【セキュリティ】フィッシング詐欺の最新手口と対策

2025.08.17

インターネットの利用が生活やビジネスの中心にある現代社会で、サイバー犯罪は年々巧妙さを増している。その中でも「フィッシング詐欺」は最も身近で、かつ被害が広がりやすい攻撃手法だ。銀行やクレジットカード会社を装ったメール、通販サイトのログイン画面を模した偽サイト、SNSのメッセージを悪用した誘導など形を変えて次々に現れる。
総務省やフィッシング対策協議会の発表によると、フィッシング報告件数は過去最多を更新し続けており、個人だけでなく企業にとっても深刻な脅威となっている。本記事では最新のフィッシング手口と、その被害を防ぐための実践的な対策を整理して解説する。

フィッシング詐欺の最新手口

スマホを狙うSMSフィッシング（スミッシング）

従来はメールを使った攻撃が主流だったが、近年はSMSを悪用する「スミッシング」が急増している。宅配業者や通信キャリアを装ったメッセージで「荷物の再配達はこちら」「利用料金の未払いがあります」といった不安を煽り、偽サイトに誘導する。スマホから直接タップしてしまうため、被害につながりやすい。

正規ドメインを悪用する「サブドメイン型」詐欺

攻撃者は無料で取得できるサブドメインやクラウドサービスを利用し、正規のドメインに見えるURLを巧妙に作り上げる。たとえば「login.paypal.example.com」のように本物に近い構造を持たせ、利用者に安心感を与える。従来の「明らかに怪しいURL」とは異なり、ぱっと見では判別が難しい。

AI生成による高精度な偽メール

生成AIの登場により、これまで不自然な日本語や誤字で見破れた詐欺メールが、自然で違和感のない文章に進化している。カスタマーサポート風の丁寧な文章、企業の広報文に近い文体などが容易に作られるため、経験豊富な利用者でも騙されるリスクが高まっている。

本物サイトの画面を「コピー」したクローンページ

攻撃者は正規サイトのHTMLやデザインをそのまま複製し、ユーザーが違和感なく入力するよう誘導する。パスワード入力後にエラーを表示して本物のログイン画面にリダイレクトする仕組みもあり、利用者自身が被害に気付かないまま認証情報が盗まれる。

QRコードを悪用したフィッシング

店舗やイベントで配布されるQRコードを偽造し、読み取らせることで不正サイトに飛ばす手口も増えている。紙媒体やポスターを介して仕掛けられるため、オンラインだけでなくオフラインの空間でもリスクが存在する。

具体的な事例

宅配便の再配達を装うSMS
- 「お荷物をお届けしましたが不在でした。再配達はこちらから」というメッセージに偽のURLが記載され、リンク先でクレジットカード番号の入力を求められる。
ECサイトのアカウント停止通知
- 「不正アクセスが検出されました。アカウントを確認してください」とメールで連絡し、偽ログインページへ誘導。IDとパスワードを盗まれる。
銀行の本人確認要求
- 「マネーロンダリング防止のため確認が必要です」と銀行を装って案内。入力した情報を使って口座から資金を不正送金される。

これらのケースはいずれも「急がないと不利益が生じる」という心理を突いている。人の焦りや不安を利用するのがフィッシング詐欺の本質だ。