ネット証券や銀行を騙ったメールによる不正ログイン・フランチャイズ申請者情報の大規模流出・法人口座を狙ったなりすまし電話と、フィッシング詐欺の手口は年々多様化しています。フィッシング詐欺対策推進協議会の報告では、国内のフィッシングサイト件数は直近で月数万件規模に達しており、もはや「自社は無関係」と言える組織は存在しません。
情報セキュリティ担当者として企業を守るためには、フィッシング詐欺の定義・手口・被害の実態を正しく理解したうえで、技術・教育・組織の三方向から対策を講じることが不可欠です。
フィッシング詐欺とは
フィッシング詐欺(Phishing)とは、実在する企業・機関・個人になりすました偽のメッセージや偽サイトを使い、被害者に機密性の高い情報(パスワード・クレジットカード番号・認証コードなど)を入力・提供させる詐欺の総称です。
名称の由来は「釣り(Fishing)」とスラングの「洗練された(Sophisticated)」を組み合わせた造語であるとも、釣り針を大量に投げる「フィッシング」になぞらえた表現ともいわれます。技術的な脆弱性を突くのではなく、人間の信頼や焦りといった心理を悪用する「ソーシャルエンジニアリング」手法の代表格として位置づけられます。
たとえば「ご利用中のアカウントで不審なアクセスが確認されました。以下よりすぐにご確認ください」というメールが届いた場合、送信元を偽ったフィッシングメールである可能性があります。一見して公式に見えるロゴ・文面・URLで作られた偽ログインページに誘導され、入力した認証情報がそのまま攻撃者のサーバーに送信される仕組みです。フィッシングによる被害はメールの開封という一つの行動から始まるがゆえに、技術的な防御だけでは防ぎきれない深刻な脅威です。
フィッシング詐欺が増加している背景
フィッシング詐欺が近年急増している背景には、複数の要因が重なっています。
リモートワークの普及と業務境界の拡散として、新型コロナウイルス感染症をきっかけに多くの企業がリモートワークを本格導入しました。社外のネットワーク・個人端末から業務システムにアクセスする機会が増えたことで、メールや通信の安全性に関するリスクが増大し、攻撃者が付け入る隙が広がりました。
クラウド・モバイル利用の拡大として、複数のクラウドサービスやモバイルデバイスで認証情報が共有されるようになったことで、一つの認証情報が漏洩した際の被害範囲が以前と比較にならないほど広がっています。
AIを活用した攻撃の高度化として、生成AIの普及により、不自然な日本語だった従来のフィッシングメールとは異なり、自然で読みやすい文体・場面に応じた文脈・本物と見分けがつかないドメイン名を持つ偽サイトが簡単に作られるようになっています。「日本語が変だから怪しい」という従来の判断基準はもはや通用しません。
フィッシング詐欺の主な種類
フィッシング詐欺は大きく「メール型(スピアフィッシング・BECを含む)」「スミッシング」「ボイスフィッシング(ヴィッシング)」の3つに分類されます。
メール型フィッシング詐欺
最も件数が多い手口です。実在する企業やサービスを装ったメールが送信され、受信者を偽のログインページや悪意ある添付ファイルへ誘導します。
なかでもビジネスメール詐欺(Business Email Compromise: BEC)は法人被害が深刻です。企業の経営幹部や取引先になりすましたメールが社員に届き、緊急の送金指示や機密情報の提供を求めてきます。組織の内部構造・業務フロー・実際の取引情報を事前に調査した上で行われるため、正規のやり取りとの区別がつきにくいのが特徴です。また、特定の個人や組織を狙って送信されるスピアフィッシングも増加しており、受信者の名前・役職・業務内容が正確に盛り込まれた偽メールが作成されます。
スミッシング
SMS(ショートメッセージサービス)を使ったフィッシング詐欺で「スミッシング(Smishing)」と呼ばれます。実在する宅配業者・金融機関・通信キャリアを装った短文メッセージに不正なURLが含まれており、偽サイトでIDやパスワードを入力させます。
スマートフォンの普及に伴い個人向けに多く見られる手法ですが、業務用スマートフォンに届いた場合は企業全体の認証情報漏洩リスクに発展します。URLをPCブラウザで確認できないモバイル環境の特性が、フィッシング判別をより困難にしています。
ボイスフィッシング(ヴィッシング)
電話で個人情報や認証情報を詐取する手口を**ヴィッシング(Vishing: Voice + Phishing)**と呼びます。銀行員・公的機関の職員・取引先担当者を装い、口頭で緊急性を演出してクレジットカード番号・ワンタイムパスワード・振込指示を行います。
AIが生成した自然な音声を使った自動応答システムも登場しており、音声による信頼感を逆手に取った手法です。高齢の個人への被害が特に多く報告されていますが、法人の銀行口座を標的とした不正送金被害も深刻化しており、複数の金融機関で実際の被害が確認されています。
国内の主な被害事例
日本航空(JAL)のビジネスメール詐欺——約3億8,000万円の被害(2017年)
2017年、日本航空(JAL)はビジネスメール詐欺(BEC)により約3億8,000万円の被害を受けました。取引先を装った精巧なメールによって担当者が偽の請求書を正規のものと誤認し、指定口座への送金を実行してしまったものです。
香川県の法人口座を狙ったボイスフィッシング——被害額5,000万円(2025年3月)
2025年3月12日、香川県内の企業がボイスフィッシング詐欺によって5,000万円の被害に遭いました。香川県警は企業・個人に対して金融機関を装った不審な電話・メールへの注意喚起を行っています。
山形鉄道が山形銀行を装ったボイスフィッシングで1億円の被害
山形新聞の報道によれば、山形県内で山形銀行を装ったボイスフィッシング詐欺事件が相次ぎ、第三セクター「山形鉄道」が約1億円の不正送金被害に遭ったことが明らかになりました。同様の不審電話がソフトウェア開発会社やマスコミ各社にも確認されており、県警が捜査を進めています。
琉球銀行でボイスフィッシングによる不正送金——被害額1億円以上(2025年4月)
2025年4月1日、琉球銀行は法人向けインターネットバンキング「りゅうぎんBizネット」で複数の不正送金被害が確認されたことを受け、即日振込サービスの一部を緊急停止したと発表しました。被害額は同日午後1時時点で1億円に達しており、再開時期は未定とされました。同行は「銀行システム自体に問題は確認されていない」と説明しており、利用者を狙った「なりすまし電話」によるソーシャルエンジニアリング的な詐欺であるとみられています。
フィッシング詐欺への対策
フィッシング詐欺対策は「個人・従業員レベルの行動」と「組織・企業レベルの仕組み」の両輪で進める必要があります。
個人・従業員が今すぐできる対策
リンクを安易にクリックしないとして、メール・SMS・SNSのDMで届いたURLは、ブラウザのアドレスバーで正規ドメインであることを確認してからアクセスしてください。急かすような内容は詐欺の典型的な兆候です。多要素認証(MFA)を必ず設定するとして、パスワードが漏洩しても、SMS・認証アプリ・ハードウェアトークンによる二段階目の認証が有効な防壁になります。すべての業務アカウントに必ず設定してください。不審なメールは開かず報告するとして、送信元アドレスの細部・ドメイン名(@rakuten.co.jpではなく@rakuten.infoなど)を確認する習慣を身につけてください。少しでも疑わしいと感じた場合は開かずに情報セキュリティ部門に報告することが組織全体の防御につながります。
組織・企業レベルの対策
情報セキュリティポリシーの策定と定期的な見直しとして、フィッシング詐欺への対応手順を含む情報セキュリティポリシーを文書化し、全社員が理解・遵守できる形で運用します。ポリシーは「文書を作って終わり」ではなく、脅威の変化に合わせて定期的に更新することが重要です。
定期的なフィッシング訓練の実施として、実際のフィッシングメールを模した訓練メールを定期的に送信し、クリックしてしまった社員に即座にフォローアップ研修を行います。被害にあった事例を使ったケーススタディ型研修も効果的です。訓練は処罰目的ではなく、組織全体のリスク認識を高めるためのものです。
技術的対策の多層化として、以下の技術対策を組み合わせることで攻撃の複数の侵入経路を塞ぐことができます。メールサーバーへのSPF・DKIM・DMARCの設定(送信元ドメイン認証)、URLフィルタリング・フィッシングサイト検出機能の導入、エンドポイントセキュリティツールの更新・一元管理が有効です。
ゼロトラストアーキテクチャの導入として、リモートワークやBYOD(私物端末の業務利用)が一般化した現代において、「社内ネットワーク内にいるから安全」という前提は成り立ちません。ゼロトラストモデルは「すべてのアクセスを疑い、都度認証・検証する」という原則のもとに設計されており、フィッシングで認証情報を窃取された場合でも被害の横展開を抑制する効果があります。
経営層の関与と全社への意識浸透として、情報セキュリティ対策は担当部門だけが推進しても効果に限界があります。経営幹部がリスクを主体的に理解し、全社に向けて明確なメッセージを発信することで、セキュリティ意識が企業文化として定着します。
まとめ
フィッシング詐欺は、AIの活用によって攻撃の精度が急速に高まっており、技術的な対応だけでは防ぎきれない段階に入っています。JAL・山形鉄道・琉球銀行といった規模の大きな組織でさえ被害に遭っている現実は、「うちには関係ない」という認識が危険であることを示しています。
企業が取るべきアプローチは一つではありません。従業員教育・技術的防御・組織文化の変革を組み合わせた多層的な対策が、フィッシング詐欺という「人間の心理を突く攻撃」への有効な答えとなります。情報セキュリティ担当者には、システム管理にとどまらず、社内の意識変革を牽引するリーダーシップが求められています。
よくある質問(FAQ)
Q. フィッシングメールかどうか見分けるポイントは何ですか? A. 送信元のメールアドレスのドメイン(@以降)が正規のものと一致しているか・URLに微妙なスペルの違いがないか・本文に不自然な緊急性の表現がないか・添付ファイルやリンクのクリックを求めているかどうかを確認してください。
Q. フィッシングの被害に遭った場合、まず何をすべきですか? A. すぐに当該サービスのパスワードを変更し、多要素認証を有効化してください。金融機関の口座情報・クレジットカード番号を入力した場合は発行会社に速やかに連絡してください。また組織の情報セキュリティ部門への報告と、警察・フィッシング対策協議会(https://www.antiphishing.jp/)への相談も行ってください。
Q. スミッシングとフィッシングメールの違いは何ですか? A. 手口の本質(偽サイト・偽情報への誘導)は同じですが、スミッシングはSMSを使う点が異なります。SMSはメールより短文で読み流しやすく・PCブラウザで確認できないため、URLの偽装に気づきにくいという特徴があります。








