学習

フィッシング詐欺とは? 手口・見分け方・対策・被害時の対応まで完全ガイド

admin · · 最終更新 2026年6月5日 · 5 min read

Phishing Explained — Tactics, detection, prevention, and incident response guide. Illustrations by Storyset
Illustration: Storyset (line, brand-recolored)

「アカウントが停止されました」「お荷物のお届けにあがりましたが不在でした」——そんなメールやSMSのリンクを、つい押してしまいそうになった経験はありませんか。フィッシングは、攻撃の最も身近な入口であり、被害件数が最も多い手口です。本記事は、進化し続けるフィッシングの手口・種類・見分け方・対策・被害時の対応を、専門知識ゼロでも分かるように整理した完全ガイドです。連載「はじめてのセキュリティ」第3回を、フィッシングに絞ってさらに掘り下げます。

フィッシングとは ― 「だまして入力させる」攻撃

フィッシング(phishing)は、銀行・宅配・有名サービス・社内システムなどになりすました偽のメッセージで偽サイトへ誘導し、ID・パスワード・カード情報・ワンタイムコードを自分で入力させて盗む詐欺です。システムを技術的に破るのではなく、人の判断を錯覚させるのが本質。だからこそ、知識のある人でも急いでいるときや不安なときに引っかかります。盗まれた情報は、不正送金・不正利用・アカウント乗っ取り、さらにはランサムウェア侵入の起点にも使われます。

進化する手口 ― 「日本語が変だから偽物」は通用しない

かつての偽メールは、不自然な日本語やロゴの粗さで見分けられました。しかし今は、AIによって文面が自然になり、本物をコピーしたような精巧なものが主流です。「文章がおかしいから偽物」という古い見分け方は、もはや当てになりません。だからこそ、文面の印象ではなく、送信元とリンク先という”事実”で判断する習慣が要になります。

主な種類を知る

  • メール型:最も一般的。請求書・配送通知・パスワード変更依頼を装う。
  • スミッシング(SMS型):宅配不在通知や料金未納を装うショートメール。スマホで開くため油断しやすい。
  • クイッシング(QRコード型):QRコードで偽サイトへ誘導。メール本文のURLフィルタをすり抜ける狙い。
  • ビジネスメール詐欺(BEC):取引先や役員になりすまし、経理に振込先変更・送金をさせる。企業で最も金額被害が大きい。

見抜く7つのチェックポイント

  • ① 送信元アドレスのドメイン:表示名は偽装できる。「@」より後ろの正式ドメインを確認。
  • ② リンク先URL:クリック前にPCはマウスを乗せ、スマホは長押しで遷移先を表示。正規ドメインに似せた別物に注意。
  • ③ 「急かす」「脅す」表現:「24時間以内に」「アカウント停止」など、考える時間を奪う定番手口。
  • ④ 不自然な依頼:パスワードやワンタイムコードを入力・返信させようとする。正規サービスは原則求めない。
  • ⑤ 心当たりの有無:使っていないサービス・頼んでいない宅配からの通知は疑う。
  • ⑥ 入力フォームの要求内容:ログイン直後にカード情報や暗証番号まで求めるのは不審。
  • ⑦ 公式アプリ/ブックマークで確認:メール内リンクを使わず、自分の正規経路でログインして真偽を確かめる。

だまされやすい典型シナリオ

攻撃者は「誰もが心当たりを持ちやすい状況」を装います。宅配の不在通知銀行・カード会社の利用確認社内システムやクラウドのログイン更新税金の還付・未納通知ポイントの失効通知など。いずれも「自分ごと」に感じさせ、焦らせてリンクを押させるのが狙いです。心当たりがあるときほど、いったん落ち着いて公式経路で確認しましょう。

うっかり入力してしまったときの初動

  1. 入力したパスワードをすぐ変更する:同じものを使い回している他サービスも合わせて。使い回しの危険はこちら
  2. 多要素認証(MFA)を確認・有効化する:不正ログインの追加ブロックになる。
  3. カード情報なら、カード会社へ連絡し利用停止・再発行。身に覚えのない請求も確認する。
  4. 会社のメールなら、すぐ情シス/セキュリティ担当へ報告する:隠さず早く伝えることが被害を最小化する。

個人・組織でできる対策

個人は、主要アカウントのMFA有効化メール内リンクを使わず公式アプリから確認する習慣OS・アプリの更新が基本。組織はこれに加えて、BECを防ぐ「振込先変更・高額送金はメール以外で裏取り」ルールメールフィルタリング標的型メール訓練が効きます。技術と運用ルールの両輪で、最初の入口を狭めましょう。

雰囲気で信じず、送信元とURLで確かめる。

Omamori AI の結論

  1. 事実:フィッシングは攻撃の最も身近な入口で、AIにより文面が精巧化し「日本語の不自然さ」での判別は限界。SMS・QRコード型やBECなど手口も多様化している。
  2. 判断軸:文面の印象ではなく、送信元ドメインとリンク先URLという「事実」で判断する。重要な操作(送金・振込先変更)はメール以外で裏取りする。
  3. 打ち手:7つのチェックを習慣化し、メール内リンクではなく公式アプリ/ブックマークから確認する。MFAを有効化し、やってしまったらパスワード変更・カード停止・即報告で被害を抑える。

関連記事

👉 連載 第3回 メールとフィッシング
👉 サポート詐欺とは? 偽の警告画面の手口と対処法
👉 セキュリティ用語集 ― まず押さえたい20語

自社のリスクを手早く把握したい方は、無料の90秒セルフ診断もどうぞ。

TAGS 脅威別解説
SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細