1. はじめに
フィッシングは、独立行政法人情報処理推進機構(IPA)が発表する 「情報セキュリティ10大脅威(個人)」に8年連続で選出されるなど、誰もが直面しうる代表的なセキュリティ脅威です。
現在のフィッシングは、量(件数)と質(内容や手法の巧妙さ)の両面で脅威が一層増大しているといえます。特に2025年春頃には、証券会社を騙るフィッシングが社会問題になりました。
本記事では、フィッシング対策協議会や警察庁などが公表している最新情報をもとに、セキュリティ専門家ではなくても、誰もが押さえておきたいフィッシングメールの最新動向をお伝えします。
企業のセキュリティ担当者の皆様には、社内での教育・注意喚起等の参考としてもご活用いただければと思います。
2. 量の脅威:件数の増加と背景
フィッシングの件数は、近年かつてないペースで増加しています。
フィッシング対策協議会のレポートによると、フィッシングの報告件数は、2024年の171万件から2025年は245万件と大幅(約1.4倍)に増加しました。
2025年にフィッシングで悪用されたブランド数は229件にのぼり、銀行・証券・クレジットカードといった金融系サービスを騙るものが多くを占めています。特に、2025年4~5月にかけて証券会社を騙るフィッシングが猛威を振るい、同年1月には70件程度であった不正取引件数が、同年5月には3000件以上にまで急増しました。
この爆発的な増加については様々な要因が考えられるものの、そのひとつに生成AIの悪用があると考えられます。AIの進化により、日本語という言語の壁がなくなったことで、海外の攻撃者にとって日本へのメール攻撃が容易となりました。Proofpoint社の分析によれば、2025年7月に観測された全世界のメール攻撃のうち、約90%が日本をターゲットにしていたとされています。
3. 質の脅威:フィッシングメールの内容や手法の巧妙化・多様化
量が増えているだけではなく、フィッシングの手口も巧妙化・多様化が進んでいます。ここでは、直近で確認されているフィッシングメールの内容や手法の事例をご紹介します。
社会動向に合わせたフィッシングメール
攻撃者は社会動向を踏まえて非常に巧妙なフィッシングメールを作成しています。
例えば、上述の証券会社を騙るフィッシングの急増を受け、各社はセキュリティ対策強化を打ち出しましたが、それを逆手に取り、「セキュリティ強化のための設定をお願いします」などと騙る文面で偽サイトへ誘導する手口も報告されています。
リアルタイムフィッシング
リアルタイムフィッシングとは、攻撃者が偽サイトで被害者に入力させたID・パスワードやワンタイムパスワードを、その場で正規サイトに入力して不正ログインを試みる手口です。
入力された認証情報を即時に悪用するため、ワンタイムパスワードを使った多要素認証でも突破されるおそれがあります。
ボイスフィッシング
ボイスフィッシングは、メールだけでなく、電話を組み合わせて言葉巧みに情報を聞き出す手口です。
QRコードフィッシング(クイッシング)
QRコードフィッシング(クイッシング) は、メール本文にリンクを直接記載するのではなく、その名の通りQRコードから偽サイトへ誘導する手口です。これは、セキュリティシステムによる検知をすり抜けるための巧妙な手法です。
4. とるべき基本的な対策
本記事では、誰もが押さえておきたい最新のフィッシングメール動向をお伝えしました。手口が巧妙化しても、まずは基本的な対策を徹底することが重要です。
正規サイトにアクセスする
Webサイトにアクセスする際は、メールやSMSのリンクからではなく、あらかじめ登録したブックマークや公式アプリから正規サイトにアクセスしましょう。
安易に認証情報を入力しない
メールやSMSに記載されたリンクでは、IDやパスワードなどの認証情報や個人情報を入力しないようにしましょう。
被害に遭ったらすぐ報告する
万が一被害に遭った場合は、企業用のアカウントであれば自社のセキュリティ部門などに、個人用のアカウントであれば当該サービスの公式窓口などにすぐに報告・相談しましょう。
フィッシング耐性のあるセキュリティ機能を有効化する
サービス提供者側が、フィッシング対策ためのセキュリティ機能を提供している場合は、積極的に活用しましょう。例えば、パスキーは、上述のリアルタイムフィッシングによる多要素認証突破に対する対策となります。
企業と個人の情報を守るため、全員が基本的なセキュリティ対策を徹底していきましょう。
NTT DATA公式アカウントです。 技術を愛するNTT DATAの技術者が、気軽に楽しく発信していきます。 当社のサービスなどについてのお問い合わせは、 お問い合わせフォーム nttdata.com/jp/ja/contact-us/ へお願いします。