ご契約様専用ページ

ID / パスワードをお忘れの方は こちら
※メーラが立ち上がります

※メーラが自動で立ち上がらない方は、
g-security@dentsusoken.com 宛てに
契約中のソリューション名(SecurityScorecard/KnowBe4)と
お客様情報をご連絡お願いいたします。

  1. ホーム
  2. コラム
  3. サイバー攻撃事例から学ぶ! メール攻撃と実践的対策を解説

サイバー攻撃事例から学ぶ!
メール攻撃と実践的対策を解説

  • #セキュリティ対策

【目次】

  1. 1.増え続けるメールを使ったサイバー攻撃
  2. 2.メールを使ったサイバー攻撃手法を用語とともに解説
  3. 3.国内におけるメールを使ったサイバー攻撃の状況
  4. 4.商談中に…営業現場で直面したサイバー攻撃の事例
  5. 5.メールを使ったサイバー攻撃に必要な対策

近年、国内企業におけるサイバー攻撃の被害は年々増加しており、ほぼ毎週のように被害報告が公表されています。攻撃の侵入経路は事例ごとに異なりますが、近年は「メール」を利用した手口が増加傾向にあります。

 

しかし、サイバー攻撃対策のために社内メールの利用を停止するといったことは現実的ではありません。そのため、メールを用いたサイバー攻撃の増加・巧妙化は企業のIT・セキュリティ担当者にとって頭の痛い問題になっています。

 

本記事では、メールを悪用したサイバー攻撃の最新動向と攻撃事例、企業が検討するべき有効な対策について詳しくご紹介します。

増え続けるメールを使ったサイバー攻撃

以下は情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威 [組織]」の最新版です。

出典:情報処理推進機構(IPA)「情報セキュリティ10大脅威 2025

        https://www.ipa.go.jp/security/10threats/10threats2025.html

 

 

「情報セキュリティ10大脅威 2025」では、ランサムウェア攻撃、組織の機密情報を狙った攻撃、さらにビジネスメール詐欺など、特定の企業・組織を直接狙う脅威が多数ランクインしています。これらの攻撃は、特定のターゲットに対して仕掛けられる「標的型攻撃」として分類され、依然として社会的な影響が大きく、深刻な脅威と考えられています。

 

「標的型攻撃」の手法の一つに「フィッシングメール」があります。攻撃者は、業務で見慣れた文面を装ったメールを送信します。さらに、「至急対応が必要」といった緊急性を強調したり、「自分のミスかもしれない」と思わせるような表現を使ったりして、メール受信者に焦りや罪悪感を与えます。

 

こうした心理誘導によって判断力を鈍らせ、不正プログラムのダウンロードや情報入力を誘導します。

 

以下はその一例です。

 

(1)取引先からの見積や請求書等の送付を装い、添付ファイルを開かせる
 メール件名の例:
  ・(早急にご確認ください)金額修正依頼
  ・【至急】請求金額をご確認ください など


(2)社内の関係者からの通知を装って偽のログイン画面に誘導させ、社内システムのID/パスワードを入力させる
 メール件名の例:
  ・(至急)社内システムパスワード変更依頼
  ・(確認依頼)賞与振込通知 など


(3)社内や取引先の関係者を装って、偽の銀行口座に金銭を振り込ませる
 メール件名の例:
  ・【至急】入金依頼
  ・CFOからの緊急指示 など

 

近年、テレワークの普及により、業務時間中でも社内関係者とリアルタイムで連絡を取ることが難しい場面が増えています。その結果、怪しいメールを受け取ってもすぐに確認できず、受信者がフィッシングメールに騙されるリスクが高まっていることも要因の一つです。
 
また、以前のフィッシングメールは、日本語や文章に不自然な点が多く、ひと目で偽物と見抜けるケースが一般的でした。しかし、最近では生成AIの進化により、攻撃メールの精度が大幅に向上しており、見極めが難しくなってきています。
 
もちろん「メール」を用いた攻撃は企業や組織を標的とするだけではなく、個人保有のアカウント情報や資産も依然として標的になっています。今年に入って証券口座の乗っ取り被害が急増しています。多くは、証券会社からのメールを装った偽メールを使い、ユーザーからID・パスワードをだまし取る手口によるものです。
 
このように、メールを用いたサイバー攻撃は、企業・組織だけでなく、個人の資産や情報も標的となっており、被害はますます広がりを見せています。攻撃の手法は多様化しています。企業や個人が被害を防ぐためには、攻撃手口を正しく理解し、適切な対策を講じることが不可欠です。次は、代表的なメールを使ったサイバー攻撃の手法について、目的や特徴を詳しく見ていきましょう。
 

メールを使ったサイバー攻撃手法を用語とともに解説

メールを使った攻撃には、どのような手法があるのでしょうか。具体的な攻撃手法を用語とともに解説します。

・フィッシング攻撃

主な目的:認証情報・個人情報の詐取
概要:銀行や企業などを装った偽のメールやWebサイトを使い、利用者からID・パスワード、クレジットカード情報などの重要な情報を不正に取得する攻撃。見慣れた送信元や文面で信頼させ、偽サイトへ誘導するのが特徴。

・スピアフィッシング攻撃

主な目的:機密情報の窃取、マルウェア感染
概要:特定の企業や個人を狙って行われるフィッシング攻撃。攻撃者は、標的の業務内容や人間関係を事前に調査したうえで、実在の人物や取引先になりすまし、精巧なメールを送信する。企業の機密情報・重要情報を盗んだり、マルウェアに感染させ標的企業へ侵入経路を作成したりするのが目的。

・ビジネスメール詐欺(BEC)

主な目的: 金銭の詐取
概要:企業の経営者や取引先になりすまし、経理担当者等に偽の送金依頼や請求書をメールで送りつけ、不正に金銭をだまし取る攻撃手法。実際のやり取りを模倣した精巧な文面が使われることが多く、特に「海外の取引先への送金」など大きな額の金銭の移動のタイミングを狙って実行されることが多いのが特徴。

・ランサムウェア攻撃

主な目的: 金銭要求、業務妨害
概要:メールに添付されたファイルやリンクを開かせることで、受信者のパソコンにランサムウェア(身代金要求型マルウェア)を感染させる攻撃手法。感染するとファイルが暗号化され、解除と引き換えに金銭を要求される。近年では、暗号化に加え、「盗んだデータを公開する」と脅す二次脅迫(二重恐喝)も増えている。企業の信用失墜や取引停止といった深刻な被害につながるケースが多い。

・ソーシャルエンジニアリング

主な目的: 情報の詐取、信頼の悪用、攻撃補助
概要:人の心理や行動のスキを突いて情報を引き出す攻撃手法。メールでの攻撃では、「至急対応が必要」「上司からの依頼」などの言葉で緊張感や信頼を利用し、添付ファイルの開封や情報提供を誘導する。技術的対策だけでは防ぎにくく、教育や注意喚起などの人的対策を組み合わせることが必要。
攻撃手法 主な目的 概要
フィッシング 認証情報・個人情報の詐取 偽メール・偽サイトで情報を盗む
スピアフィッシング 機密情報の窃取、マルウェア感染 特定の人物を狙った精巧な攻撃
BEC 金銭の詐取 経営者や取引先になりすまし送金を誘導
ランサムウェア 金銭要求、業務妨害 ファイル暗号化+二重恐喝
ソーシャルエンジニアリング 情報の詐取、信頼の悪用、攻撃補助 心理的誘導で情報を引き出す
 
以上が、代表的なメールを用いたサイバー攻撃の手法です。これらの攻撃は、単独で使われるだけでなく、複数の手法を段階的に組み合わせて実行されることもあります。その結果、企業内部のネットワークに不正アクセスし、金銭や機密情報を盗み取るといった深刻な被害につながるケースも多く存在しています。
 

また、これらの攻撃手法は、実際に国内でも多くの事例が報告されており、企業や個人が被害に遭うケースが後を絶ちません。次に、国内におけるメールを使ったサイバー攻撃の状況について、事例や傾向を見ていきましょう。

国内におけるメールを使ったサイバー攻撃の状況

それではメールを使ったサイバー攻撃の国内事例の件数や内容はどういった状況なのでしょうか。
 
まず、件数に関しては、フィッシング対策協議会が公開している「フィッシング報告件数」のデータを見てみましょう。フィッシングメールによる攻撃は、高い水準で継続しており、2025年3月には過去最多の件数が報告されました。
出典:フィッシング対策協議会「フィッシング報告件数」
   https://www.antiphishing.jp/report/monthly/202505.html
 
次に、メールの内容に関しては、フィッシング対策協議会が実際に報告されたフィッシングメールの事例を公開しています。国内企業・サービス名を悪用したフィッシングが多く報告されている状況です。
 
また情報処理推進機構(IPA)の公式サイトには、ビジネスメール詐欺の事例集を公開されています。
 
出典:フィッシング対策協議会 事例公開
     https://www.antiphishing.jp/news/database/
      ビジネスメール詐欺の事例集を見る
     https://www.ipa.go.jp/security/bec/bec_cases.html
 
 
最後に国内企業・団体が被害に遭ったフィッシング攻撃の事例をいくつか紹介いたします。
 
事例①:某製造業A社におけるBEC被害
概要:海外子会社がBEC(ビジネスメール詐欺)により約5億円を送金してしまう被害。
 
事例②:某エンターテインメント系企業B社におけるランサムウェア攻撃被害
概要:フィッシングなどの攻撃により従業員のアカウント情報が窃取。当該アカウントから社内ネットワークに侵入され、ランサムウェア感染および個人情報漏えいが発生。
 
事例③:某政府系法人Cにおけるマルウェア攻撃被害
概要:メールで送信された添付ファイルを職員が開封し、当該職員の端末がマルウェアに感染。ネットワーク内の個人情報の漏えいが発生。
 

商談中に…営業現場で直面したサイバー攻撃の事例

国内でも多くのメール攻撃が報告されていますが、筆者自身も企業様との対話の中で実際にその現場に遭遇したことがあります。筆者は国内企業様向けにセキュリティソリューションを提案する営業担当です。
 
某国内有名企業のIT担当者様との商談中に、同社の従業員から「不審メールに記載のURLリンクをクリックしてしまった」という報告が寄せられました。URLのリンク先には、おそらく同企業のシステムログイン画面を模したであろうWEBページが表示されており、おそらく社内システムの認証情報(ID/パスワード)を詐取する目的と推測されました。
 
幸いにも、報告を行った従業員は認証情報の入力前に不審を感じ、IT部門へ速やかに報告したことで、情報を盗まれる事態には至りませんでした。

メールを使ったサイバー攻撃に必要な対策

メールを使ったサイバー攻撃に対してシステム的に防御する対策としては、ファイアーウォール、メールフィルター、サンドボックス・・・などといったソリューションが多数存在しています。
 
しかしシステム的な防御策だけでは限界があります。生成AIなどを用いた攻撃者側の技術向上によって、攻撃メールがメールフィルターやサンドボックス等での検知を回避するケースが少なくないためです。
 
そのため、最終的には人の意識を高めることで、サイバー攻撃への防御力を強化する必要があります。企業が「人の防御壁」を築くには、従業員教育だけでなく、訓練や効果測定を含めた継続的な仕組みづくりが求められます。これらの取り組みを組み合わせることで、人的対策としての実効性が高まります。
 
当社は、SaaS型のセキュリティ意識向上トレーニングプラットフォーム「KnowBe4」(ノウビフォー)と、アウトソース型セキュリティ訓練プラットフォーム「AironWorks」(アイロンワークス)の提供を通じて、これら3つのサイクルを継続させ、企業における「人の防御壁」強化を支援しています。当サイトでは、企業のセキュリティ対策における「人的対策」の必要性に関する資料を多数ご用意しています。ご興味のある方は、資料をご覧いただき、セキュリティ対策の検討にお役立ていただければ幸いです。
 
セキュリティ意識向上トレーニングプラットフォーム「KnowBe4」
https://security.dentsusoken.com/knowbe4/
電通総研KnowBe4関連資料ダウンロード:
https://security.dentsusoken.com/download/knowbe4/
アウトソース型セキュリティ教育サービス「AironWorks」
https://security.dentsusoken.com/aironworks/
CTA

関連記事

お問い合わせ
CTA