フィッシング攻撃に騙されない!
最新の手口は今までとはどこが違う?
フィッシングの見分け方、怪しいサイトやメールの事例を挙げて紹介
フィッシング攻撃とは、利用者をだまして偽の情報を入力させることで、ID・パスワード・クレジットカード番号などの機密情報を不正に入手する攻撃手法のことです。本記事ではフィッシング攻撃の最新手口や、偽メールや偽サイトの見分け方について分かりやすく解説します。
目次
従来のフィッシング攻撃の特徴
不自然なメール・偽装メール:
- 誤字脱字や不自然な日本語が多い。
- 海外サイトを直訳したような表現。
- 差出人アドレスがフリーメールや不明なドメイン。
偽のログインページへの誘導:
- メールやSMSに記載されたURLをクリックさせ、正規サービスに似せた偽サイトへ誘導。
- ログイン情報(ID・パスワード)を入力させて盗み取る。
緊急性を煽る手口:
「アカウントが停止されます」「24時間以内に確認が必要です」「不正アクセスが検出されました」
→ のような文言を表示させることで利用者を焦らせ、冷静な判断をできなくさせる。
偽の請求・当選通知:
「未払い料金があります」「税金の還付があります」「懸賞に当選しました」
→ のような文言を表示させることで、個人情報、クレジットカード番号、銀行口座情報、暗証番号の入力を促す。
添付ファイル型:
- フィッシングメールにWordやExcel、ZIPファイルを添付し、マクロウイルスやマルウェアに感染させる。
- 感染後にパスワードや金融情報を盗む。
金融機関や有名ブランドを装う:
銀行、クレジットカード会社、Amazon、Appleなど大手ブランドになりすます。
→ ユーザーの「信頼」を利用する。
従来のフィッシング攻撃は、「メールで偽サイトに誘導する」手法が主流でした。メールやサイトの文面が不自然であったり、送信元アドレスや偽サイトのURLに違和感があることが多く、これらの点に注意すれば比較的見分けやすいものでした。
しかし近年では、生成AIの普及や技術の進化により、フィッシング攻撃の手口がますます巧妙化しています。そのため、文章や送信元アドレス、URLだけでは見抜くことが難しくなってきています。
フィッシング攻撃の最新手口
ここ数年でフィッシング攻撃の手口は非常に巧妙になっており、特に「正規サービスの悪用」と「二要素認証突破」、「メール以外からのフィッシング攻撃」が特徴的となっています。
生成AIを悪用した精巧なフィッシングメール:
- ChatGPTなど生成AIで作られた自然な文面。
- 従来のような誤字脱字や不自然な日本語がなく、正規の業務メールに近い。
正規サービスを悪用した誘導:
- 一般的に使用されているクラウド上のサーバーに偽ログインページを配置。
- 実際の「共有通知メール」を装って信頼感を与える。
- クラウドサービス経由なのでセキュリティ製品でブロックされにくい。
偽サイトにおいて、ブランドやドメインの高度な偽装:
- 本物に酷似したドメインを利用する。(例:paypa1.com ← アルファベットの「l」ではなく 数字の「1」を使用)
- サブドメインを利用して偽装する。(例:login.amazon.co.jp.fake.com)
- 無料SSL証明書で「鍵マーク」(=保護されている通信を示すアイコン)をつけ、正規サイトのように見せかける。
QRコードフィッシング(Quishing):
- メールや紙のチラシにQRコードを掲載し、スマホで読み込ませて偽サイトに誘導する。
- モバイル端末利用者を狙った新しい手口。
- QRコードの内容は人間には解読できないので、正当性を確認しづらい。
スミッシング(SMSフィッシング):
- 宅配業者・携帯キャリアを装ったSMSで偽サイトに誘導する。
- 「再配達」「利用料金の未納」などのメッセージを利用する。
SNS・チャットアプリ経由:
- X(旧Twitter)、Instagram、LINEなどで「本人確認が必要です」との通知を表示する。
- 企業アカウント乗っ取りを悪用し、フォロワーに詐欺リンクを拡散する。
AitM(Adversary-in-the-Middle)攻撃:
- いわゆる中間者攻撃の一種であり、IDやパスワードだけでなく、二要素認証で使用する認証コードも盗み取られる。
- 悪用するためのツール(例:Evilginx)がネットに出回っている。
AitM攻撃の流れ
偽サイトを、利用者と正規サイトのやりとりを中継するように設置。
↓
利用者をフィッシングメールから偽サイトに誘導し、IDとパスワードを入力させ、入力されたIDとパスワードを正規サイトのフォームに転送。
↓
正規サイトから利用者に対し、二要素認証のための認証コードが送信。
↓
利用者は偽サイトであることに気づかないまま認証コードを入力してしまう。攻撃者を認証コードを奪取し、リアルタイムでアカウントを奪う。
ビジネスメール詐欺(BEC)との組み合わせ:
- 経営者や取引先を装い、送金指示メールを送信。
- フィッシングだけでなく、直接金銭被害につながる。
最近のフィッシングメールは、これまでのような「不自然な日本語」ではなく、より精巧で本物そっくりの内容になっています。メール以外にもSMSやSNS、QRコードなど多様なチャネルが利用され、二要素認証さえ突破する手口も出てきました。クラウドサービスや公式機能が悪用されることで、正規の通信に見える点も特徴であり、従来よりも検知が難しくなっています。
従来型と最新型フィッシング攻撃の比較表
項目 | 従来の手口 | 最新の手口 |
---|---|---|
メールの文面 | 不自然な日本語、誤字脱字が多い | 生成AIを利用し、自然でビジネスメール風の文章 |
送信元 | フリーメールアドレスなどの分かりやすい偽装 | 正規企業に似せたドメインや送信元偽装 |
リンクの偽装 | URLをそのまま記載、違和感のあるドメイン | 正規に似せたドメイン、短縮URL、QRコード |
誘導メッセージ | 「アカウント停止」「本人確認が必要です」など単純な脅迫 | 緊急性+信頼性を組み合わせた高度な文言(例:本物の配送通知や社内通知を装う) |
攻撃媒体 | 主にメール | メール+SMS、SNSのDM、QRコード、クラウドサービスの共有リンク |
個人情報の窃取方法 | 偽のログインページに入力させる | 中間者攻撃により、二要素認証コードも同時に窃取(例:Evilginx) |
不正サイトの作り込み | デザインが粗く、本物と違和感あり | 正規サイトをコピーした高精度クローン、SSL証明書も利用 |
検知の難易度 | 文面やURLで判別可能であり、比較的容易 | 難易度が高く、セキュリティ知識があっても見抜きにくい |
最新のフィッシング攻撃への対策
最新のフィッシング攻撃は従来よりも巧妙で、本物そっくりなので「ユーザーの注意」だけでは限界があります。そのため「個人レベル」と「企業レベル」に分けて対策します。
個人レベルでの対策
メール・SMSの慎重な確認:
- 文面内のリンクはクリックせず、公式アプリや公式サイトから直接アクセスする。
- 送信元アドレスやURLを必ず確認(特に「サブドメイン」や「よく似た文字」に注意)
二要素認証(MFA)の強化:
- できればSMS認証ではなく、認証アプリ(Google Authenticator / Microsoft Authenticator など)を使用する。
→ ただし、中間者攻撃の形式(AitM攻撃)だと、認証コードを奪取される可能性もある。 - FIDO2による認証(yubikeyやpasskeyなど)は、認証情報をネットワーク上に流さないため、AitM攻撃の対策として有効。
パスワード管理:
- パスワードマネージャーを利用し、使い回しを防ぐ。
- 不審なログインがあればすぐにパスワードを変更する。
スマホにおいては、QRコードやショートメッセージにも警戒:
- 知らない送信元のQRコードは読み取らない。
- 「宅配再配達」などの通知は公式アプリや公式サイトから確認。
SNSやチャットアプリの注意:
- DMのリンクは安易に開かない。
- 公式アカウントからの連絡かどうかを必ず確認。
企業における対策
セキュリティ教育・訓練:
- 疑似フィッシングメールを使った社員訓練。
- 「従来型と最新型の違い」を啓発して、注意力を高める。
技術的な対策:
- メール認証技術(SPF, DKIM, DMARC)の導入。
- フィッシングサイトや不審なドメインのアクセスブロック(Webフィルタリング)
- EDR / XDRを活用して不審な挙動を検知。
多要素認証の高度化:
- セキュリティキー(物理トークン)による認証を推進。
- シングルサインオン(SSO)と組み合わせて管理を強化。
インシデント対応体制:
- 「怪しいメールを受け取ったときの報告ルート」を明確にする。
- SOCやセキュリティ部門がすぐ対応できる体制を構築。
ブランド保護:
- 組織名やサービス名を騙る偽サイト・偽ドメインを早期検知するサービスを利用。
従来のフィッシングは「不自然な部分が多い」ことから見抜きやすい傾向がありましたが、最近はAIや正規サービスの悪用により見分けがつかないほど巧妙化しています。個人では「不用意にリンクをクリックしない」「二要素認証などの認証強化」といった慎重な行動が不可欠です。また、企業では「セキュリティ教育」「技術的防御策」「インシデント対応」の3本柱による包括的な体制が求められます。特に認証コードの窃取を含む高度な攻撃には、FIDO2などによる多要素認証やクラウドサービスの監視が必須となります。
弊社へのお問い合わせは、下記の著者画像横のメールアイコンから