フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
対象の目安: すべての利用者 / 入門レベル
フィッシングは、実在する企業やサービスをかたって偽のメールやSMSを送り、偽サイトへ誘導して認証情報やクレジットカード番号などを入力させる詐欺の手口です。古くからある手口でありながら、いまも被害の上位を占め続けており、IPAの情報セキュリティ10大脅威でも常連となっています。
かつては不自然な日本語や粗い作りで見分けがついたものですが、近年は本物と見分けがつかないほど精巧になり、配送通知や銀行・カード会社・公的機関をかたるものまで多様化しています。専門知識のある人でも、急いでいるときにはとっさに見破れないことがあります。この記事では、手口の全体像から見破り方、個人と組織の対策、被害に遭ったときの対応までを整理します。
フィッシングの手口とその進化
フィッシングは一様ではなく、媒体や狙いによっていくつかの型があります。
| 手口 | 概要 |
|---|---|
| メール型 | 実在企業をかたるメールで偽サイトへ誘導する古典的な型 |
| スミッシング(SMS型) | SMSで送る手口。配送通知や決済の不正利用通知を装うことが多い |
| 標的型(スピアフィッシング) | 特定の個人・組織を狙い、業務に関係する内容で信用させる |
| ビジネスメール詐欺(BEC) | 取引先や経営層になりすまし、送金や情報提供を指示する |
近年の特徴は、本物のサイトの見た目をそっくり複製していること、正規ドメインに似せたURL(綴りを一文字変える、別の文字に置き換えるなど)を使うこと、そしてSMSやメッセージアプリなど、利用者が警戒しにくい経路を使うことです。さらに、入力された情報をリアルタイムで本物のサイトに転送し、多要素認証のコードまで盗もうとする巧妙なものも現れています。
「カードが不正利用されました。至急ご確認ください」というSMSが届き、あせってリンクを開いてしまった。ログイン画面が本物そっくりで、危うくID・パスワードを入力するところだった。あとで公式アプリから確認したら、そんな通知はどこにも無かった。
このように、フィッシングは「緊急」「アカウント停止」「不正利用」といった不安をあおる言葉で、利用者に考える余裕を与えないよう設計されています。手口の核心は技術ではなく、人の心理を突くソーシャルエンジニアリングにあるのです。
見破るためのポイント
完全に見破ることは難しくなっていますが、立ち止まって次の点を確認するだけで、多くの被害は防げます。
| 着目点 | 確認すること |
|---|---|
| 送信元 | 表示名ではなく実際のメールアドレス・ドメインを確認する |
| リンク先URL | 正規ドメインと微妙に違う綴りや別ドメインでないか |
| 文面 | 過度に緊急性をあおる、不自然な日本語や不審な敬称がないか |
| 入力要求 | パスワードやカード情報を「メール・SMS経由」で求めていないか |
| 心当たり | そもそもそのサービスを使っているか、その通知に心当たりがあるか |
最も重要なのは、URLの確認です。表示されているリンクの文字列と、実際のリンク先が違うことはよくあります。スマートフォンではリンク先が見えづらいため、なおさらリンクを直接押さない習慣が効きます。
注意
リンクの正当性に少しでも不安があれば、メールやSMS内のリンクは押さないでください。公式アプリや、自分でブックマークした正規URLからアクセスするのが最も安全です。「確認のため」と称してリンクを踏ませるのが手口の入り口です。
個人でできる対策
特別な道具がなくても、習慣と設定で大きくリスクを下げられます。
- メール・SMSのリンクからログインしない。公式アプリや、自分でブックマークした正規URLを使う。
- 多要素認証(MFA)を有効にする。パスワードが盗まれても、もう一つの要素がなければ突破されにくくなります。設定方法と選び方はを参照してください。
あわせて読みたい
多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
- パスワードを使い回さない。一つ漏れても被害が連鎖しないよう、サービスごとに別のパスワードにします。管理はパスワードマネージャーが有効です。
- 少しでも不審に感じたら、メールに返信したりリンクを踏んだりせず、公式サイトの問い合わせ窓口で事実を確認する。
- OSやブラウザ、アプリを最新に保つ。偽サイトの警告機能などが働きやすくなります。
パスキー(FIDO2)という強力な選択肢
近年普及が進むパスキーは、フィッシング耐性の高さが特長です。パスキーは、アクセスしているサイトのドメインに技術的に紐づいているため、偽サイトでは原理的に認証が成立しません。対応するサービスでは、積極的に有効化することをおすすめします。
組織でできる対策
組織では、一人の不注意が全体の被害につながります。個人任せにせず、仕組みで守る発想が必要です。
- 1
従業員への啓発と訓練
定期的な注意喚起と、実際の手口を模した訓練で「気づく力」を底上げします。訓練は犯人探しのためではなく、気づきと報告の習慣づけのために行います。
- 2
認証の強化
全社的に多要素認証を必須化し、可能ならフィッシング耐性の高いパスキーを採用して、パスワードだけに依存しない仕組みにします。
- 3
技術的なフィルタリング
メールのなりすまし対策(SPF・DKIM・DMARC)やフィルタリングで、そもそも怪しいメールが届きにくくします。
- 4
報告しやすい体制づくり
「うっかり押してしまった」をすぐ報告できる文化と窓口を整え、被害の早期把握と封じ込めにつなげます。報告した人を責めない姿勢が、結果的に組織を守ります。
メモ
訓練で「ひっかかった人」を罰すると、次から報告が上がらなくなり、かえって被害の発見が遅れます。目的は罰ではなく、組織全体の対応力を上げることだと共有しておきましょう。
万一、被害に遭ってしまったら
入力してしまっても、早く動けば被害は最小化できます。慌てず、次の順で対応します。
- 1
パスワードを変更する
入力してしまったサービスのパスワードをすぐ変更します。同じパスワードを使い回している他のサービスもすべて変更します。
- 2
多要素認証を有効にする
まだ設定していなければ、この機会に有効化します。攻撃者が先にログインしている可能性に備え、ログインセッションの無効化も行います。
- 3
関係先へ連絡する
カード情報を入力した場合はカード会社へ、銀行関連なら銀行へ連絡し、利用停止や監視を依頼します。組織の端末なら情報システム部門へ報告します。
- 4
記録して共有する
受け取ったメールやURLを記録し、必要に応じてフィッシング対策協議会などへ情報提供します。同僚や家族にも注意を促します。
よくある質問
リンクを開いただけで被害に遭いますか?
パスワードを入力してしまったら?
多要素認証を設定していれば絶対安全ですか?
正規のメールとの見分けがどうしてもつきません。
まとめ
フィッシング対策チェックリスト
- メール・SMSのリンクからログインしていないか
- 多要素認証(できればパスキー)を有効にしているか
- パスワードを使い回していないか
- 不審なときに確認・報告できる窓口を把握しているか
- 被害に遭ったときの対応手順を知っているか
フィッシングは「あせらせて判断を奪う」手口だと知っておくだけでも、被害に遭う確率は大きく下がります。立ち止まって、自分の知っている正規の経路から確認する。この一手間が、最も効果的な防御です。
出典・参考
関連する記事
多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
パスワード漏えい対策の決め手となる多要素認証(MFA)について、認証要素の考え方、方式ごとの強度と使い勝手の違い、フィッシング耐性、組織導入の進め方、運用とリカバリーの設計までを実務目線で網羅的に整理します。
CTF入門。Webセキュリティを安全に学ぶ最初の一歩を徹底ガイド
セキュリティの学習に役立つCTF(Capture The Flag)について、何を学べるのか、競技形式の種類、安全な練習環境の整え方、Webジャンルの問題への具体的な取り組み方、学習リソース、そして必ず守るべき法的・倫理的な前提までを入門者向けに丁寧に解説します。