>
>
最終更新日
インターネットの利用が広範になり情報アクセスの手段が多様化する一方で、日々巧妙化するサイバー犯罪が増加しています。その中でも、特に猛威を振るっているのが「フィッシング詐欺」です。
「フィッシングとは何か」「フィッシング詐欺で何が起こるのか」と不安を抱える方も多いでしょう。万が一、フィッシングサイトにアクセスしたらどうなるのか、正しい知識と対処法を知らなければ甚大な被害につながりかねません。本記事では、2026年の最新動向や多要素認証を突破する高度な手口、そして個人・企業が直ちに行うべき実践的な対策を徹底解説します。
フィッシング詐欺とは?
本記事のポイント
フィッシング詐欺はAI悪用や証券口座狙いで被害が過去最悪規模に拡大している
多要素認証をリアルタイムで突破する中間者攻撃(AiTM)が急増中
企業は「DMARC/BIMI」、個人は「パスキー」による対策が必須である
万が一情報を入力してしまった場合は、1分でも早いパスワード変更とカード・口座停止が重要
フィッシング詐欺とは、銀行やクレジットカード会社、ECサイトなどの実在する企業を装った偽のメールやSMSを送信し、ユーザーを偽のウェブサイトに誘導して個人情報や認証情報を不正に取得するサイバー犯罪です。
近年、このフィッシング詐欺の被害規模は歴史的な急増を見せています。フィッシング対策協議会のまとめた「フィッシングレポート 2025」によると、2024年に日本国内で報告されたフィッシング件数は約171.8万件に達し、過去最多を記録しました。1日あたりに換算すると、毎日約8,000件以上のフィッシング攻撃が報告されている計算になります。
フィッシング詐欺はもはや「不注意なユーザーが騙される単純な詐欺」ではなく、高度にシステム化されたサイバー犯罪ビジネスへと変貌を遂げています。
1日8,000件超という数字が示すとおり、フィッシング詐欺はもはや他人事ではない。
最新のフィッシング詐欺手口と特徴
これまでフィッシングメールは、海外の攻撃者が機械翻訳を用いた「不自然な日本語」で見分けることができるとされてきました。しかし、2024年以降は生成AI(ChatGPTなど)の悪用が急増し、公式サポートを装った自然で丁寧な日本語が大量に生成されるようになりました。さらに、経営幹部の声を模倣したディープフェイクを用いるなど、攻撃は極めて巧妙化しています。
また、近年最も顕著なのが新NISA普及に伴う証券業界への集中攻撃です。金融庁の発表によると、2025年の1年間で証券口座の乗っ取り等による不正取引が9,752件発生し、その被害総額は約7,393億円にのぼりました。被害者の口座内で無断で株式が売却され、犯人の利益のために別の株式が買い付けられるといった手口が横行しています。
加えて、SMSを利用して偽サイトに誘導するスミッシングも依然として猛威を振るっており、宅配業者の不在通知や金融機関のセキュリティ警告を装う手口が上位を占めています。スマートフォンの小さな画面ではURLの偽装に気づきにくいため、被害が拡大しやすい傾向にあります。
フィッシングサイトにアクセスしたらどうなる?
リンクをクリックして偽サイトを開いた「だけ」であれば、直ちに個人情報が盗まれることはない。ただし、IDやパスワード、暗証番号を入力して送信した瞬間に状況は一変し、即座に致命的な被害が発生する。
特に近年、セキュリティの常識を覆しているのが「リアルタイムフィッシング(AiTM:中間者攻撃)」という手口です。これまでの常識では、ワンタイムパスワード(SMS認証コードなど)を用いた「多要素認証(MFA)」を設定していれば安全だとされてきました。しかし、リアルタイムフィッシングでは以下のようなメカニズムで認証が突破されます。
ユーザーがフィッシングサイト(中継サーバー)にアクセスし、IDとパスワードを入力する
攻撃者のサーバーが即座にその情報を正規サイトに入力する
正規サイトからユーザーのスマホに「ワンタイムパスワード(認証コード)」が届く
ユーザーが偽サイトの画面にワンタイムパスワードを入力する
攻撃者がそのコードを即座に正規サイトに入力し、ログインを完了させてセッションを奪取する
この手口では、ユーザーが正規の認証手続きを正しく行えば行うほど、リアルタイムで攻撃者の手助けをしてしまうことになります。情報が盗まれた直後、ユーザーの画面には「処理中です」といったエラー画面が表示され、その裏で瞬時に不正送金や株式の売却が実行されてしまいます。
多要素認証を設定していても、偽サイトに入力した瞬間に突破される極めて高いリスクが存在します。
▲ 多要素認証を突破するリアルタイムフィッシング(AiTM)の仕組み
フィッシング詐欺の被害に遭った場合の対処法
万が一、不審なサイトに情報を入力してしまった場合は、時間との勝負になります。被害を最小限に食い止めるために、以下の初動対応タイムラインに沿って直ちに行動してください。
フェーズ | 対応事項 | 具体的なアクション |
|---|---|---|
直後(10分以内) | クレジットカード・口座の利用停止 | カード裏面の電話番号や専用アプリから、即座に利用停止手続きを行う |
直後(30分以内) | パスワードの変更 | 正規サイトへ直接アクセスし、パスワードを変更する |
当日中 | 他サービスへの影響確認 | 使い回しているパスワードがあれば、パスワード管理ツールを利用して一斉に変更する |
当日中 | マルウェアスキャン | 端末の安全性を確保するため、アンチウイルス(セキュリティ対策ソフト)によるフルスキャンを実施する |
翌日以降 | 専門機関への相談 | 被害が発生している場合、警察のサイバー犯罪相談窓口や消費生活センターに連絡する |
もし不正にアプリがインストールされてしまった疑いがある場合は、スマートフォンを機内モードにして通信を遮断した上で、不審なアプリの削除を行ってください。
被害に気づいたら、1分でも早くカード・口座の停止とパスワードの変更を実施しましょう。
▲ フィッシング詐欺に情報を入力してしまった場合の初動対応タイムライン
企業・個人別の最新フィッシング対策と失敗パターン
結論を先に言う。個人はパスキー、企業はDMARC+BIMIの2軸が現時点の最適解だ。以下、それぞれの対策とよくある失敗パターンを解説する。
個人の対策:フィッシング耐性のある「パスキー」
リアルタイムフィッシングを防ぐための最強の手段が「パスキー(FIDO認証)」です。パスキーは生体認証(指紋や顔認証)と端末に保存された暗号鍵を用いて認証を行います。パスワード自体が存在しないため、偽サイトに入力して盗まれる心配がありません。
認証方法 | フィッシング耐性 | 特徴とリスク |
|---|---|---|
パスワードのみ | なし(非常に危険) | 偽サイトに入力した瞬間に窃取され、使い回しによる被害も大きい |
ワンタイムパスワード(SMS等) | 低い(突破可能) | 中間者攻撃(AiTM)によってリアルタイムで窃取・中継される |
パスキー(FIDO認証) | 高い(極めて安全) | 偽サイトでは認証自体が成立しないため、情報を盗まれるリスクがない |
企業の対策:DMARCとBIMIによる「本物」の証明(ファミリーマート事例)
企業側は、自社のブランドを騙る「なりすましメール」を防ぐ義務があります。その中核となるのが送信ドメイン認証「DMARC」と、視覚的なブランド証明である「BIMI」の導入です。
例えば、株式会社ファミリーマートは2026年5月よりBIMIを導入しました。DMARCのポリシーを最高レベルの「Reject(受信拒否)」に設定した上で、Gmail等で受信された正規のメールには「ファミリーマートの公式ロゴ」と青色のチェックマーク(VMC)が表示されるようになりました。これにより、専門知識がない一般消費者でも一目で「本物のメール」だと直感的に判断できるようになり、フィッシング詐欺に対する不安を大幅に軽減することに成功しています。
よくある失敗パターン:旧来の対策の形骸化
一方で、企業や個人が陥りがちな失敗パターンもあります。「パスワードの定期変更」や「大文字・小文字・記号の複雑な混在の強制」は、かえってユーザーが簡単なパスワードを使い回したり、メモに書き残したりする原因となり、セキュリティを低下させます(米国NISTのガイドライン SP 800-63-4 でも禁止が推奨されています)。また、従業員向けに標的型攻撃メールの訓練を一度行っただけで「対策完了」と思い込み、システム的な防御(DMARC等)を怠るのも典型的な失敗です。
気持ちの問題で解決できる段階はとっくに終わっている。DMARCとパスキーを導入するかどうかが、いまや企業の分水嶺だ。
▲ 認証方法によるフィッシング耐性の違い
よくある質問
Q:フィッシングサイトのリンクをクリックしただけで感染や被害に遭いますか?
A:通常、リンクをクリックして偽サイトを表示しただけでは、直ちに個人情報が盗まれたりウイルスに感染したりすることはありません。ただし、アクセスした時点でメールアドレスが「有効」であると攻撃者に知られるリスクがあるため、速やかにブラウザを閉じてください。
Q:フィッシング行為の罪名(罰則)は何ですか?
A:フィッシング行為は「不正アクセス禁止法」の違反(不正入力要求行為)に該当し、1年以下の懲役または50万円以下の罰金が科されることがあります。さらに、不正に他人のID等を利用した場合は3年以下の懲役または100万円以下の罰金となり、詐欺罪や電子計算機使用詐欺罪が適用されることもあります(参考:総務省「不正アクセス禁止法について」)。
Q:フィッシング(Phishing)の意味は何ですか?
A:実在する企業や公的機関を装い、釣り(Fishing)のようにユーザーを誘い出して、IDやパスワード、クレジットカード情報などの個人情報を騙し取る詐欺手法を意味します。より洗練された(Sophisticated)手法であることを示すため、「Ph」の綴りが使われたと言われています。
Q:社員がフィッシングメールに情報を入力してしまいました。企業として何をすべきですか?
A:まず該当社員のアカウントを即時無効化し、パスワードをリセットします。次に、同じパスワードを使い回している他のサービスへの影響範囲を確認してください。社内の情報システム部門および経営層に速やかに報告し、必要に応じて個人情報保護委員会や警察のサイバー犯罪相談窓口へ通報します。インシデントの詳細(発生日時・入力した情報の種類・アクセスしたURLなど)を記録・保全しておくことが、その後の対応と再発防止策の立案に不可欠です。
まとめ
フィッシング詐欺は、もはや古典的な「騙し」ではなく、AIやリアルタイム中継技術を駆使した高度なサイバー犯罪へと進化しています。万が一フィッシングサイトにアクセスしてしまっても、情報を入力せずにすぐ離脱することが重要です。もし入力してしまった場合は、1分1秒でも早くパスワードの変更やカードの利用停止を行いましょう。企業担当者は、DMARCのポリシー確認とパスキー対応状況の棚卸しから着手することを推奨します。
✅ 明日からのアクションチェックリスト
✅ 自社ドメインのDMARCポリシーをrejectに設定済みか確認する
✅ 社内の主要サービスでパスキー対応状況を棚卸しする
✅ インシデント発生時の初動フロー(10分以内・30分以内・当日中)を担当者間で共有する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
おすすめの記事をご紹介
