フィッシング(Phishing)とは、実在する企業・金融機関・公的機関を装った偽メールや偽サイトを使い、利用者のID・パスワード・クレジットカード番号などを騙し取るサイバー攻撃です。
この記事でわかること:
- フィッシングの定義と語源
- 攻撃者が使う主な手口・種類(リアルタイムフィッシングを含む)
- 国内の被害状況(最新データ)
- 情シス担当者が実施すべき技術・運用対策
フィッシングとは何か?
フィッシング対策協議会の定義によると、フィッシングとは「実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為」です。
名称の由来は英語の fishing(釣り)をもじったもので、攻撃者がエサ(偽メール・偽サイト)で標的を「釣り上げる」ことからきています。1990年代にアメリカで発生し、日本国内では2000年代中頃から被害報告が増加しました。
なぜいま重要か──被害の急拡大
フィッシング被害は日本でも急激に増加しています。フィッシング対策協議会によると、2025年3月のフィッシング報告件数は249,936件(前月比で約108,000件増)に達し、悪用されたブランドは84件に及びます。2025年度は月20万件超の報告が続いており、3年前の約10万件から倍増しています。
生成AIの普及により、攻撃メールの日本語品質が向上し、以前のような「怪しい日本語」で気づけないケースも増えています。情シス担当者にとって、フィッシングは「よく知っている」では済まされない、継続的なウォッチが必要な脅威です。
主な攻撃手口と種類
フィッシングは標的や手段によって以下のように分類されます。
| 種類 | 概要 | 特徴 |
|---|---|---|
| メールフィッシング | 偽メールで偽サイトへ誘導 | 最も一般的。Amazon・Apple・銀行を詐称するケースが多い |
| スミッシング(SMS) | SMSで偽サイトへ誘導 | 宅配業者や公的機関(年金・住民税)を装うケースが増加 |
| スピアフィッシング | 特定の個人・組織を狙い打ち | 実名・役職・業務情報を盛り込んだ高精度な攻撃 |
| ビッシング(電話) | 電話でIDや暗証番号を聞き出す | 音声AIで自動化されるケースも出てきている |
| リアルタイムフィッシング(AiTM) | 入力情報を即時転送し二要素認証を突破 | EvilProxy等のProxyツールを悪用。OTPも詐取可能 |
2025年時点で特に注目すべきは「リアルタイムフィッシング(AiTM:Adversary-in-The-Middle)」です。被害者がフィッシングサイトに情報を入力すると、攻撃者が即時に本物サービスへ転送し、二要素認証のワンタイムパスワードまでリアルタイムで詐取します。「パスワード+SMSのOTP」という従来の二要素認証では防ぎにくく、認証の仕組みそのものを見直す必要があります。
攻撃の流れ──典型的なシナリオ
- 攻撃者が実在するサービス(銀行・EC・SNS等)を騙った偽メール・SMSを送付
- 「アカウントが不正利用されました」「お支払い情報の更新が必要です」等の文言で焦りを誘う
- メール内のリンクをクリックさせ、本物そっくりの偽サイトへ誘導
- 偽サイトでID・パスワード・クレジットカード情報・ワンタイムパスワードを入力させる
- 詐取した情報で不正ログイン・不正送金・なりすましを実行
情シスはどうすべきか──技術・運用の両面で
フィッシング対策は「自社が送るメール(送信側)」と「従業員が受け取るメール(受信側)」の両面を押さえる必要があります。
送信ドメイン認証の整備(SPF・DKIM・DMARC)
自社ドメインを悪用した偽メールを防ぐため、SPF・DKIM・DMARCの3点セットは必須です。フィッシング対策ガイドライン2026年度版では、DMARCのポリシーを「p=reject(排除)」に設定することが推奨されています。まず「p=none(監視のみ)」から始め、レポートを確認しながら段階的に厳格化するアプローチが現実的です。
フィッシング耐性を持つ多要素認証の導入
パスワード+SMSワンタイムパスワードの組み合わせは、リアルタイムフィッシングに対して脆弱です。パスキー(FIDO2/WebAuthn)や生体認証など、フィッシング耐性を持つ認証方式への移行を検討してください。フィッシング対策ガイドライン2026年度版でも、パスキーや生体認証の採用が「必須(◎)」として位置づけられています。
従業員への継続的な教育・訓練
技術対策だけでは限界があります。定期的なフィッシングメール模擬訓練と、「不審なメールを受け取ったらどうするか」という手順の周知が欠かせません。IPAが提供する「対策のしおり」は従業員向け教材として活用できます。
インシデント対応フローの整備
万が一情報を入力してしまった社員から報告を受けた際の初動(パスワードリセット・セッション無効化・影響調査)をあらかじめ整理しておくことが重要です。IPAのセキュリティインシデント対応 机上演習教材はフィッシング起点のシナリオ演習にも役立ちます。
現場目線:フィッシングが「終わらない理由」
フィッシング対策は技術の問題だけではありません。人間の認知の隙を突く攻撃であるため、どれだけシステムを固めても「うっかりクリック」のリスクはゼロにできない——これが現場の正直な感覚です。
業務多忙な状態でメールを流し読みしているとき、「Amazonからの重要なお知らせ」という件名のメールを受け取ると、クリックするまでの時間は数秒です。生成AIで日本語品質が上がり、送信者表示が巧みになると、「怪しいメール=変な日本語」という過去の経験則は通用しません。技術対策をベースにしつつ、「疑わしければURLを直接入力して公式サイトへアクセス」「急かされたら一呼吸置く」という行動規範を地道に浸透させることが、長期的には最も効きます。
関連用語
- スミッシング:SMS(ショートメッセージ)を使ったフィッシング攻撃
- スピアフィッシング:特定個人・組織を標的にした高度なフィッシング
- DMARC:メール送信者認証技術。SPF・DKIMと組み合わせて自社ドメインの詐称を防ぐ
- パスキー(FIDO2/WebAuthn):フィッシング耐性を持つ次世代認証方式
- AiTM(Adversary-in-The-Middle):攻撃者が中間に入りリアルタイムで認証情報を詐取するフィッシング手法
まとめ
- フィッシングとは偽メール・偽サイトで認証情報を詐取するサイバー攻撃。国内報告件数は2025年に月25万件超に急増している。
- リアルタイムフィッシング(AiTM)は二要素認証(OTP)も突破するため、パスキーなどフィッシング耐性を持つ認証への移行が急務。
- 技術対策(DMARC p=reject・強固な多要素認証)と人的対策(継続的な教育・訓練)の両輪で取り組むことが重要。
