フィッシング攻撃に騙されない！
最新の手口は今までとはどこが違う？
フィッシングの見分け方、怪しいサイトやメールの事例を挙げて紹介

フィッシング攻撃とは、利用者をだまして偽の情報を入力させることで、ID・パスワード・クレジットカード番号などの機密情報を不正に入手する攻撃手法のことです。本記事ではフィッシング攻撃の最新手口や、偽メールや偽サイトの見分け方について分かりやすく解説します。

目次

• 従来のフィッシング攻撃の特徴
  
• フィッシング攻撃の最新手口
  
• 従来型と最新型フィッシング攻撃の比較表
  
• 最新のフィッシング攻撃への対策

従来のフィッシング攻撃の特徴

不自然なメール・偽装メール：

• 誤字脱字や不自然な日本語が多い。
• 海外サイトを直訳したような表現。
• 差出人アドレスがフリーメールや不明なドメイン。

偽のログインページへの誘導：

• メールやSMSに記載されたURLをクリックさせ、正規サービスに似せた偽サイトへ誘導。
• ログイン情報（ID・パスワード）を入力させて盗み取る。

緊急性を煽る手口：

「アカウントが停止されます」「24時間以内に確認が必要です」「不正アクセスが検出されました」
→ のような文言を表示させることで利用者を焦らせ、冷静な判断をできなくさせる。

偽の請求・当選通知：

「未払い料金があります」「税金の還付があります」「懸賞に当選しました」
→ のような文言を表示させることで、個人情報、クレジットカード番号、銀行口座情報、暗証番号の入力を促す。

添付ファイル型：

• フィッシングメールにWordやExcel、ZIPファイルを添付し、マクロウイルスやマルウェアに感染させる。
  
• 感染後にパスワードや金融情報を盗む。

金融機関や有名ブランドを装う：

銀行、クレジットカード会社、Amazon、Appleなど大手ブランドになりすます。
→ ユーザーの「信頼」を利用する。

従来のフィッシング攻撃は、「メールで偽サイトに誘導する」手法が主流でした。メールやサイトの文面が不自然であったり、送信元アドレスや偽サイトのURLに違和感があることが多く、これらの点に注意すれば比較的見分けやすいものでした。

しかし近年では、生成AIの普及や技術の進化により、フィッシング攻撃の手口がますます巧妙化しています。そのため、文章や送信元アドレス、URLだけでは見抜くことが難しくなってきています。

フィッシング攻撃の最新手口

ここ数年でフィッシング攻撃の手口は非常に巧妙になっており、特に「正規サービスの悪用」と「二要素認証突破」、「メール以外からのフィッシング攻撃」が特徴的となっています。

生成AIを悪用した精巧なフィッシングメール：

• ChatGPTなど生成AIで作られた自然な文面。
• 従来のような誤字脱字や不自然な日本語がなく、正規の業務メールに近い。

正規サービスを悪用した誘導：

• 一般的に使用されているクラウド上のサーバーに偽ログインページを配置。
• 実際の「共有通知メール」を装って信頼感を与える。
• クラウドサービス経由なのでセキュリティ製品でブロックされにくい。

偽サイトにおいて、ブランドやドメインの高度な偽装：

• 本物に酷似したドメインを利用する。（例：paypa1.com ← アルファベットの「l」ではなく 数字の「1」を使用）
• サブドメインを利用して偽装する。（例：login.amazon.co.jp.fake.com）
• 無料SSL証明書で「鍵マーク」（=保護されている通信を示すアイコン）をつけ、正規サイトのように見せかける。

QRコードフィッシング（Quishing）：

• メールや紙のチラシにQRコードを掲載し、スマホで読み込ませて偽サイトに誘導する。
• モバイル端末利用者を狙った新しい手口。
• QRコードの内容は人間には解読できないので、正当性を確認しづらい。

スミッシング（SMSフィッシング）：

• 宅配業者・携帯キャリアを装ったSMSで偽サイトに誘導する。
• 「再配達」「利用料金の未納」などのメッセージを利用する。

SNS・チャットアプリ経由：

• X（旧Twitter）、Instagram、LINEなどで「本人確認が必要です」との通知を表示する。
• 企業アカウント乗っ取りを悪用し、フォロワーに詐欺リンクを拡散する。

AitM（Adversary-in-the-Middle)攻撃：

• いわゆる中間者攻撃の一種であり、IDやパスワードだけでなく、二要素認証で使用する認証コードも盗み取られる。
• 悪用するためのツール（例：Evilginx）がネットに出回っている。

AitM攻撃の流れ

偽サイトを、利用者と正規サイトのやりとりを中継するように設置。
↓
利用者をフィッシングメールから偽サイトに誘導し、IDとパスワードを入力させ、入力されたIDとパスワードを正規サイトのフォームに転送。
↓
正規サイトから利用者に対し、二要素認証のための認証コードが送信。
↓
利用者は偽サイトであることに気づかないまま認証コードを入力してしまう。攻撃者を認証コードを奪取し、リアルタイムでアカウントを奪う。

ビジネスメール詐欺（BEC）との組み合わせ：

• 経営者や取引先を装い、送金指示メールを送信。
• フィッシングだけでなく、直接金銭被害につながる。

最近のフィッシングメールは、これまでのような「不自然な日本語」ではなく、より精巧で本物そっくりの内容になっています。メール以外にもSMSやSNS、QRコードなど多様なチャネルが利用され、二要素認証さえ突破する手口も出てきました。クラウドサービスや公式機能が悪用されることで、正規の通信に見える点も特徴であり、従来よりも検知が難しくなっています。

従来型と最新型フィッシング攻撃の比較表

最新のフィッシング攻撃への対策

最新のフィッシング攻撃は従来よりも巧妙で、本物そっくりなので「ユーザーの注意」だけでは限界があります。そのため「個人レベル」と「企業レベル」に分けて対策します。

個人レベルでの対策

メール・SMSの慎重な確認：

• 文面内のリンクはクリックせず、公式アプリや公式サイトから直接アクセスする。
• 送信元アドレスやURLを必ず確認（特に「サブドメイン」や「よく似た文字」に注意）

二要素認証（MFA）の強化：

• できればSMS認証ではなく、認証アプリ（Google Authenticator / Microsoft Authenticator など）を使用する。
  → ただし、中間者攻撃の形式（AitM攻撃）だと、認証コードを奪取される可能性もある。
• FIDO2による認証（yubikeyやpasskeyなど）は、認証情報をネットワーク上に流さないため、AitM攻撃の対策として有効。

パスワード管理：

• パスワードマネージャーを利用し、使い回しを防ぐ。
• 不審なログインがあればすぐにパスワードを変更する。

スマホにおいては、QRコードやショートメッセージにも警戒：

• 知らない送信元のQRコードは読み取らない。
• 「宅配再配達」などの通知は公式アプリや公式サイトから確認。

SNSやチャットアプリの注意：

• DMのリンクは安易に開かない。
  
• 公式アカウントからの連絡かどうかを必ず確認。

企業における対策

セキュリティ教育・訓練：

• 疑似フィッシングメールを使った社員訓練。
• 「従来型と最新型の違い」を啓発して、注意力を高める。

技術的な対策：

• メール認証技術（SPF, DKIM, DMARC）の導入。
• フィッシングサイトや不審なドメインのアクセスブロック（Webフィルタリング）
• EDR / XDRを活用して不審な挙動を検知。

多要素認証の高度化：

• セキュリティキー（物理トークン）による認証を推進。
• シングルサインオン（SSO）と組み合わせて管理を強化。

インシデント対応体制：

• 「怪しいメールを受け取ったときの報告ルート」を明確にする。
• SOCやセキュリティ部門がすぐ対応できる体制を構築。

ブランド保護：

• 組織名やサービス名を騙る偽サイト・偽ドメインを早期検知するサービスを利用。

従来のフィッシングは「不自然な部分が多い」ことから見抜きやすい傾向がありましたが、最近はAIや正規サービスの悪用により見分けがつかないほど巧妙化しています。個人では「不用意にリンクをクリックしない」「二要素認証などの認証強化」といった慎重な行動が不可欠です。また、企業では「セキュリティ教育」「技術的防御策」「インシデント対応」の3本柱による包括的な体制が求められます。特に認証コードの窃取を含む高度な攻撃には、FIDO2などによる多要素認証やクラウドサービスの監視が必須となります。

弊社へのお問い合わせは、下記の著者画像横のメールアイコンから