フィッシングメールとは
フィッシング(Phishing)メールは、信頼できる企業や組織を装って個人情報やクレジットカード情報を騙し取る詐欺メールです。
被害の実態
フィッシング対策協議会の報告によると、日本国内のフィッシング報告件数は年々増加しています。
| 年 | 報告件数(概数) |
|---|---|
| 2022年 | 約97万件 |
| 2023年 | 約119万件 |
| 2024年 | 約171万件 |
| 2025年 | 約200万件超 |
フィッシングの目的
| 目的 | 狙われる情報 |
|---|---|
| 金銭詐取 | クレジットカード番号、銀行口座 |
| アカウント乗っ取り | ログインID、パスワード |
| 個人情報収集 | 氏名、住所、電話番号、マイナンバー |
| マルウェア感染 | 添付ファイルの実行を誘導 |
フィッシングメールの見分け方
チェックポイント1: 送信元アドレスを確認
最も重要なチェックポイントです。表示名が正規のものでも、実際のメールアドレスは異なることがあります。
よくある偽装パターン
| 正規アドレス | 偽装アドレス | 手口 |
|---|---|---|
[email protected] | [email protected] | 0(ゼロ)とo(オー)の置換 |
[email protected] | [email protected] | サブドメイン追加 |
[email protected] | [email protected] | ドメイン付加 |
[email protected] | [email protected] | rn → m に見せかけ |
確認方法
- メールヘッダーを確認: メールの詳細ヘッダーで
From:,Return-Path:,Received:を確認 - ドメインを確認:
@の後のドメインが正規のものか確認 - SPF/DKIM/DMARCの確認: メールクライアントが認証結果を表示する場合がある
チェックポイント2: URLを確認
メール内のリンクにマウスを重ねて(クリックせずに)、実際のリンク先URLを確認します。
危険なURLの例
| 表示テキスト | 実際のURL | 危険性 |
|---|---|---|
| amazon.co.jp | https://amazon.co.jp.evil.com/login | サブドメイン偽装 |
| ログインはこちら | https://amaz0n-login.com/ | 類似ドメイン |
| 確認する | https://bit.ly/xxxxx | 短縮URL(リンク先不明) |
URL確認のポイント
- ドメイン名が正しいか(
amazon.co.jpであってamazon.co.jp.xxx.comでないか) - HTTPSになっているか(ただしHTTPSでも偽サイトは存在する)
- 短縮URLは使われていないか
- URLを直接入力して公式サイトにアクセスする方が安全
チェックポイント3: 文面の不自然さ
| チェック項目 | 怪しいサイン |
|---|---|
| 日本語の品質 | 不自然な敬語、機械翻訳的な表現 |
| 緊急性の強調 | 「24時間以内」「今すぐ」「アカウント停止」 |
| 宛名 | 「お客様各位」など個人名がない |
| 脅迫的な表現 | 「対応しないと法的措置」 |
| 過大な報酬 | 「100万円当選」「特別割引」 |
チェックポイント4: 添付ファイル
| 危険なファイル形式 | 説明 |
|---|---|
.exe, .scr, .bat | 実行ファイル(絶対に開かない) |
.zip, .rar with password | パスワード付き圧縮(セキュリティソフトがスキャンできない) |
.docm, .xlsm | マクロ付きOfficeファイル |
.html, .htm | フィッシングサイトのローカルコピー |
最新のフィッシング手口(2026年版)
1. AI生成フィッシング
生成AIを使って、自然な日本語のフィッシングメールが作成されるようになっています。従来の「日本語が不自然」という判別基準が通用しなくなりつつあります。
2. QRコードフィッシング(Quishing)
メール内にQRコードを配置し、スマホでスキャンさせて偽サイトに誘導する手口です。PCのセキュリティソフトではQRコード内のURLを検査できません。
3. ディープフェイク音声/動画
上司や取引先の音声をAIで生成し、電話やビデオ通話で指示を出す手口が出現しています。
4. 中間者攻撃(Adversary-in-the-Middle)
正規サイトとユーザーの間にプロキシを設置し、リアルタイムでセッション情報を中継する高度な手口です。2FAのワンタイムパスワードも盗まれる可能性があります。
5. 宅配便を装う SMS フィッシング(スミッシング)
「不在のため荷物を持ち帰りました」というSMSでフィッシングサイトに誘導します。
具体的なフィッシングメール例
例1: Amazonを装うメール
件名: 【重要】お支払い方法の更新が必要です
Amazon.co.jp をご利用いただきありがとうございます。
お客様のアカウントで不審なアクティビティが検出されました。
24時間以内に以下のリンクからお支払い方法を更新してください。
[お支払い方法を更新する]
※本メールに心当たりのない場合は、無視してください。怪しい点:
- 個人名が記載されていない
- 緊急性を煽っている(24時間以内)
- リンク先がamazon.co.jpではない可能性
例2: 銀行を装うメール
件名: 【三菱UFJ銀行】重要なお知らせ
三菱UFJ銀行をご利用いただきありがとうございます。
システムアップグレードのため、お客様の口座情報の
確認が必要です。下記URLよりお手続きをお願いいたします。
https://mufg-bank.secure-update.com/verify怪しい点:
- ドメインが
mufg.jpではなくsecure-update.com - 銀行がメールで口座情報の確認を求めることはない
被害にあった場合の対処法
すぐにやるべきこと
- パスワードを即座に変更 — 被害にあったサービスのパスワード
- 2FAを設定 — まだ設定していない場合
- クレジットカード会社に連絡 — カード情報を入力した場合、利用停止
- 銀行に連絡 — 口座情報を入力した場合
- 他のサービスも確認 — 同じパスワードを使い回していた場合はすべて変更
報告先
| 報告先 | 内容 |
|---|---|
| フィッシング対策協議会 | [email protected] |
| 警察(サイバー犯罪相談窓口) | 各都道府県の窓口に連絡 |
| 消費者ホットライン | 188 |
| 迷惑メール相談センター | 一般財団法人日本データ通信協会 |
フィッシング対策のベストプラクティス
技術的な対策
| 対策 | 効果 |
|---|---|
| 2FAの設定 | パスワード漏洩時もアカウントを保護 |
| パスワードマネージャー | 偽サイトではオートフィルが動作しない |
| メールの迷惑メールフィルタ | 多くのフィッシングを自動ブロック |
| ブラウザのフィッシング警告 | Google Safe Browsing等 |
| セキュリティソフト | リアルタイムでフィッシングサイトをブロック |
行動面の対策
- メール内のリンクをクリックしない — 公式サイトに直接アクセスする習慣を
- 緊急性を煽るメールは疑う — 正規の企業はメールで緊急対応を求めない
- 個人情報をメールで送らない — 企業がメールで個人情報を求めることはない
- 不審なメールは開かない — 添付ファイルは特に注意
- 定期的にアカウントの活動履歴を確認 — 不審なログインがないかチェック
パスワードマネージャーの活用
パスワードマネージャーは、登録済みのURLでのみオートフィルが動作します。フィッシングサイト(偽URL)ではオートフィルが動作しないため、フィッシング対策として非常に効果的です。
よくある質問
Q: フィッシングメールを開いただけで危険?
メールを開いただけでは通常は被害はありません。ただし、HTMLメール内のトラッキングピクセルで「メールを開いた」ことが送信者に通知される場合があります。リンクをクリックしたり、添付ファイルを開かなければ基本的に安全です。
Q: 正規のメールかどうかを確認する方法は?
メール内のリンクは使わず、ブラウザで公式サイトに直接アクセスして、アカウントの通知やお知らせを確認してください。
Q: 会社のメールでフィッシングを受けた場合は?
すぐに情報システム部門に報告してください。個人で対処せず、組織として対応する必要があります。
まとめ
フィッシングメールから身を守るための5つの原則:
- 送信元アドレスを必ず確認する
- URLにマウスを重ねて確認(クリック前に)
- 緊急性を煽るメールは疑う
- 公式サイトに直接アクセスする習慣を持つ
- 2FAとパスワードマネージャーを使う
強力なパスワードの生成と管理には Assistyのパスワード生成ツール をご利用ください。安全なパスワードと2FAの組み合わせで、フィッシング被害のリスクを大幅に軽減できます。