フィッシング詐欺とは？手口や企業に必要な対策など

インターネットサービスが普及し、購買、決済、申請、社内業務までオンラインで完結する場面が増えました。その一方で、利用者の心理（不安、焦り、好奇心）を突いて情報をだまし取るフィッシング詐欺は、個人・企業を問わず被害が続く代表的なサイバー攻撃です。手口は年々巧妙化しており、「自分（自社）も狙われている」を前提に、入口対策と被害拡大の抑止をセットで備える必要があります。

この記事では、フィッシング詐欺の定義、被害と影響、主な手口、基本対策に加え、企業・組織で実施すべき対策（技術面／運用面／教育面）と、被害が疑われるときの初動までを整理します。

フィッシング詐欺とは

フィッシング詐欺とは、実在する企業や公的機関などになりすまして、利用者の情報をだまし取る攻撃手法です。盗まれる情報には、氏名・住所・電話番号などの個人情報のほか、クレジットカード情報や銀行口座情報、各種サービスのID・パスワードなど、金銭被害や不正ログインに直結する情報が含まれます。

典型的な流れは、メールやSMSなどで利用者を本物そっくりの偽サイトへ誘導し、ログイン情報やカード情報を入力させて盗むというものです。こうしたメールを「フィッシングメール」、偽サイトを「フィッシングサイト」と呼びます。

近年は個人だけでなく企業も標的となり、社内アカウントの乗っ取りや、取引先になりすました送金詐欺（ビジネスメール詐欺）などに発展するケースもあります。フィッシングは「入り口」であり、被害が情報漏えい・不正送金・マルウェア感染へ連鎖し得る点に注意が必要です。

フィッシングと混同しやすい手口

対策を設計するうえでは、似た言葉を整理しておくと判断が早くなります。フィッシングは「偽サイトや偽フォームに入力させる」タイプが典型ですが、攻撃はそこから派生します。

• ビジネスメール詐欺（BEC）：送金や契約手続きを狙い、経理・購買の業務フローに入り込む詐欺です。偽サイト誘導がない場合もあり、メールのやり取りの中で支払先口座をすり替えるなど、業務手続き自体を騙します。
• サポート詐欺：ブラウザに偽の警告を表示し、電話や遠隔操作ツールの導入を促して金銭や情報を奪います。入口はWeb閲覧で、メール以外から始まる点が特徴です。
• マルウェア感染：フィッシングが起点になり得ますが、フィッシング自体は「情報を入力させる詐欺」であり、感染はその先で起きる場合があります（偽アプリ、添付ファイル、追加ダウンロードなど）。

フィッシング詐欺の被害と影響

フィッシングは、個人の金銭被害だけでなく、企業・組織では不正送金、情報漏えい、業務停止、信用毀損といった大きな損害につながります。特に、金融機関等を装ったフィッシングによるインターネットバンキング不正送金は深刻化しており、警察庁の公表資料でも継続して注意喚起されています。

また、IPA（情報処理推進機構）が公表する「情報セキュリティ10大脅威」でも、フィッシングは個人・組織双方において重要な脅威として挙げられています。

重要なのは、フィッシングが「一度だまされると終わり」ではなく、盗まれた認証情報が他サービスへ使い回される、社内アカウント侵害から横展開されるなど、被害が拡大しやすい点です。入口を塞ぐ対策と、万一侵害されても拡大させない対策の両方が必要です。

企業で起きやすい二次被害

• メールアカウント侵害からの社内・取引先への二次攻撃：侵害されたアカウントで社内にフィッシングをばらまく、取引先へ請求を装うなど、「正規の差出人」になってしまうと被害が広がりやすくなります。
• 転送ルール・委任設定の悪用：メールの自動転送、受信ルール、委任権限を仕込まれると、パスワード変更後も情報が抜かれ続けることがあります。
• クラウドストレージや業務SaaSの不正利用：正規ログインが成立すると、データの閲覧・ダウンロード・外部共有の作成などが「正規操作」として行われ得ます。

参考：

• 情報セキュリティ10大脅威（IPA）
• サイバー空間をめぐる脅威の情勢等（警察庁）

フィッシング詐欺の主な手口

フィッシング対策の第一歩は、代表的な手口を知り、引っかかりやすいポイントを押さえることです。ここではよく見られる手口を整理します。

通販サイトや銀行などを装った偽装メール

誰もが利用する通販サイトや銀行、決済サービスを騙り、「カード情報の更新が必要」「不正利用の疑いがあるため確認してほしい」など、不安や緊急性を煽って偽サイトへ誘導します。文面が自然であるほど判断が難しく、リンク先で情報を入力してしまうと認証情報が盗まれます。

引っかかりやすい心理のスイッチ

• 期限・停止・未払いなどの「今すぐ」要素
• 本人確認・セキュリティ確認などの「正当そう」要素
• ポイント失効・返金などの「得を逃す」要素

SNSや掲示板の偽リンク

SNSや掲示板にフィッシングサイトへのリンクを掲載して誘導する手口もあります。URLを本物に似せるために、アルファベットの「o」を数字の「0」に置き換える、大文字の「I」と小文字の「l」を紛らわせるなどの見分けにくさが悪用されます。

企業で注意したいポイント

業務に関係するコミュニティ、サポート情報、技術情報の閲覧が多い職種ほど、SNSや掲示板を経由して偽サイトに誘導されるリスクがあります。会社の端末やアカウントで閲覧する場面がある場合は、Webアクセス制御や隔離環境の活用も検討対象になります。

SMSを利用した詐欺（スミッシング）

SMS（ショートメッセージ）を使って偽サイトへ誘導する手口は「スミッシング」と呼ばれます。配送業者を装って「再配達はこちら」、通信事業者を装って「利用停止の解除手続き」など、短文でリンクを踏ませようとします。

SMSはメールよりも手軽に開封されやすい一方、差出人の真正性を判断しづらく、被害が拡大しやすい点が特徴です。偽サイトへの入力だけでなく、偽アプリのインストールに誘導されるケースもあるため注意しましょう。

フィッシングサイト（偽サイト）

偽サイトは本物そっくりに作られていることが多く、見た目だけで判断するのは危険です。偽サイトかどうかを見分けるには、URL（ドメイン）や証明書表示の確認、文面の不自然さ、入力項目の過剰さ（必要以上の個人情報を求める等）をチェックします。

見分けのコツは「入力前の確認」

フィッシングは「入力させる」ことで成立します。画面がそれっぽく見えたとしても、入力前にドメインを確認する、公式アプリやブックマークから同じ手続きが存在するか確かめる、といった手順を習慣化すると被害確率が下がります。

偽のウイルス感染メッセージ（サポート詐欺等）

「ウイルスに感染しました」「サポートへ電話してください」などの警告を表示し、不安を煽って操作させる手口もあります。表示された番号へ電話させたり、遠隔操作ツールを入れさせたりして金銭や情報を奪います。身に覚えのない警告が出た場合は、画面の指示に従わず、ブラウザを閉じる・端末をネットワークから切り離すなど冷静に対処しましょう。

フィッシング詐欺対策の基本

フィッシングは「リンクを踏ませる」「入力させる」ことが成立条件です。個人でも企業でも、まずは基本を徹底するだけで被害確率を下げられます。

リンクをむやみにクリックしない

メールやSMSのリンクを反射的に開かず、いったん立ち止まる癖をつけます。必要があれば、公式アプリやブックマーク、正規サイトの検索（公式ドメインを確認）からアクセスするのが安全です。

URL（ドメイン）を確認する

表示テキストではなく、実際のリンク先URLを確認します。スマートフォンでは特に確認が難しいため、緊急性を煽る文面ほど慎重に対応しましょう。

多要素認証（MFA）を設定する

フィッシングで盗まれやすいのはIDとパスワードです。ID/パスワードのみ（単要素）だと、盗まれた瞬間に不正ログインが成立します。

そこで有効なのが、所持情報（スマートフォン等）や生体情報（指紋・顔）を組み合わせる多要素認証（MFA）です。仮にパスワードが盗まれても、追加要素がないとログインできないため、被害を抑えやすくなります。

MFAにも弱点があることを前提にする

近年は、リアルタイム中継型など、MFAを突破しようとするフィッシングも指摘されています。可能であれば、認証アプリの番号一致（Number Matching）の利用、通知連打を無効化する設定、フィッシング耐性の高い方式（例：FIDO2/パスキー等）の検討など、運用と方式選定の両面で強度を上げることが現実的です。

企業に必要なフィッシング詐欺対策

企業では「誰か一人がだまされる」だけで被害が全社へ波及し得ます。そのため、技術・運用・教育を組み合わせた多層防御が重要です。

技術的対策：メール／Web／認証の防御を強化する

• メールセキュリティの強化：不審メールの隔離、URLフィルタリング、添付ファイルの無害化など
• ドメイン詐称対策：SPF/DKIM/DMARCの整備（送信ドメインのなりすまし抑止）
• Webアクセス制御：フィッシングサイトや危険カテゴリへのアクセスブロック
• エンドポイント対策：不審プロセス検知、マルウェア感染の早期遮断（EDR等）
• 認証強化：MFAの全社徹底、条件付きアクセス（端末状態・場所・リスクで制御）

「人はミスをする」という前提で、誤クリック・誤入力が起きても被害につながりにくい設計にしておくことがポイントです。

ドメイン詐称対策は「自社を守る」だけではない

SPF/DKIM/DMARCは、自社になりすましたメールの到達を減らし、取引先や顧客の被害リスクを下げる観点でも重要です。導入しただけで終わらず、DMARCのポリシー設定、運用レポートの確認、送信基盤や外部サービスの送信元整理など、継続して整備していくことが実務上のポイントになります。

人的対策：従業員教育（だまされ方を共有する）

教育は「気をつけましょう」だけでは定着しません。実際に社内で起こり得るパターン（人事・経理・情シスを装う、クラウドストレージ共有を装う等）を例に、次の観点を反復します。

• 急がせる／焦らせる文面ほど疑う
• リンクは踏まずに公式ルートで確認する
• パスワード入力画面が出たらURL（ドメイン）を必ず確認する
• 不審時は報告し、自己判断で抱え込まない

可能であれば、模擬フィッシング訓練を実施し、引っかかった人を責めるのではなく、組織として「どこで判断が難しかったか」を改善につなげる運用が有効です。

教育のゴールは「ゼロにする」ではなく「早く止める」

フィッシングを完全にゼロにするのは現実的ではありません。重要なのは、疑わしいときに早く報告し、アカウント停止やセッション無効化といった初動を早く回せる状態を作ることです。報告のしやすさ（心理的安全性）も、対策の一部として扱うほうが効果が出やすくなります。

運用対策：ポリシーと初動手順を整備する

フィッシングはゼロにはできません。だからこそ「起きたときに被害を最小化する」設計が重要です。

• セキュリティポリシー：パスワード管理、MFA必須範囲、端末利用、外部共有などのルール化
• 報告ルート：不審メールの転送先、緊急時の連絡先、一次対応の担当を明確化
• 初動手順：アカウント停止、セッション無効化、端末隔離、ログ確認、影響範囲の切り分け

平時に決めておくと初動が速くなる項目

• どの条件でアカウントを停止するか（疑い段階でも止める判断基準）
• 強制サインアウトやトークン失効を誰が実行するか（権限と手順）
• 確認するログの優先順位（ログイン履歴、転送ルール、委任設定、外部共有など）
• 影響範囲の切り分け軸（同一部署、同一端末、同一権限グループ、同一IP帯など）

フィッシング被害が疑われるときの対処

「入力してしまったかも」「リンクを開いてしまったかも」という段階で早く動くほど、被害は小さくできます。ポイントは、事実確認と封じ込めを並行して進めることです。

個人の場合（基本）

• 入力してしまったパスワードを直ちに変更（同一パスワードの使い回しがあれば全て変更）
• 対象サービスのログイン履歴／端末認証／連携アプリを確認
• クレジットカードや銀行口座は利用明細の確認、必要なら利用停止・再発行
• MFAを未設定ならすぐ有効化

企業の場合（優先順位）

• 該当アカウントのパスワード変更／強制サインアウト／セッション無効化
• メール転送ルールや不審な委任設定など、侵害の痕跡を確認
• 端末で不審挙動があればネットワーク隔離し、ログ保全
• 影響範囲（同一グループ／同一端末／同一権限）を切り分け、追加侵害を遮断

二次被害を止める観点での確認

企業では、侵害されたアカウントが「社内外への攻撃の踏み台」になっていないかを早期に確認することが重要です。具体的には、取引先への不審送信、請求や送金先変更の連絡、クラウドストレージの外部共有作成など、業務フローに紛れた不正がないかを優先的に点検します。

まとめ

実在する企業や公的機関になりすまして情報を盗み取るフィッシング詐欺は、個人・企業を問わず、誰もが被害に遭う可能性があります。メールやSMSだけでなく、SNS・掲示板、偽警告（サポート詐欺）など入口は多様化しており、手口を知ったうえで、基本対策（リンクを踏まない、URL確認、MFA）を徹底することが重要です。

企業では、技術・教育・運用を組み合わせ、誤クリックが起きても被害を拡大させない仕組み（多層防御）を整備しましょう。万一のときの初動手順まで含めて備えることで、フィッシング被害の現実的なリスクを下げられます。