フィッシング攻撃の手口とは?
最新事例と実践的対策を解説
【目次】
みなさんは「フィッシング攻撃」という言葉を聞いたことがありますか?
日々の業務でメールを使うビジネスパーソンにとって、フィッシング攻撃は他人事ではありません。実在の企業や組織になりすまして、ユーザーをだまし、個人情報や認証情報を盗み取るサイバー攻撃手法です。
日々の業務でメールを使うビジネスパーソンにとって、フィッシング攻撃は他人事ではありません。実在の企業や組織になりすまして、ユーザーをだまし、個人情報や認証情報を盗み取るサイバー攻撃手法です。
近年はその手口がますます巧妙化しています。本記事では、フィッシング攻撃の基本、最新事例、そして巧妙化する攻撃手口や対策方法について、やさしく解説します。読者のみなさまがフィッシング被害に遭わないためのヒントとして、ぜひご活用ください。
フィッシング攻撃とは?その仕組みと代表的な事例
フィッシング攻撃とは、銀行や有名企業、官公庁といった実在する組織を装ったメールやSMS(ショートメッセージ)を送りつけ、受信者を偽のログインページ等に誘導してユーザー名・パスワード、クレジットカード番号などの個人情報を盗み取る詐欺手法です。
例えば「アカウントが不正利用されています。至急パスワードをリセットしてください。」といった内容で緊急性を煽り、記載されたリンクをクリックさせようとします。リンク先は本物そっくりの偽サイトで、見た目では正規サイトとの違いが分からない場合も多く、ついログイン情報等を入力してしまうと、攻撃者にその情報が渡ってしまいます。
諸説ありますが、「Phishing(フィッシング)」という名称は、「Fishing(釣り)」に由来しているとされています。サイバー犯罪者が巧妙に作られたメールやWebサイトという“エサ”を使って、人間という“獲物”をだまして情報を釣り上げる様子を表現した俗語です。一見スペルが異なるのは、魚釣り(fishing)と洗練(sophisticated)から作られた造語であるという説もあります。
フィッシング攻撃は1990年代末から存在する古典的な手法ですが、近年では手口が巧妙化しています。当初は銀行やクレジットカード会社を装ったシンプルな偽メールが主でしたが、近年では標的や手口が高度化・多様化しており、誰もが注意すべき脅威となっています。
フィッシングメールは、公式ロゴや正規ドメインを使用し、本物と見分けがつかないケースもあります。さらに、メール以外にもSMSやSNSのダイレクトメッセージ、電話(ボイスフィッシング)など多様な手段で仕掛けられるため注意が必要です。
【2025年最新】フィッシング攻撃事例とその手口
2025年に発生したフィッシング攻撃の事例の中から、直近の主な事例をいくつかご紹介します。
※本記事で紹介する事例の詳細については、文末の注釈をご参照ください。
1. CoGUIフィッシングキットによる大規模攻撃(2025年1月~4月):
海外の攻撃グループによる大規模なフィッシング攻撃が確認されました。この攻撃では、「CoGUI(コグイ)(※1)」と呼ばれる高度なフィッシングキットが使用され、日本国内におよそ5.8億通ものフィッシングメールが大量に送信されました。
※1 CoGUI(コグイ):
攻撃者向けに開発されたフィッシングキットの一つで、偽サイトの自動生成機能や、アクセス元の判別機能(IPアドレスやブラウザの情報の取得)を備えています。効率的かつ検知されにくい攻撃を行うための「攻撃支援ツール」として海外で流通しています。
この攻撃では、大手ECサイト、大手IT企業、行政機関などの実在する組織を装ったメールが使われ、受信者を偽のログインページに誘導し、IDやパスワード、クレジットカード情報を盗み取るという手口が取られていました。
この攻撃の特徴は、フィッシングメール内のリンクをクリックしてもページがすぐに表示されない点にあります。そのタイミングで、攻撃者は、アクセス元のIPアドレス、ブラウザの種類、言語設定などを裏で調査し、日本からのアクセスであると判断した場合のみ、偽サイトを表示します。それ以外のユーザーには正規サイトへ転送する仕組みとなっており、セキュリティ対策による検知を回避する非常に巧妙な設計がなされていました。
このように、標的を絞って見せる相手を選ぶことで、発見や対策が困難となる非常に高度な攻撃となっています。現在のフィッシング攻撃がどれほど進化しているかを象徴する事例と言えるでしょう。
2. スマホ決済サービスをかたるフィッシング攻撃(2025年5月):
日本で利用者の多いスマホ決済サービス(以下、A社)をかたるフィッシングメールが確認されています。
件名は「5月の請求予定金額のお知らせ」など、公式の請求案内に見せかけた内容です。メール本文のリンクをクリックすると、一度本物のA社のサイトに誘導され、ログイン画面が表示されます。しかし、実際にはその裏で不正な連携処理が行われ、ユーザーが気づかないうちに第三者への送金が実行される仕組みとなっています。
フィッシング対策協議会の報告によれば、2025年5月21日13時時点でもこの偽サイトは稼働中で、JPCERTコーディネーションセンター(JPCERT/CC)(※2)と連携して閉鎖対応が進められています。
メールの見た目やリンク先が本物のサイトに非常に似ており、詐欺に気付きにくいため、A社も公式に注意喚起を行っています。
※2 JPCERTコーディネーションセンター (JPCERT/CC):
日本のサイバーセキュリティの緊急対応機関で、サイバー攻撃や不正アクセスに対して早期対応し、被害拡大を防ぐために情報提供や対策を行っています。
3. 国内証券会社(以下、B証券会社)をかたるフィッシング攻撃(2025年6月16日):
件名は「〖B証券会社〗セキュリティシステム改定のお知らせ」など、重要なお知らせに見せかけたものです。本文中のリンクをクリックするとB社のログインページに非常に似た偽のサイトに誘導され、そこで口座番号やログインID・パスワード等の入力を促します。
2025年6月16日12:00時点で、このフィッシングサイトが依然として稼働中であることが確認されており、現在JPCERT/CCにサイト閉鎖の依頼が出されています。この攻撃は、証券会社の顧客を狙った、金融情報を詐取する目的のものです。
4. 大手証券会社(以下、C証券会社)をかたるフィッシング攻撃(2025年6月16日):
B証券会社を狙ったフィッシング攻撃と同じ日に、C証券会社を装ったフィッシングメールも報告されました。
件名には「本人確認未完了に関する重要なお知らせ」や、「ログイン時の追加認証をご確認ください(C証券会社)」など、複数のメールが確認されています。メール内のリンクをクリックすると、C証券会社のログインページに似た偽サイトに誘導され、支店コードや口座番号、ログインID・パスワード等の重要な情報の入力が求められます。
このフィッシングサイトも、確認時点で依然として稼働しており、JPCERT/CCに閉鎖の依頼が出されています。短期間に複数の金融機関をターゲットにした攻撃が続いていることから、計画的かつ組織的な犯行の可能性が高いとされています。
出展:フィッシング対策協議会
以上のように、フィッシング攻撃は不特定多数の一般消費者を狙った大規模なもの(例: CoGUIによる大量メール配信)から、特定企業の顧客を狙い撃ちするもの(例: 証券会社を装った標的型メール)まで様々な形で発生しています。
いずれの場合も、受信者にとっては「普段使っているサービスからの本物の通知」に見えるため、だまされてしまうリスクがあります。
さらに最近では、フィッシング詐欺の手口そのものが高度化し、従来は有効だったセキュリティ対策すらかいくぐる新たな攻撃も登場しています。その代表的な例が、次に説明する二要素認証を突破する新型のフィッシング攻撃です。
二要素認証も突破?進化するフィッシング攻撃の新手口
通常、重要なアカウントを守る手段として、二要素認証(※3) が広く使われています。
※3 二要素認証:
別名、二段階認証、2FA、MFAなどとも呼ばれ、ログインIDやパスワードに加え、ワンタイムコードなど追加認証要素を要求する方式です。
別名、二段階認証、2FA、MFAなどとも呼ばれ、ログインIDやパスワードに加え、ワンタイムコードなど追加認証要素を要求する方式です。
ところが最近、二要素認証をも突破する新たなフィッシング攻撃が報告され始めました。その中でも特に注目されているのがEvil Proxy(イビル・プロキシー)(※4)という手法です。
※4 Evil Proxy(イビル・プロキシー):
「悪意のあるプロキシ」を意味し、リバースプロキシ(※5)を悪用する攻撃手法です。攻撃者は、ユーザーと本物のWebサービスの間に偽の中継サーバーを挟み込み、ユーザーのログイン通信を途中で傍受します。
「悪意のあるプロキシ」を意味し、リバースプロキシ(※5)を悪用する攻撃手法です。攻撃者は、ユーザーと本物のWebサービスの間に偽の中継サーバーを挟み込み、ユーザーのログイン通信を途中で傍受します。
※5リバースプロキシ:
ユーザーからのリクエストを受け、本来のサーバーに転送する「裏方」のサーバーです。ユーザーはリバースプロキシを正規のサーバーと誤認しやすく、攻撃者はこの特性を悪用して“なりすまし中継”を仕掛けます。
ユーザーからのリクエストを受け、本来のサーバーに転送する「裏方」のサーバーです。ユーザーはリバースプロキシを正規のサーバーと誤認しやすく、攻撃者はこの特性を悪用して“なりすまし中継”を仕掛けます。
Evil Proxy攻撃の最大の特徴は、二要素認証で守られたログイン情報をもリアルタイムで盗み取る点にあります。これにより、IDやパスワードだけでなく、認証コード(ワンタイムパスワード)も攻撃者の手に渡り、攻撃者が正規のユーザーに成りすましてログインできてしまうのです。
では、Evil Proxyによる攻撃は具体的にどのように行われるのでしょうか?具体的な流れを見てみましょう。
1. フィッシングメール送信:
攻撃者が標的ユーザーに偽の警告メール(例:「パスワード期限切れ」通知)を送り、リンクをクリックさせます。
2. 偽ログインページ誘導:
ユーザーがリンクをクリックすると、本物そっくりの偽ログインページ(攻撃者のEvil Proxyサーバー)に誘導されます。正規のログイン画面をそのまま映し出した偽サイトです。
3. 資格情報の窃取:
ユーザーがIDとパスワードを入力すると、その情報はEvil Proxyを通じて攻撃者に送信され、すぐに記録されます。これで、ユーザーのログイン情報が盗まれます。
4. 二要素認証コードの傍受:
正規サイトが要求する二要素認証コードを入力すると、Evil Proxyがそのコードを傍受して攻撃者に送信します。攻撃者はそのコードで正規サイトにログインし、アカウントのセッションを乗っ取ります。
5. アカウントの一時的ななりすまし:
攻撃者は一時的に正規ユーザーになりすまし、内部情報を盗んだり、さらにフィッシング攻撃を仕掛けたりして、被害を広げます。
以上の流れにより、攻撃者はユーザーのログインセッション情報(認証Cookieなど)を横取りして、二要素認証を含む認証手順を突破します。ユーザーから見ると確かに二要素認証まで完了しているのに、なぜか乗っ取られているという非常に厄介な事態が生じるわけです。
企業のメールアカウントやクラウドストレージに不正アクセスされれば、社内の機密情報や顧客情報が流出するなど、深刻な被害につながる可能性があります。こうしたリスクに対しては、段階的かつ現実的な対策の積み重ねが重要です。
たとえば、指紋認証や物理キーを使ったFIDO2/WebAuthn(ウェブオースン)(※6)などの高度な認証方式は非常に有効ですが、導入には時間やコストがかかるため、すぐにすべてのシステムに適用するのは難しい企業も少なくありません。弊社では、こうした現場の課題に寄り添いながら、段階的な導入支援や教育施策の設計など、実行可能な対策を一緒に検討・支援しています。
※6 FIDO2/WebAuthn:
FIDO2は、パスワードなしで生体認証やセキュリティキーを使う認証技術で、WebAuthnはそれをWebに対応させる標準規格です。高いセキュリティを提供し、フィッシング攻撃に強い特徴があります。
そこで、技術的対策と並行して取り組みやすく、効果が期待される対策の一つとして注目されているのが「社員のセキュリティ意識を高める教育」です。実際にこうした教育施策については、多くの企業が関心を寄せており、現場での取り組みが進みつつあります。本記事が、皆さまの社内での対策検討や意識向上の一助となれば幸いです。
フィッシング攻撃の効果的な対策とは?社員のセキュリティ教育がポイント
フィッシング攻撃の脅威と巧妙さが増す中で、最終的な防御策となるのは社員一人ひとりの判断力です。実際、ある調査によれば、サイバー攻撃の成功事例の多く(約90%)にソーシャルエンジニアリング(※7)が関与しているとも言われています。
※7 ソーシャルエンジニアリング:
人間の心理や行動を利用して、パスワードや個人情報などをだまし取る手法です。
いくら最新のセキュリティ製品を導入しても、最終的に社員が詐欺メールを開いてしまっては被害を防げません。そのため、「人は最後の防衛線」として位置づけ、社員へのセキュリティ教育(セキュリティ意識向上トレーニング)を強化することがフィッシング対策の要となります。
幸い、社員教育と訓練の効果は、データでも実証されています。セキュリティ教育サービスを提供している企業の調査によると、定期的にセキュリティ研修や模擬フィッシング訓練を実施している企業では、社員が実際のフィッシングメール内の不正リンクをクリックしてしまう割合が大幅に低減したとの報告があります。
つまり、社員も訓練次第で「怪しいメールを見抜き、被害を防ぐスキル」を身につけられるのです。米国政府機関の推奨でも、「ユーザーこそ最後の防衛線であり、少なくとも月1回のセキュリティ研修と週1回の模擬フィッシング演習を継続的に行うこと」が推奨されています。
もちろん、すべての企業が月1回の研修や週1回の演習をすぐに実施できるわけではありませんが、まずはできるところから継続的な教育を取り入れていくことが、被害防止につながる第一歩となります。
特に模擬フィッシングメールを使った演習は、自分が引っかかりやすいポイントを学べる有効な訓練法です。日頃から訓練を積んだ社員は、実際の怪しいメールに遭遇した際も「おかしいぞ?」と直感的に気付きやすくなり、結果として企業全体の人的防御力(ヒューマンファイアウォール)が高まります。
まとめと対策:フィッシング攻撃から企業を守るために
ここまで、フィッシング攻撃の基本から最新の事例、さらに高度化する手口と対策について解説してきました。
フィッシング攻撃はメールやSMSなど身近な経路で日常的に発生し、誰もが標的になり得る脅威です。その手口は年々巧妙になり、場合によっては二要素認証さえすり抜けて私たちの大事な情報やお金を狙ってきます。
技術的なセキュリティ対策(メールフィルタや認証強化など)を講じることはもちろん重要です。しかし、それだけでは万全とは言えません。最終的に自社を守るカギとなるのは、社員一人ひとりのセキュリティ意識と行動です。
ぜひ本記事で紹介した事例や手口、対策ポイントを社内でも共有し、「疑わしいメールやリンクは開かない」、「少しでも怪しいと感じたら確認・報告する」という習慣を身につけてください。それがフィッシング被害を未然に防ぎ、皆さん自身と会社を守ることにつながります。
弊社では、SaaS型のセキュリティ意識向上トレーニングプラットフォーム「KnowBe4」(ノウビフォー)と、アウトソース型セキュリティ訓練プラットフォーム「AironWorks」(アイロンワークス)の提供を通して、社員のセキュリティリテラシー向上フィッシング耐性の強化を支援しています。継続的なトレーニングやシミュレーションを通じて、「引っかからない社員」「報告できる社員」を育てる取り組みを、各企業の状況にあわせてご支援しています。
ぜひこうしたサービスも活用し、技術と人の両面からフィッシング対策を万全に整えていきましょう。
技術と人の両面からフィッシング対策を進めるためのヒントや事例については、弊社Webサイトでもご紹介しています。
詳しくは以下をご覧ください。
セキュリティ意識向上トレーニングプラットフォーム「KnowBe4」
https://security.dentsusoken.com/knowbe4/
電通総研KnowBe4関連資料ダウンロード:
https://security.dentsusoken.com/download/knowbe4/
セキュリティ意識向上トレーニングプラットフォーム「KnowBe4」
https://security.dentsusoken.com/knowbe4/
電通総研KnowBe4関連資料ダウンロード:
https://security.dentsusoken.com/download/knowbe4/
アウトソース型セキュリティ教育サービス「AironWorks」
https://security.dentsusoken.com/aironworks/
https://security.dentsusoken.com/aironworks/
※本記事で紹介している事例や攻撃手法は、すべて公的機関や報道などの公開情報をもとに編集したものであり、特定企業や個別の対応状況を断定・批判する意図はありません。現在も調査・対応が進行中の可能性があるため、詳細は各機関の最新情報をご確認ください。
