【一緒にセキスペになろう！】サイバー攻撃の怖い話② フィッシングメール攻撃編

「あれ？このメール、ちょっと怪しいかも…」
そんな直感、実はとても大事です。最近のフィッシング攻撃は本当に巧妙。見た目は本物にそっくりで、文面も自然、しかもセキュリティ証明までついていることも。
前回の記事では、サプライチェーン攻撃という“外部からの侵入”に焦点を当てましたが、今回はその“入口”となることも多いフィッシングメールに注目します。そのメール、見た目は無害でも、実は企業の命運を左右する危険な1通かもしれません。

“本人確認未完了”の罠──大手証券会社をかたるフィッシングメールの恐怖

「未設定のままでは危険です」──1通のメールが資産を奪う瞬間

とある日のこと、某証券会社の顧客が、口座に突如として 異常な取引が発生していることに気が付きました。調査の結果、原因は「大手証券会社を装ったフィッシングメール」でした。メールに記載された偽のログインページに情報を入力したことで、アカウントが乗っ取られてしまい、株の売買が勝手に行われていたのです。
この事件は氷山の一角に過ぎません。フィッシング対策協議会によると、2025年4月のフィッシング報告件数は246,580件。そのなかでも、証券会社をかたるフィッシングが急増し、実際に口座乗っ取りや損失が発生した事例も報告されています。
これが個人ではなく、企業だったら…。あなたの会社の社員が、たった1通のメールを開いたことで、顧客情報が漏えいし、株価が暴落する――そんな“企業の死角”が、今まさに狙われているのです。

引用：フィッシングメール対策協議会 月次報告書

大手証券会社をかたるフィッシング攻撃の全貌とその被害

事例の概要

2025年6月、フィッシング対策協議会は大手証券会社をかたるフィッシングメールの急増を受け、緊急情報を公開しました。報告されたメールの件名は以下のようなものです。：

• 本人確認未完了に関する重要なお知らせ
• 【ログイン環境に異常検知】追加認証未設定のままでは強制保護措置が適用されます 
• 【未設定のままでは危険です】ログイン時の追加認証をご確認ください 
• セキュリティ制度未対応のためログイン制限の対象となる可能性があります
• 未設定アカウントへの最終通知

これらのメールは、本物の大手証券会社の画面をコピーした偽サイトのURLが記載されており、支店コード・口座番号・ログインID・パスワードなどの入力を促すものです。

引用：フィッシングメール対策協議会 緊急情報 (2025/06/16)

被害の状況

このフィッシング攻撃によって、実際に複数の被害が報告されています。フィッシング対策協議会によると、問題のメールに記載された偽のログインページはJPCERT/CCが閉鎖対応を進めているとのことですが、類似のフィッシングサイトが公開される可能性もあるため、引き続き注意が必要です。被害者の中には、偽サイトに口座情報を入力したことで、証券口座が乗っ取られ、資産の一部が勝手に売却されるなどの不正取引が発生したケースも確認されています。さらに、メールアドレスが一度漏えいすると、同様のフィッシングメールが継続的に届くようになり、被害が長期化・多層化する傾向も見られました。つまり、1回の誤クリックが、単なる金銭的損失にとどまらず、継続的なサイバーリスクの入り口となってしまうのです。

なぜ騙されてしまうのか？

このフィッシングメールが特に危険とされるのは、その巧妙さにあります。まず、件名に「本人確認未完了」「ログイン環境に異常検知」など、受信者の不安を煽る言葉が並ぶこと。これが、冷静な判断力を奪い、リンクをクリックしてしまう心理状態を作っています。
さらに、メール本文やリンク先の偽サイトは、正規サイトを精巧に模倣しており、ロゴや配色、文体に至るまで本物そっくりに作られています。加えて、偽サイトにはSSL証明書が設定されており、URLが「https://」で始まるため、セキュリティに詳しくない人にとっては「安全なサイト」と勘違いしやすい見た目になっています。
なお、使用されているドメイン名も一見すると正規のものに見えるよう工夫されていることも多く、たとえばURL中の「1」が「l」や「O」が「0」などの似ている文字に置き換えられていることもあります。こうした細部にまでわたる偽装により、たとえセキュリティ意識の高い人であっても、騙されてしまうリスクが非常に高いのです。

“ダブル”でとるべき対策ー「技術」と「教育」

メールの安全は、いろんな技術で守られている

企業では、フィッシングメールなどのサイバー攻撃から社員や重要な情報を守るために、複数の技術を組み合わせて防御の仕組みを整えています。
これは、単に「怪しいメールをブロックする」だけではなく、メールの送信元の確認、リンクの安全性のチェック、端末の監視、ログインの強化など、さまざまな角度からの対策が含まれています。

技術的対策

1. 送信ドメイン認証技術の導入
   SPFやDKIM、DMARCといった認証技術を導入することによって、メールが本当に信頼できる相手から送られているかどうかを確認。偽装されたメールを見抜くのに役立ちます。
2. URLフィルタリングとリアルタイム検知
   特定の攻撃者のC＆Cサーバーと思われるアドレスにアクセスを試みる端末を検知する及び通信の遮断を行います。
3. EDRによる端末監視と即時隔離
   パソコンや端末に不審な動きがないかを常に監視し、異常があればすぐに対応できるようにします。
4. パスキーや多要素認証の導入
   なりすましや不正ログインを防ぐために、ログイン時の安全性を高めています。

技術だけじゃ守りきれない。「ちょっと怪しいかも」と思える知識が防御につながる

最近では、攻撃者が正規のメール送信サービス（プラットフォーム）を利用して、信頼性の高い送信元を装うケースが見られます。
さらに、正規ドメインに似た名称のドメインを取得し、SPF/DKIM/DMARC などの認証設定を行うことで、技術的には「正しい送信元」として認証されることがあります。
これにより、受信者が安全なメールと誤認してしまうリスクが高まります。つまり、見た目も技術的にも問題がないように見えるメールが、実は攻撃の入り口になっていることがあるのです。

こうした背景から、企業ではセキュリティ技術の導入だけでなく、社員一人ひとりの判断力を高める取り組みが欠かせません。

人的対策

1. 社員教育の定期実施
   フィッシングメールの見分け方を学ぶことで、日常業務の中で自然に注意力を高めることができます。
2. 模擬攻撃による訓練
   実際の手口を体験することで、「怪しいメール」に対する判断力を養います。
3. CSIRTの強化
   インシデントにすぐ対応できるよう、社内に明確な対応フローと役割分担を整えておくことが重要です。
4. 経営層の理解と支援
   予算の確保や、リスクに対する共通認識を持つことで、全社的な取り組みとして定着させます。

どんなに技術が進んでも、すべての攻撃を完全に防ぐことはできません。
だからこそ、「このメール、ちょっと怪しいかも」と立ち止まって確認する意識が、技術では補いきれない部分を補完するのです。

“うちは大丈夫”が一番危ない──今すぐ始めるべき3つの行動

フィッシングメールは、企業の“最も弱い部分”を狙ってきます。それは、セキュリティ意識の低い社員かもしれませんし、対策予算を後回しにしている経営層かもしれません。

「うちは大丈夫」と思っているその瞬間こそが、最も危険なのです。
では、今すぐできることは何か？ここでは、企業がすぐに取り組むべき3つの行動を紹介します。

1. 社員に「怪しいメールは開かない」意識を徹底させる
   日常的な注意力の向上が、最も基本であり、最も効果的な防御になります。
2. 自社のメールセキュリティ設定を見直す（DMARCなど）
   送信ドメイン認証の設定を確認・強化することで、技術的なすり抜けを防ぐ第一歩になります。
3. 信頼できるセキュリティパートナーに相談する
   自社だけでは見落としがちなリスクも、専門家の視点で補完できます。

まずは「自分たちの弱点はどこか？」を見つめ直し、一つずつ着実に取り組むことが大切です。

フィッシング対策、まずは“体験”から始めませんか？

アライドテレシスでは、実際の攻撃手法を模したフィッシングメール訓練サービスを提供しています。社員のセキュリティ意識を可視化し、教育と改善につなげることが可能です。まずは一度、模擬攻撃で“本当のリスク”を体感してみませんか？

今回の記事では、フィッシングメール対策における「技術」と「人の判断力」の両面に焦点を当てて、企業が今すぐ取り組むべきポイントをご紹介しました。
次回は、「急速に進化するAI技術の悪用ーー」を見ていきます。どうぞお楽しみに！