近年、悪意的なサイバー攻撃は増加の一途をたどっています。なかでも「フィッシング詐欺」は、シンプルでありながらも高度なテクニックを使った攻撃手段として知られており、被害が拡大しています。直近でも楽天証券でフィッシング詐欺の被害が相次ぎ、注意が呼びかけられています。情報セキュリティ担当者の方々は、協力体制を立てて企業を護るためにも、このフィッシング詐欺について正しい理解を持ち、適切な対策を設けることが求められます
目次
フィッシング詐欺とは
フィッシング詐欺とは、当人に自分の物と信じ込ませ、パスワードやクレジットカード番号などの故意性の高い情報を携示(入力)させる行為を指し、人間の素直な信頼性や行動パターンを利用した「ソーシャルエンジニアリング」の手段の一つです。
たとえば、新しい管理システムへのログインを問うようなメールが送られてきた場合、実際には悪意あるサイトへのリンクである場合があります。
このようなメールは、正規の業務やシステムに似せており、おもわずリンクをクリックしてしまう事例も少なくありません。このような手法で失った情報に対し、6350億円にも上る補償金が発生した事例もあるように、問題の広がりと深刻さを物語っています。
フィッシング詐欺増加の背景
フィッシング詐欺の増加にはいくつかの背景があります。
はじめに、新型コロナウイルス感染症の流行をきっかけにリモートワークが急速に普及したことにより、従業員が社外環境から業務システムにアクセスする機会が増加したことが挙げられます。業務用メールや通信の安全性に対する認識が不足し、攻撃者に付け入られる隙が生まれてしまったのです。
さらに、クラウドサービスやモバイルデバイスの普及により、企業が管理すべき情報の範囲が広がったことも一因です。
複数の端末間で認証情報が共有される中、ひとたび情報が漏洩すれば、社内全体のセキュリティが脅かされる事態となります。また、サイバー犯罪者側の技術的成熟も著しく、AIを活用した自然な言い回しや本物と見分けがつかないドメイン模倣技術が進化したことで、詐欺メールが巧妙化している点も看過することができません。
このように働き方や管理すべき情報が広がったことが、攻撃アクターに狙われる要因となっています。
フィッシング詐欺の種類
フィッシング詐欺は大きく分けて「メール(ビジネスメール)型」「スミッシ型」「ボイスフィッシング型」などに分類されます。特に最新の動向としては、人工知能(AI)を駆使して人間らしい話語を製造したメールや音声で正式な連絡に似せる手段も確認されており、注意を要します。
メール型フィッシング詐欺
最も一般的な手口であり、正規の企業やサービスを装ったメール(フィッシングメール)が送信され、受信者に偽のログインページや添付ファイルを開かせようとする詐欺です。
ビジネスメール詐欺(Business Email Compromise, BEC)では、企業の幹部や取引先になりすましたメールが社員に送られ、送金指示や機密情報の提供を要求するものが多く見られます。このタイプは組織構造や内部の業務フローに関する情報を事前に入手した上で行われることが多く、高度な偽装技術が使われます。
スミッシ型フィッシング
スミッシ型:SMS(ショートメッセージサービス)を利用したフィッシング手口で、携帯電話に実在の配送業者や金融機関を装った短文メッセージが送信されます。
リンク先は偽サイトであることが多く、そこにIDやパスワードを入力させることで情報を盗み取ります。スマートフォンの普及に伴い急増しており、特に個人向けに多く見られる手法ですが、業務用端末に届いた場合には企業全体の情報漏洩リスクにも発展します。
ボイスフィッシング
電話を通じて個人情報を詐取する手口で、しばしば「Vishing(ヴィッシング)」とも呼ばれます。詐欺師は銀行員や公的機関の職員を装い、電話口で緊急性を装ってクレジットカード番号や認証コードを尋ねてきます。
AI音声を利用した自動音声応答を使うケースも登場しており、音声による信頼性を逆手に取った手法です。高齢者を対象とすることが多い一方、企業の代表番号やサポート窓口に対しても偽装電話がかかってくる事例が確認されおり法人でも複数の銀行でボイスフィッシングによる不正送金が発生しています。
なお、「オレオレ詐欺」はボイスフィッシングの一種と分類され得ますが、厳密には詐欺の目的や背景、対象が異なるため、情報セキュリティの観点ではやや別枠で扱われることが多いです。
日本国内でのフィッシング詐欺による被害事例
日本国内でのフィッシング詐欺の被害例は以下です。2024年まではフィッシングメールによる被害が一般的でしたが、2025年からはボイスフィッシングによる被害が相次いでいます。
日本航空(JAL)、ビジネスメール詐欺の被害
2017年、日本航空(JAL)はビジネスメール詐欺(BEC)により、約3億8,000万円の被害を受けました。この詐欺は、取引先を装った巧妙な手口で行われ、JALの担当者が偽の請求書に基づいて指定された口座に送金してしまったものです
香川県で法人口座を狙ったボイスフィッシング詐欺が発生、被害額5000万円
2025年3月12日、香川県内の企業がボイス フィッシング詐欺によって5000万円の被害に遭いました。香川県警は、企業や個人に対し、金融機関を装った不審な電話やメールに対する注意喚起を行っています。
山形鉄道が山形銀行を装った ボイスフィッシングで1億円の被害
山形新聞の報道では山形県内で山形銀行を装ったボイスフィッシング詐欺事件が相次ぎ、第三セクター「山形鉄道」が約1億円の不正送金被害に遭っていたことが明らかになりました。
事件は県警によって捜査が進められており、同様の不審電話がソフトウェア開発会社やマスコミ各社にも確認されています。
琉球銀行、ボイスフィッシングにより約1億円 不正送金 被害
2025年4月1日、琉球銀行は法人向けインターネットバンキングサービス「りゅうぎんBizネット」において、複数の不正送金被害が確認されたことを受け、即日振込サービスの一部を緊急停止したと発表しました。被害額は同日午後1時時点で1億円に達しており、再開時期は未定とされています。
同行は「銀行システム自体に問題は確認されていない」と説明しており、今回の被害は利用者を狙った“なりすまし電話”によるソーシャルエンジニアリング的な詐欺のニュアンスがあります
フィッシング詐欺への対策
フィッシング詐欺を防ぐためには、技術的な手段と教育が両軸で必要です。技術的には、メールサーバーにおけるスパムフィルタや、URLの証明書名を検証するセキュリティツールなどが有効です。
しかし、最も重要なのは、企業の依存性の高い人材に対する教育と意識の向上です。たとえば、メールを開かない、多要素認証を確実に使うなどの基本的なルールを心がけることで、なりすましに優れた詐欺を無力化することができます。
フィッシング詐欺への対応を企業として本格的に始める際、第一歩となるのは、明確で実効性のある情報セキュリティポリシーの策定と、それに基づいた運用体制の整備です。ポリシーとは単なる文書ではなく、全社員が理解し、日常的に遵守すべき行動規範であるべきです。
そのためには、まず現在の情報セキュリティインフラの現状を分析し、潜在的な脅威や運用上の課題を洗い出した上で、段階的かつ具体的な改善計画を立てる必要があります。
次に重要なのは、組織全体としてのリスク認識を醸成することです。特に情報セキュリティに関する取り組みは、経営層の関与と支援がなければ形骸化してしまう恐れがあります。
経営陣が主体的にリスクを理解し、社内に対して明確なメッセージを発信することによって、初めて企業文化としてのセキュリティ意識が定着します。
なお、現場レベルでは、従業員に対する継続的な教育と訓練が不可欠です。座学による研修だけではなく、実際にフィッシングメールを模した訓練を定期的に行うことで、疑わしいメッセージへの即応力が向上します。また、社員一人ひとりが「自分も標的となり得る」という当事者意識を持つことで、より確かな防御体制が築かれていきます。
そのうえで、技術的対策も抜かりなく進める必要があります。たとえば、ゼロトラストの導入は、先述の現代的な働き方に対応するうえで極めて有効です。このモデルでは「すべてのアクセスを疑う」ことを前提にしており、たとえ社内ネットワーク上にある端末であっても、アクセスのたびに認証と検証が行われます。特にリモートワークやBYOD(私物端末の業務利用)が一般化するなかで、信頼の境界を見直すことは、もはや必須の対応と言えるでしょう。
このように、技術、教育、組織の各側面から段階的に取り組むことで、企業全体としてのレジリエンスを高めることが可能になります。
まとめ
フィッシング詐欺は、その手口が年々巧妙化しており、技術的な対応だけでは防ぎきれません。日本国内においても、名の知れた大企業が次々と被害に遭っている現状を踏まえると、すべての企業が自社のセキュリティレベルを見直し、改めて対策を講じる必要があると言えるでしょう。
情報セキュリティ担当者に求められるのは、単なるシステム管理だけではなく、社内文化の変革を推進するリーダーシップです。経営層を巻き込み、従業員への教育や全社でのセキュリティ意識を向上させることがフィッシング詐欺には有効です。
