトを模したページに誘導され、ログイン認証の入力を求められます。ここで情報を入力してしまうと、企業の認証情報が盗まれます。

盗まれた情報悪用による二次被害

フィッシング詐欺は、盗まれた情報を悪用し、二次被害につながる可能性があります。その代表例が、アカウント情報を悪用した新たなフィッシングメールの配信です。

攻撃者は、盗んだアカウント情報を使って、以下のような手順で二次被害を引き起こします。

特に深刻なのは、正規のアカウントから送信されるため、受信者が不審に思いづらい点です。一度の情報流出が連鎖的な被害を引き起こす可能性があり、アカウント情報の管理には注意が必要です。

AI技術による巧妙化

AIの進化により、フィッシング詐欺の手口は日々巧妙化しています。

フィッシングメールは、従来は誤字脱字が多く、一目で偽メールと見破られることが多くありました。しかし、AIは大量のデータ分析によって適切な言葉遣いや表現を学習し、人間が書いたかのような自然な文章を簡単に生成することが可能です。

また、インターネット上に公開されている情報を収集・分析し、ターゲットの関心や趣味に合わせた内容を盛り込むことで、受信者の心理を巧みに突いてきます。

さらに、メールのテンプレートを自動生成し、個別のターゲットに合わせて自動でカスタマイズすることも可能です。

最も警戒すべき点は、AIがセキュリティシステムの検出アルゴリズムを学習し、その弱点を見つけ出せるようになったことです。これにより、スパムフィルターに検出されにくい精巧なメールを大量に作成できるようになり、従来の対策では防ぎきれない新たな脅威となっています。

4.フィッシング詐欺の対策方法

フィッシング詐欺を防ぐために、企業においては、従業員一人ひとりがフィッシング詐欺の脅威を理解し、適切な対策を実施できる体制を整えることが求められます。

フィッシング詐欺の手口は巧妙化してきており、単一の対策だけでは十分な防御とはなりません。複数の対策を重層的に実施すると、被害を防ぎやすくなるでしょう。

企業が実施すべき具体的な対策方法について解説しますので、ぜひ取り入れてみてください。

不審なリンクはクリックしないことを周知する

フィッシング詐欺の最も基本的な対策は、不審なリンクをクリックしないことです。電子メールやSMSに記載されたリンクは、正規のものに見えても偽装できます。

とはいえ、フィッシング詐欺で用いられるURLは、正規のWebサイトに酷似したドメイン名が使用されることが多く、見た目での判断は困難です。検索エンジンで該当企業の公式Webサイトを検索し直す、不明な点がある場合は該当企業のコールセンターに電話で確認するなどの対応を統一しましょう。

これらの基本ルールを定期的に従業員に教育し、組織全体でフィッシング詐欺への警戒意識を高めることが大切です。

なお、金融機関などの重要な組織が、メールやSMSでIDやパスワードを問い合わせることは一切ありません。

パソコンやスマートフォンを安全な状態に保つ

OSやアプリ、ソフトウェアはアップデートを行い、最適な状態に保つことが重要です。脆弱性や不具合を悪用し、広告からフィッシングサイトに誘導したという事例もあります。

自動アップデート機能がある場合は、有効にするとよいでしょう。

セキュリティ設定を活用する

フィッシング詐欺を予防するためには、端末やアプリケーションのセキュリティ設定を適切に行うことが不可欠です。以下のような設定を活用しましょう。

これらの設定を行うと、フィッシングサイトへの誘導やマルウェア感染のリスクを低減できる可能性があります。特に、迷惑メッセージブロック機能は、フィッシングメールや不審なSMSが届きづらくなるため、積極的な活用がおすすめです。

IDやパスワードは使いまわさない

IDやパスワードの使いまわしは、フィッシング詐欺による被害を拡大させる大きな要因です。1つのサイトで情報が漏洩すると、他のサイトでも不正アクセスされる可能性が高まります。

対策のポイントとして、以下が挙げられます。

特に、金融関連や個人情報を扱うサービスなどでは、個別のパスワード設定が重要です。

また、パスワード変更も定期的に行いましょう。不正アクセスの疑いがある場合は、直ちにパスワード変更が必要です。

セキュリティシステムを導入する

フィッシング詐欺対策として、主にアンチスパム機能とWebフィルタリング機能をもつセキュリティシステムの導入が役立ちます。

アンチスパム機能	・サイバー攻撃を行う集団が使用するIPアドレスやURLを検知 ・怪しい文言を含むメールを自動的にブロック ・フィッシングメールの入口対策として機能
Webフィルタリング機能	・不正なWebサイトへのアクセスを制限 ・社員が誤ってフィッシングサイトを閲覧しようとした際にブロック ・フィッシング詐欺の出口対策として機能

これらの対策は、UTM（統合脅威管理）と呼ばれるセキュリティ機器で一元管理できます。

UTMとは、複数のセキュリティ機能を1台の機器に集約し、ネットワーク全体のトラフィックを監視・管理するシステムです。アンチスパム、Webフィルタリングの他、ファイアウォールや侵入検知・防御システム（IDS / IPS）、ウイルス対策などの管理も行えます。

UTM導入により、メールとWebの両方からの攻撃に対して包括的な防御ができるでしょう。詳しくは、以下の記事も参考にしてください。

送信ドメイン認証技術を導入する

送信ドメイン認証技術は、メール送信元の正当性を確認できる仕組みで、フィッシング詐欺で自社のドメイン悪用を防止するのに役立ちます。主な技術は、以下3つです。

特にDMARCは、なりすましメールを受信側で拒否できる対策となります。認証に失敗したメールの取り扱いを送信側で指定でき、「監視のみ」「隔離」「拒否」といったポリシーレベルを設定できます。

導入により、信頼性の高いメールコミュニケーションを目指せるでしょう。

5.フィッシング詐欺の被害発生時の対応

フィッシング詐欺の被害に遭ってしまった場合、企業は迅速かつ適切な対応が必要です。

対応について具体的な手順やポイントを詳しく解説しますので、被害発生時に慌てることのないよう、事前に把握し、組織内で共有しておくことをおすすめします。

サービス提供会社への相談

フィッシング詐欺の被害に遭った場合、まずは関連するサービス提供会社へ速やかに連絡・相談しましょう。各サービス提供会社は、被害を最小限に抑えるための補償制度や専門の相談窓口を設けています。

主な相談先の例は、以下のとおりです。

相談時は、以下の情報を準備しておくとスムーズに伝わります。

なお、不正送金があった場合の相談先の電話番号や受付時間などは、一般社団法人全国銀行協会の「金融犯罪に遭った場合のご相談・連絡先」から確認できます。

パスワード類の変更

フィッシングサイトにIDやパスワードを入力してしまった場合、そのID・パスワードを利用しているすべてのサービスのパスワード変更を速やかに行う必要があります。二段階認証などのセキュリティ設定が可能な場合は、あわせて設定しましょう。

新しいパスワードを設定する際は、以下の点に注意します。

パスワード生成機能やパスワードマネージャーの利用もおすすめです。

警察への通報と相談

警察では、フィッシング被害に関する相談窓口を設置しています。被害に遭った場合、最寄りの警察署か、「サイバー事案に関する通報等のオンライン受付窓口」に通報・相談しましょう。

相談により、事件の捜査や被害拡大防止に必要な情報提供の他、被害復旧への貢献、他企業への被害防止の取り組みを行ってもらえます。

あわせて、フィッシングサイトのURLは、インターネット・ホットラインセンターの「フィッシング110番」への通報が必要です。

インターネット・ホットラインセンターでは、警察や関係機関、フィルタリング事業者に対して情報提供を行うとともに、プロバイダや電子掲示板の管理者等に対する対応依頼を実施します。

取引先などへの連絡、注意喚起

フィッシング詐欺の被害が発生した場合、被害の拡大を防ぐために、取引先に連絡や注意喚起を行います。取引先企業に対して直接電話で連絡を取り、被害状況を詳しく説明しましょう。

被害報告があった際は、どのようなルートで被害に遭ったのかを詳しく聞き取る必要があります。緊急連絡網を活用し、関係各所への迅速な情報共有を行います。

また、自社Webサイトや公式SNSアカウントへの、注意喚起文の掲載も必要です。利用者への問い合わせ窓口設置や電話対応の拡張も検討しましょう。

偽サイトのテイクダウン

フィッシング詐欺の被害を抑えるには、偽サイトを迅速に閉鎖しなければなりません。偽サイトの閉鎖、いわゆる「テイクダウン」には、いくつかの方法があります。

専門機関に依頼する場合、国内では「JPCERT / CC（一般社団法人JPCERTコーディネーションセンター）」がフィッシングサイトのテイクダウンに対応しています。関係者とのコーディネーションやフィッシングの対応に関する技術的側面からの助言を、無料で受けられます。

6.フィッシング詐欺に関してよくある質問

フィッシング詐欺の手口は巧妙化しており、受信したメールやSMSが本当にフィッシング詐欺なのか見分けるのは難しくなっています。よくある質問を通して、フィッシング詐欺に関する理解を深めましょう。

典型的なフィッシング攻撃の例は？

典型的なフィッシング攻撃の手口といわれているのは、電子メールやSMSを使った偽サイトへのリンク誘導です。

「個人情報の漏えい」「不正アクセス検知」「取引の停止」など、切迫感をあおる文面でフィッシングサイトに誘導し、クレジットカード番号や口座番号などを入力させ、情報を盗みます。

偽サイト上でソフトウェアのインストールを促される場合もあり、インストールするとウイルスに感染する恐れがあります。巧妙な手口で個人情報を盗み取ろうとするため、十分な注意が必要です。

フィッシングメールかどうかの見分け方は？

近年、フィッシングメールは巧妙化しており、見分けるのが困難になってきています。しかし、いくつかの注意すべきポイントがあります。

送信元のメールアドレスでは、フリーメールアドレスやつづりの誤り、不自然な文字列が含まれていないかを確認します。

メール本文では、日本語に不自然な点がないかを確認しましょう。機械翻訳のようなぎこちない表現や、明らかな誤字脱字はフィッシングメールの特徴です。

また、正規のURLとは異なるドメインや、数字の「0（ゼロ）」とアルファベットの「o（オー）」、数字の「1」とアルファベットの「l（エル）」など、酷似した文字が使われていないかを確認することが重要です。

フィッシング詐欺に引っ掛かったら、どうすればよいですか？

フィッシング詐欺の被害に遭ってしまった場合、以下の対応を迅速に行いましょう。

これらの対策を行うと、二次被害の拡大リスクの低減にもつながります。

まとめ

フィッシング詐欺とは、実在のサービスや企業の名前を使って偽のメールやSMSを送りつけ、貼り付けたリンクにより偽のWebサイトに誘導し、クレジットカード番号やアカウント情報などの重要な情報を盗み出す詐欺行為です。

電子メールやSMS、SNSでの誘導の他、ウイルス感染のポップアップ表示などの手口があります。

近年では、QRコードを用いたフィッシング詐欺や電話による音声通話を利用したボイスフィッシングなども発生しています。

企業は、従業員への周知や適切なソフトウェア類の設定をしておくことが重要です。さらに、セキュリティシステムや送信ドメイン認証技術を導入すると、より安心なメールコミュニケーションにつなげられるでしょう。