増加、巧妙化するフィッシングメールの脅威とは?中小企業が知っておくべきポイント
- コンステラ
- 1月15日
- 読了時間: 6分
更新日:1月17日
このような文面を、実際に目にしたことがある方も多いのではないでしょうか。
あなたのアカウントに不正アクセスがありました。至急以下のサイトからアクセスしてログインしてください。○○に関する申告の参考となる情報について、メッセージボックスに格納しましたので、内容をご確認ください。金融機関や取引先などを装い、送信者を詐称したメールを送りつけ、公式サイトを模倣した偽サイトへ誘導する「フィッシング」と呼ばれる攻撃手法です。
実は近年、このフィッシングメールは急増すると同時に、非常に巧妙化しており、被害件数も増加傾向にあります。注意していても、被害に遭う可能性は決して少なくなく、加えてAIを活用したフィッシングメールは、新たで深刻な脅威として注目されています。
実際、情報セキュリティ10大脅威 2025にも「ビジネスメール詐欺」が挙げられており、中小企業も例外ではありません。
では、具体的にどのような点が危険なのでしょうか。
フィッシングメールとは
あらためてフィッシングメールとは、実在する組織を騙り、ユーザーネームやパスワード、アカウントID、ATMの暗証番号、クレジットカード番号などの個人情報を詐取する行為です(フィッシング対策協議会より)。
警視庁の発表によると、2024年上半期のフィッシング報告件数は前年同期比で約10万件増加し、不正送金被害総額についても前年同期比で減少しているものの、未だ高水準で推移しています。
また、フィッシング対策協議会の報告によれば、2024年のフィッシング情報の届け出件数は、特に下期において前年と比較して著しく増加し、キャッシュレス決済サービス、クレジットカード会社のほか、消費者金融、交通系サービス等のなりすましが報告されています。
参照:国内のフィッシング情報の届け出件数(フィッシング対策協議会 フィッシングレポート 2025より)
このように国内のフィッシング被害は右肩上がりで推移していますが、多くの方が思い浮かべる被害は、「個人情報やクレジットカード情報が盗まれる」といったものかもしれません。
しかし、実際にはそれだけではなく、詐取した認証情報を利用して社内システムやネットワークに侵入し、ランサムウェアなどの深刻なサイバー攻撃へ発展するケースも多く確認されています。
侵入経路としてのフィッシングメール
警視庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、情報漏えいやランサムウェア被害につながる主なきっかけの一つとして、不審なメールやその添付ファイルが挙げられています。
実行が容易で、技術的な防御をすり抜けやすく、そして何よりも従業員の一瞬の油断を突くため、フィッシングメールは、現在も攻撃者が最も多く利用する侵入経路とされ、企業規模を問わず重大な脅威となっています。
ランサムウェア被害との深い関係
ランサムウェアなどの重大な被害に発展するケースで、フィッシングメールは重要な役割を果たしています。
サイバーセキュリティ企業 Hornetsecurity の年次調査「サイバーセキュリティレポート 2025年版」によると、2025年におけるランサムウェア攻撃の最も多い侵入経路はフィッシングメールと報告されています。
フィッシングメールでターゲット企業の認証情報を詐取し、それを基に企業のネットワークへ侵入、最終的に情報を暗号化する――このような攻撃の流れが想定されます。
実例として、2025年にアサヒを攻撃した犯罪グループ「Qilin」も、初期侵入手法の一つとしてフィッシングを利用しています。事例として提示されているものはRMM(Remote Monitoring and Management/リモート監視・管理ツール)管理者を狙った標的型フィッシングです。
また、2024年にランサムウェア被害を受けた株式会社KADOKAWAでは、同年8月に公表されたNEWS RELEASE 「ランサムウェア攻撃による情報漏洩のお知らせ」にて、その被害について「フィッシングなどの攻撃により従業員のアカウント情報が窃取されたことが根本原因」と公表しています。
このように、フィッシングメールは、単なる「迷惑メール」ではなく、一度認証情報が窃取されてしまうと、ランサムウェアといった被害へ、連鎖的に発展する可能性があります。
では、このように巧妙化するフィッシングメールに対して、中小企業はどのような点に注意すればよいのでしょうか。
フィッシングメール対策
フィッシングは人のミスを狙うため、完璧に防ぐことは難しいですが、取り組み次第で被害をおさえることも可能です。以下では、警察庁が公式に公表しているフィッシング被害防止対策の内容を基に、実務上押さえておきたい点を整理しています。
電子メールやSMSに記載されているリンクはクリックしない
電子メールに記載されたリンクは偽装可能なほか、正規サイトに類似したドメイン名を付したフィッシングサイトも多く存在することから、見た目でリンクの真偽を判断することは非常に困難です。電子メールやSMS内のリンクを安易にクリックせず、あらかじめ公式サイトを「お気に入り」や「ブックマーク」に登録しておいたり、公式アプリを活用するなどして正しいサイトに接続するようにしてください。なお、金融機関が、ID、パスワード等をメールやSMSで問い合わせることはありません。
パソコンやスマートフォンを安全に保つ
OSやアプリ、ソフトウェアのぜい弱性や不具合を悪用し、広告などからフィッシングサイトに誘導される場合があるので、OSやアプリ、ソフトウェアのアップデートを行い、パソコンやスマートフォンを安全な状態に保ってください。
携帯電話会社などが提供するセキュリティ設定を活用する
携帯電話会社などが提供する迷惑メッセージブロック機能などを活用し、フィッシングメールや不審なSMSが届きづらい設定にしてください。
IDパスワードの使いまわしはしない
複数のサイトで同じID、パスワードを登録していると、一つでもID、パスワードを盗まれたら、銀行やSNS、インターネット通信販売サービスなど全てのサービスが乗っ取られる被害に遭ってしまいます。ID、パスワードはサイトごとに違うものを登録するようにしてください。ID、パスワードを覚えられない場合には、パスワード管理アプリなどを活用してください。
ワンタイムパスワード等を活用する
銀行やインターネット通信販売サービスでは、パスワードに加え、メールやSMSに通知されるワンタイムパスワードを入力しなければログインすることができないサービス(ワンタイムパスワードサービス)が提供されています。IDやパスワードが盗まれた時のため、ワンタイムパスワードサービスを活用してください。指紋や顔認証などの認証方法を活用するとより安全です。
また、こちらは簡易的なフィッシングメールテストになりますので、お時間がありましたら、ぜひ挑戦してみてください!
フィッシングメールを対策できるセキュリティ製品「CSJ プロテクティブDNS」はこちら
参照:
