巧妙化するフィッシング攻撃から身を守る!
見抜く力と最新認証技術の活用法
近年、フィッシング詐欺がぐっと増えてきているのをご存じですか?
フィッシング対策協議会のデータによると、2025年4月~6月のフィッシング報告は2024年の同時期と比較すると約1.7倍の66万件以上の報告(※1)があったそうです。
フィッシング詐欺は手口も巧妙化し、個人情報や企業の機密データを狙うだけでなく直接的に金銭を搾取する詐欺も多発しています。
こうした脅威から身を守るためには最新の対策と注意点を正しく理解することが重要です。
本コラムでは、増加するフィッシング被害に対応する基本的な防御策と実践方法をわかりやすく解説していきます。
(※1)出典:フィッシング対策協議会 フィッシング報告状況(https://www.antiphishing.jp/report/monthly/)
フィッシング攻撃とは
フィッシング攻撃は、悪意のある第三者がメールや偽のウェブサイトを使って、ユーザーから個人情報やパスワード、クレジットカード情報などをだまし取る手口です。
メールやWebサイトの見た目は正規の企業やサービスに似せて作られているため、多くの人が騙されやすい特徴があります。
この攻撃は主に以下のような方法で行われます。
- 偽装メール:銀行や有名企業を装ったメールで偽サイトへのリンクをクリックさせようとする
- メッセージアプリ経由:SNSやチャットアプリで不審なURLを送る
- 偽サイト誘導:本物そっくりのログインページに誘導し、情報入力を促す
フィッシング被害に遭うと、個人情報が漏えいしたり不正利用による金銭的損失につながる恐れがあります。
金融庁の公表データによると、2025年1月から8月までの間に証券会社で15,424件の不正アクセスが発生し、不正取引による被害額は6,770億円に達しています。(※2)
金融庁や日本証券業協会は、被害が広がっていることを受けてガイドラインの改定を進めています。新しいガイドラインでは、フィッシングに強い多要素認証(例えばパスキー)の導入が明確に求められます。
実際に、楽天証券など一部の証券会社ではすでにパスキーを導入することが決まっています。
フィッシング被害を防ぐためには、サービス運営側とユーザーの双方が日頃から注意深く対応することが重要です。
(※2)出典:金融庁ウェブサイト(https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html)(2025年10月1日に利用)
なぜ今フィッシング攻撃に注意が必要なのか
近年、フィッシング攻撃は急激に増加しており、個人のインターネット利用者にとって大きな脅威となっています。その背景にはいくつかの理由があります。
オンラインサービスの浸透
スマートフォンやパソコンを使ったオンラインサービスが日常生活に深く浸透し、多くの個人情報や金融取引がネット上で行われるようになりました。これにより、サイバー犯罪者が狙うターゲットが増えています。
巧妙化する手口
フィッシングメールや偽サイトは見分けがつきにくいほど精巧になっており、一見すると公式からの連絡と区別できないケースも多いです。これによって被害者が騙されやすくなっています。
生成AI(人工知能)の悪用
最近では生成AI技術を使って、より自然で説得力のあるフィッシングメッセージを大量に作成することが可能になりました。
例えば、個人名を入れたカスタマイズされたメールや、本物そっくりの文章・画像を簡単にかつ大量に作れるため、詐欺メールの信ぴょう性が一層増しています。この技術の普及によって、従来以上に見破ることが難しい攻撃も増えている状況です。
リモートワーク・オンライン活動の拡大
新型コロナウイルス感染症の影響でリモートワークやオンラインショッピング、SNS利用などが増加しました。この変化はサイバー攻撃者にとって新たなチャンスとなり、フィッシング詐欺も活発化しています。
経済的利益を狙う動機
フィッシング攻撃は比較的低コストで実施でき、大量送信による成功率向上を狙えるため、多数の犯罪グループが参入していると言われています。個人情報やクレジットカード情報を盗み、不正利用することで直接的な金銭被害につながります。
こうした背景から、ここ5年間でフィッシング対策協議会に寄せられたフィッシング報告は約10倍に増加しています。(※3)
このような状況を踏まえ、私たち一人ひとりがフィッシング詐欺への警戒心を高め、安全なネット利用の習慣を身につけることがますます重要となっています。
(※3)出典:フィッシング対策協議会 フィッシング報告状況(https://www.antiphishing.jp/report/monthly/)
フィッシングを見抜くためのチェックポイント
フィッシング詐欺は巧妙化しており、メール受信時はもちろんWebサイトへのアクセス時も注意が必要です。
ここでは、それぞれ3つずつの重要なチェックポイントと実際の事例を交えて解説します。
メール受信時のチェックポイント
送信者情報を確認する
- 公式企業からのメールに見えても、アドレスが「@example.com」ではなく「@examp1e.com」(数字の1が使われている)など微妙に異なる場合があります。また、差出人の表示名を実際のメールアドレスと異なるものに設定することで、公式企業からのメールを装うこともあります。
- 【事例】あるユーザーは銀行からの通知と思い込み、「support@bank.examp1e.com」という偽アドレスから届いたメールに騙されました。
不自然な表現や急かす文面に注意する
- 「至急対応してください」「アカウントが停止されます」といった強迫的な言葉や誤字脱字は典型的なフィッシングサインです。
- 【事例】通販サイトを装ったメールで「あなたの注文はキャンセルされます!今すぐログイン!」という文面で焦らせ、不正アクセスにつながりました。
リンク先URLをマウスオーバーで確認する
- 表示されたリンク文字列と実際に飛ぶURLが違うことがあります。怪しい場合は絶対クリックしないこと。
- 【事例】有名SNS風メール内のリンクテキストは「https://sns.exmaple.jp/login」でも、実際には全く別ドメインへ誘導されるケースが報告されています。
Webサイトアクセス時のチェックポイント
SSL証明書(https://)と鍵マークを確認する
- 鍵マーク=安全とは限りませんが、無ければ確実に危険です。最近では無料SSL証明書も悪用されていますので過信禁物です。
- 【事例】偽ショッピングサイトでも鍵マーク付きで表示され、多くの被害者がクレジットカード情報を入力しました。
URL全体をよく見る
- 「example.com」そっくりだが、「example-login.com」や「login.example.co」のような紛らわしいものには要注意です。
また、サブドメインだけでなくドメイン全体にも注意しましょう。例えば、本物のサイトが「example.com」の場合、フィッシング攻撃者は「example.com.fake-site.com」のような偽のサブドメインを使います。一見すると本物に見えますが、実際は「fake-site.com」という別の悪いサイトです。これでユーザーがだまされやすくなります。 - 【事例】大手銀行名+似た文字列による偽サイトへの誘導で、多数口座情報流出事件となりました。
サイトデザインやログイン画面の違和感を感じたら操作停止
- ロゴ画像やフォント、ボタン配置など普段使っている公式サイトと異なる点があれば疑いましょう。また、不自然な日本語表記も警戒材料です。
- 【事例】某通信会社になりすました偽ログインページでは、日本語がおかしく利用者から通報され発覚しました。
これら3つずつのポイントと具体的な被害・特徴を理解し、少しでも怪しいと思ったら冷静になって操作中断・問い合わせなど適切な対応を心掛けましょう。
フィッシングに引っかかってしまったときの対処方法
フィッシング詐欺に遭い、誤って個人情報やパスワード等を入力してしまった場合は、速やかな対応が被害拡大を防ぐ鍵となります。以下のステップを参考にしてください。
1. パスワードの変更
すぐに該当するサービスのパスワードを変更しましょう。もし同じパスワードを他のサービスでも使っている場合は、そちらもすべて変更してください。
2. セッションの削除(ログアウト)
正規のサービス内で「ログイン済みの端末一覧」などを管理する機能があればその機能から不審なアクセス元の端末を削除しましょう。これにより、不正利用者がアクセスできなくなります。
3. 多要素認証(MFA)やパスキーの設定
可能であればアカウントにワンタイムパスワードなどの多要素認証を設定し、不正ログインのリスクを減らします。
ただし最近ではワンタイムパスワードも突破するフィッシング攻撃も出現しています。フィッシング耐性の高いパスキー認証が利用できるサービスではワンタイムパスワードではなく必ずパスキーを設定しましょう。
4. 金融機関への連絡
クレジットカード情報や銀行口座情報が漏れた疑いがある場合は、速やかに金融機関へ連絡し、不正利用の監視やカード停止などの措置を依頼しましょう。
5. セキュリティソフトで端末チェック
マルウェア感染など別の被害がないか確認するため、お使いの端末でウイルススキャンを実施してください。
6. 警察・消費者センターへの相談
被害状況によっては最寄りの警察署や消費生活センターにも相談し、必要な手続きを行うことが重要です。
7. 周囲への注意喚起
家族や職場など身近な人にもフィッシング被害について知らせることで、同様の被害拡大防止につながります。
迅速な対応と冷静な判断が大切です。万一フィッシングメールやサイトに遭遇した際には慌てず、この対処法を思い出して行動してください。
日常生活でできるフィッシング対策
フィッシング詐欺は巧妙化しており、誰でも被害に遭う可能性があります。以下のポイントを日常的に意識することで、リスクを大幅に減らせます。
メールやメッセージのリンクは安易にクリックしない
フィッシングサイトへ誘導され、不正アクセスや情報漏えいの原因になるためです。公式サイトへ直接アクセスする習慣をつけましょう。
個人情報やパスワードを入力する前にURLを確認する
偽物のサイトでは見た目が似ていてもドメインが異なることが多く、誤って情報を渡すと悪用されます。個人情報やパスワードを入力する前にブラウザのアドレスバーに表示されているURLを確認しましょう。
多要素認証やパスキーを設定する
パスワードだけでなく追加の認証が必要になるため、万が一パスワードが盗まれても不正ログインを防げます。
また、パスキーが設定できるサービスではパスキーを設定することによりリアルタイムフィッシングといった更に高度な攻撃の対策としても有効です。
多くの企業が同様のサービスを提供している中で、ワンタイムパスワードなどのフィッシング耐性の低い多要素認証ではなくパスキーに対応した信頼性の高いサイトを選ぶことが重要です。
ソフトウェアやOSは常に最新の状態に保つ
古いバージョンにはセキュリティ上の弱点(脆弱性)があり、それを狙った攻撃から守るため更新が欠かせません。
不審なメールの添付ファイルは開かない
マルウェア感染によって端末内データが盗まれたり操作されたりする危険があります。特に身に覚えのないメールやメール送信元に違和感のあるメールに添付されているファイルは開いてはいけません。
パスワードは使い回さず、複雑で長いものを設定する
簡単なパスワードや同じものを複数使うと、一度漏れると他サービスまで被害拡大につながります。複雑かつ使いまわしでないパスワードを生成するためにパスワードマネージャーなどのツールを利用することも重要です。
これらの日々の習慣が、あなたと家族・職場の安全につながります。まずは一つずつ取り入れてみましょう。
まとめ
フィッシング攻撃はますます巧妙化しており、個人や企業にとって深刻な脅威となっています。対策として、不審なメールやリンクを安易にクリックしないこと、公式サイトのURLを必ず確認することが基本です。
また、多要素認証(MFA)の導入も重要ですが、リアルタイムで認証情報を盗み取る「リアルタイムフィッシング」には完全には対応できない場合があります。
そこで注目されているのが「パスキー」です。
パスキーはパスワードに代わる新しい認証方式で、生体認証やデバイス固有の情報を利用して認証します。パスキーの中で利用される秘密鍵/公開鍵のペアはWebサイトのドメイン情報を紐付けられ、ドメイン情報が一致しないと認証できないため、フィッシングサイトに情報を盗まれるリスクが非常に低くなります。
これにより、従来の多要素認証では防ぎきれなかったリアルタイムフィッシング等にも強い耐性を持つことが期待されています。
私たち一人ひとりがセキュリティ意識を高め、新しい技術を積極的に取り入れることで、大切な情報や資産を守る力は格段に強くなります。
みんなで少しずつ気をつけることで、大切なものを守る力はもっと強くなります。
まずは今日からできることを始めてみましょう。
さいごに
2025年12月5日(金)に開催される 第12回 FIDO東京セミナーで「PASUTTO」を出展します!
このイベントは、「パスキー」によるフィッシング対策と最新動向をテーマに、多彩な講演や展示が行われる注目のイベントです。
NTTテクノクロスとしてもパスキー認証サービス「PASUTTO」を出展し、実際の使い方や効果について直接ご紹介する予定です。
パスキーはこれからの認証方法として注目されていて、フィッシング詐欺から身を守る強力な武器になります。
今回のセミナーでは導入事例や最新情報が満載なので、パスキーに興味がある方やフィッシング対策を強化したい方には絶好のチャンスです。
ぜひ会場に足を運んで、新しい認証技術について一緒に学びましょう!
合わせて読みたい
パスキー認証サービス PASUTTO
クラウドセキュリティ TrustBind
本コラムについて
※本コラムに掲載している商品またはサービスなどの固有名称は、各社の商標または登録商標です。
※本コラムは2025年10月時点の情報で記載しています。なお、免責事項については弊社HP「サイトのご利用について」をご確認ください。
