Skip to content
Image of Phising
11 min read

フィッシング攻撃に騙されない! 最新の手口は今までとはどう違う? フィッシングの見分け方を事例を挙げて紹介

フィッシング攻撃に騙されない!
最新の手口は今までとはどこが違う?
フィッシングの見分け方、怪しいサイトやメールの事例を挙げて紹介

フィッシング攻撃とは、利用者をだまして偽の情報を入力させることで、ID・パスワード・クレジットカード番号などの機密情報を不正に入手する攻撃手法のことです。本記事ではフィッシング攻撃の最新手口や、偽メールや偽サイトの見分け方について分かりやすく解説します。

目次

 

従来のフィッシング攻撃の特徴

不自然なメール・偽装メール:

  • 誤字脱字や不自然な日本語が多い。
  • 海外サイトを直訳したような表現。
  • 差出人アドレスがフリーメールや不明なドメイン。

偽のログインページへの誘導:

  • メールやSMSに記載されたURLをクリックさせ、正規サービスに似せた偽サイトへ誘導。
  • ログイン情報(ID・パスワード)を入力させて盗み取る。

緊急性を煽る手口:

「アカウントが停止されます」「24時間以内に確認が必要です」「不正アクセスが検出されました」
→ のような文言を表示させることで利用者を焦らせ、冷静な判断をできなくさせる。

偽の請求・当選通知:

「未払い料金があります」「税金の還付があります」「懸賞に当選しました」
→ のような文言を表示させることで、個人情報、クレジットカード番号、銀行口座情報、暗証番号の入力を促す。

添付ファイル型:

  • フィッシングメールにWordやExcel、ZIPファイルを添付し、マクロウイルスやマルウェアに感染させる。
  • 感染後にパスワードや金融情報を盗む。

金融機関や有名ブランドを装う:

銀行、クレジットカード会社、Amazon、Appleなど大手ブランドになりすます。
→ ユーザーの「信頼」を利用する。

 

従来のフィッシング攻撃は、「メールで偽サイトに誘導する」手法が主流でした。メールやサイトの文面が不自然であったり、送信元アドレスや偽サイトのURLに違和感があることが多く、これらの点に注意すれば比較的見分けやすいものでした。

しかし近年では、生成AIの普及や技術の進化により、フィッシング攻撃の手口がますます巧妙化しています。そのため、文章や送信元アドレス、URLだけでは見抜くことが難しくなってきています。

 

フィッシング攻撃の最新手口

ここ数年でフィッシング攻撃の手口は非常に巧妙になっており、特に「正規サービスの悪用」と「二要素認証突破」、「メール以外からのフィッシング攻撃」が特徴的となっています。

生成AIを悪用した精巧なフィッシングメール:

  • ChatGPTなど生成AIで作られた自然な文面。
  • 従来のような誤字脱字や不自然な日本語がなく、正規の業務メールに近い。

正規サービスを悪用した誘導:

  • 一般的に使用されているクラウド上のサーバーに偽ログインページを配置。
  • 実際の「共有通知メール」を装って信頼感を与える。
  • クラウドサービス経由なのでセキュリティ製品でブロックされにくい。

偽サイトにおいて、ブランドやドメインの高度な偽装:

  • 本物に酷似したドメインを利用する。(例:paypa1.com ← アルファベットの「l」ではなく 数字の「1」を使用)
  • サブドメインを利用して偽装する。(例:login.amazon.co.jp.fake.com)
  • 無料SSL証明書で「鍵マーク」(=保護されている通信を示すアイコン)をつけ、正規サイトのように見せかける。

QRコードフィッシング(Quishing):

  • メールや紙のチラシにQRコードを掲載し、スマホで読み込ませて偽サイトに誘導する。
  • モバイル端末利用者を狙った新しい手口。
  • QRコードの内容は人間には解読できないので、正当性を確認しづらい。

スミッシング(SMSフィッシング):

  • 宅配業者・携帯キャリアを装ったSMSで偽サイトに誘導する。
  • 「再配達」「利用料金の未納」などのメッセージを利用する。

SNS・チャットアプリ経由:

  • X(旧Twitter)、Instagram、LINEなどで「本人確認が必要です」との通知を表示する。
  • 企業アカウント乗っ取りを悪用し、フォロワーに詐欺リンクを拡散する。

AitM(Adversary-in-the-Middle)攻撃

  • いわゆる中間者攻撃の一種であり、IDやパスワードだけでなく、二要素認証で使用する認証コードも盗み取られる。
  • 悪用するためのツール(例:Evilginx)がネットに出回っている。

AitM攻撃の流れ

偽サイトを、利用者と正規サイトのやりとりを中継するように設置。

利用者をフィッシングメールから偽サイトに誘導し、IDとパスワードを入力させ、入力されたIDとパスワードを正規サイトのフォームに転送。

正規サイトから利用者に対し、二要素認証のための認証コードが送信。

利用者は偽サイトであることに気づかないまま認証コードを入力してしまう。攻撃者を認証コードを奪取し、リアルタイムでアカウントを奪う。

ビジネスメール詐欺(BEC)との組み合わせ:

  • 経営者や取引先を装い、送金指示メールを送信。
  • フィッシングだけでなく、直接金銭被害につながる。

最近のフィッシングメールは、これまでのような「不自然な日本語」ではなく、より精巧で本物そっくりの内容になっています。メール以外にもSMSやSNS、QRコードなど多様なチャネルが利用され、二要素認証さえ突破する手口も出てきました。クラウドサービスや公式機能が悪用されることで、正規の通信に見える点も特徴であり、従来よりも検知が難しくなっています。

 

従来型と最新型フィッシング攻撃の比較表

 

項目 従来の手口 最新の手口
メールの文面 不自然な日本語、誤字脱字が多い 生成AIを利用し、自然でビジネスメール風の文章
送信元 フリーメールアドレスなどの分かりやすい偽装 正規企業に似せたドメインや送信元偽装
リンクの偽装 URLをそのまま記載、違和感のあるドメイン 正規に似せたドメイン、短縮URL、QRコード
誘導メッセージ 「アカウント停止」「本人確認が必要です」など単純な脅迫 緊急性+信頼性を組み合わせた高度な文言(例:本物の配送通知や社内通知を装う)
攻撃媒体 主にメール メール+SMS、SNSのDM、QRコード、クラウドサービスの共有リンク
個人情報の窃取方法 偽のログインページに入力させる 中間者攻撃により、二要素認証コードも同時に窃取(例:Evilginx)
不正サイトの作り込み デザインが粗く、本物と違和感あり 正規サイトをコピーした高精度クローン、SSL証明書も利用
検知の難易度 文面やURLで判別可能であり、比較的容易 難易度が高く、セキュリティ知識があっても見抜きにくい

 

 

最新のフィッシング攻撃への対策

最新のフィッシング攻撃は従来よりも巧妙で、本物そっくりなので「ユーザーの注意」だけでは限界があります。そのため「個人レベル」と「企業レベル」に分けて対策します。

個人レベルでの対策

メール・SMSの慎重な確認:

  • 文面内のリンクはクリックせず、公式アプリや公式サイトから直接アクセスする。
  • 送信元アドレスやURLを必ず確認(特に「サブドメイン」や「よく似た文字」に注意)

二要素認証(MFA)の強化:

  • できればSMS認証ではなく、認証アプリ(Google Authenticator / Microsoft Authenticator など)を使用する。
    → ただし、中間者攻撃の形式(AitM攻撃)だと、認証コードを奪取される可能性もある。
  • FIDO2による認証(yubikeyやpasskeyなど)は、認証情報をネットワーク上に流さないため、AitM攻撃の対策として有効。

パスワード管理:

  • パスワードマネージャーを利用し、使い回しを防ぐ。
  • 不審なログインがあればすぐにパスワードを変更する。

スマホにおいては、QRコードやショートメッセージにも警戒:

  • 知らない送信元のQRコードは読み取らない。
  • 「宅配再配達」などの通知は公式アプリや公式サイトから確認。

SNSやチャットアプリの注意:

  • DMのリンクは安易に開かない。
  • 公式アカウントからの連絡かどうかを必ず確認。

企業における対策

セキュリティ教育・訓練:

  • 疑似フィッシングメールを使った社員訓練。
  • 「従来型と最新型の違い」を啓発して、注意力を高める。

技術的な対策:

  • メール認証技術(SPF, DKIM, DMARC)の導入。
  • フィッシングサイトや不審なドメインのアクセスブロック(Webフィルタリング)
  • EDR / XDRを活用して不審な挙動を検知。

多要素認証の高度化:

  • セキュリティキー(物理トークン)による認証を推進。
  • シングルサインオン(SSO)と組み合わせて管理を強化。

インシデント対応体制:

  • 「怪しいメールを受け取ったときの報告ルート」を明確にする。
  • SOCやセキュリティ部門がすぐ対応できる体制を構築。

ブランド保護:

  • 組織名やサービス名を騙る偽サイト・偽ドメインを早期検知するサービスを利用。

 

従来のフィッシングは「不自然な部分が多い」ことから見抜きやすい傾向がありましたが、最近はAIや正規サービスの悪用により見分けがつかないほど巧妙化しています。個人では「不用意にリンクをクリックしない」「二要素認証などの認証強化」といった慎重な行動が不可欠です。また、企業では「セキュリティ教育」「技術的防御策」「インシデント対応」の3本柱による包括的な体制が求められます。特に認証コードの窃取を含む高度な攻撃には、FIDO2などによる多要素認証やクラウドサービスの監視が必須となります。

 

弊社へのお問い合わせは、下記の著者画像横のメールアイコンから

日本で最も信頼できるサイバーセキュリティの情報を発信します。