フィッシング詐欺とは?成立の仕組みと実装者向けの技術的対策を解説
フィッシング詐欺とは、実在する企業やサービスになりすまし、偽のメールやSMSから本物そっくりの偽サイトへ誘導して、IDやパスワード、クレジットカード情報を入力させ、それを悪用して金銭や個人情報を奪う詐欺です。国内の被害報告は年間で数百万件規模に達し、盗んだ認証情報を足がかりに不正送金やアカウント乗っ取り、企業ネットワークへの侵入まで発展します。この記事で扱うのは、フィッシングが「詐欺」として金銭被害に至るまでの一連の仕組みを分解したうえで、中間者フィッシング(AiTM)やフィッシングキットで巧妙化する攻撃に対し、実装者がシステムへ組み込めるパスキー・送信ドメイン認証・URLフィルタといった技術的対策です。さらに、自社を騙る偽サイトの検知やテイクダウン、被害後の初動、そして技術だけでは塞げない領域まで、防御を設計する側の解像度で整理します。
目次
まとめ|フィッシング詐欺はパスキーと送信ドメイン認証で被害の連鎖を断つ
フィッシング詐欺の本質は、人を騙して「正規の認証情報」を正規の手順で入力させ、それを別の場所で悪用する点にあります。技術の壁を破るのではなく、壁の鍵を持つ本人から鍵そのものを受け取る攻撃であるため、ファイアウォールやWAFの内側でも被害が起きます。守るべきは、盗まれた認証情報が「単体では役に立たない」状態を作ることです。
実装側の要点は3つに絞れます。第一に、フィッシング耐性のあるパスキー(FIDO2)で、認証情報を盗んでも偽サイトからはログインできない構えを作る。第二に、SPF・DKIM・DMARCの送信ドメイン認証で、自社を騙るなりすましメールを受信者へ届く前に落とす。第三に、URLフィルタとEDRで入力と実行の段階を監視し、被害の兆候を早期に捉える。この認証・メール・端末の三層を重ね、さらに自社ブランド悪用の検知と被害後の初動を運用で固めれば、フィッシングを起点とした被害の連鎖を断てます。認証情報の悪用検知やログの監視といった実装は、AIによる防御と生成AIを守るセキュリティ対策で相談段階から支援しています。
フィッシング詐欺とは何か|定義と「詐欺」として金銭被害が成立する仕組み
まず、この攻撃が単なる情報の窃取で終わらず「詐欺」と呼ばれる理由を押さえると、どこで被害を止めるべきかが見えてきます。フィッシングは、情報を盗む技術的な手口と、盗んだ情報を金銭へ換える一連の流れがセットになっています。
定義と、単なる情報漏えいではなく金銭被害を狙う「詐欺」と呼ばれる理由
フィッシング(phishing)は、釣り(fishing)になぞらえた造語で、餌となる偽のメッセージで利用者を誘い、認証情報という獲物を釣り上げる手口を指します。単なる情報漏えいと違うのは、盗んだ情報を使って本人になりすまし、銀行口座からの不正送金やクレジットカードの不正利用、ECサイトでの物品購入といった金銭的な詐取まで実行される点です。攻撃者にとって認証情報は目的ではなく手段であり、換金という最終ゴールがあるからこそ「詐欺」と位置づけられます。攻撃が人の心理を突く点ではソーシャルエンジニアリングの一種であり、その全体像はソーシャルエンジニアリングとは?手口の分類と実装者向けの技術的対策で整理しました。手口の種類や利用者側の見分け方といった組織的な対策は、判断ハブとなるフィッシングとは?手口の種類・見分け方と企業が取るべき組織的対策で詳しく扱っています。
攻撃のキルチェーン|誘導・入力・窃取・悪用の4段階で被害に至る流れ
フィッシング詐欺は、おおむね4つの段階を順にたどります。第一段階は誘導で、実在企業を装ったメールやSMSで「アカウントが凍結された」といった不安を煽り、偽サイトのURLをクリックさせます。第二段階は入力で、本物と見分けのつかない偽ログイン画面にIDとパスワードを打たせる。第三段階が窃取で、入力された値は即座に攻撃者のサーバーへ送られます。そして第四段階が悪用であり、盗んだ認証情報で本物のサービスにログインし、送金や情報の持ち出しを実行します。防御を設計するうえで大切なのは、どの段階でも遮断できれば被害を止められるという視点です。誘導段階はメール認証やURLフィルタで、入力段階は利用者教育で、悪用段階はパスキーや異常ログインの検知で塞ぐ、と段階ごとに担当する対策を割り当てます。
主な手口の類型|メール・SMS・偽サイトからAiTMまでの攻撃経路
手口は多彩ですが、誘導の入口と、認証を突破する仕掛けの2軸で整理すると理解が進みます。入口の広がりと、従来の対策を破る新しい仕掛けを順に見ていきます。攻撃経路の違いが、どの技術で塞ぐかを決める起点になるためです。
メール・スミッシング・偽サイトへ誘い込む代表的な誘導の手口の類型
件数が最も多いのが、メールとSMSを入口にする誘導です。宅配便の不在通知やカード会社の利用確認を装ったSMSで偽サイトへ誘うスミッシング、金融機関や大手ECを騙るメールが代表例になります。偽サイトは正規サイトのHTMLをそのまま複製して作られるため、見た目では判別できません。ドメイン名も「rnicrosoft」のように正規表記へ紛らわしく寄せたり、正規ブランド名をサブドメインに含めたりして、URLの一見の信頼性を装います。迷惑メールやSMSを起点とする手口の広がりはスパムとは?迷惑メール・SMS・SNSの手口と企業が取るべき対策でも整理しており、フィッシングはその延長線上で金銭詐取を狙う攻撃だと捉えると位置づけが掴めます。
中間者フィッシング(AiTM)とフィッシングキット/PhaaSによる産業化
ここ数年で対策設計を大きく変えたのが、中間者フィッシング(AiTM:Adversary-in-the-Middle)です。攻撃者は正規サイトと利用者の間にプロキシを挟み、利用者が入力したIDとパスワードだけでなく、多要素認証のワンタイムコードや、ログイン成功後に発行されるセッションクッキーまで丸ごと中継して盗みます。盗んだセッションクッキーを使えば、攻撃者はパスワードもワンタイムコードも改めて入力せずに本物のセッションを乗っ取れてしまう。つまり、SMSやアプリのコード入力型の多要素認証を導入していても、AiTMには突破される恐れがあります。こうした攻撃を支えるのが、偽サイトと中継機能を一式で提供するフィッシングキットや、それをサービスとして貸し出すPhaaS(Phishing as a Service)です。専門知識のない攻撃者でも月額で高度な偽サイトを運用できるようになり、攻撃は産業化しました。防御側は「MFAを入れたから安全」という前提を捨て、後述するフィッシング耐性のある認証へ設計を進める必要があります。
生成AIによる巧妙化と、偽CAPTCHAなど実行を誘う手口への拡張
文面の巧妙化も進んでいます。かつては不自然な日本語が判別の手掛かりでしたが、生成AIによって文法や敬語の破綻が消え、本物と区別しづらい文面が量産されるようになった。さらに、認証情報を入力させるだけでなく、利用者自身に不正なコマンドを実行させる手口へも派生しています。「あなたはロボットではありません」の確認を装う偽CAPTCHAでコマンドをコピー・実行させるClickFixはその典型で、検知や防御の実装はClickFixとは?偽CAPTCHAでコマンドを実行させる手口と実装者向けの検知・防御で扱っています。入口がメールから偽の警告画面や検索広告へ広がっているため、メール対策だけでは経路を塞ぎきれない点に注意が必要です。
実装者向けの技術的対策|認証・メール認証・URL/端末の多層防御
人が偽サイトを見抜けない前提に立つと、技術側の役割は「騙されても認証と実行の段階で被害を止める」ことに定まります。認証・メール・URLと端末の三層で、実装者が組み込める統制を優先度の高い順に見ていきます。最初に押さえるべきは、AiTMを含めたフィッシングを原理的に無効化するパスキーです。
パスキー(FIDO2/WebAuthn)によるフィッシング・AiTMの無効化
フィッシング詐欺に対する切り札が、FIDO2/WebAuthnに基づくパスキーです。パスキーは公開鍵暗号を使い、認証の署名を「アクセスしているサイトのドメイン」と結び付けます(オリジンバインディング)。この仕組みでは、偽ドメインのサイトで認証しようとしても、ブラウザがドメインの不一致を検知し、そもそも有効な署名が作られません。したがって、利用者が偽サイトに気づかず操作しても、認証情報が偽サイトへ渡ること自体が起きません。前述のAiTMがワンタイムコードやセッションを中継して突破するのに対し、パスキーは中継しても偽ドメインでは署名が成立しないため、原理的に耐性を持ちます。重要業務のアカウントや管理者権限には、コード入力型のMFAではなく、パスキーやハードウェアセキュリティキーを優先して設計します。既存のパスワード認証からの移行では、まず特権アカウントと外部公開サービスから段階的に適用するのが現実的な進め方です。
SPF・DKIM・DMARC・BIMIによる自社を騙るなりすましメールの遮断
誘導段階を塞ぐには、自社ドメインを騙るメールを受信者へ届く前に落とすのが実装者の仕事になります。土台は送信ドメイン認証の3点セットです。SPFは、そのドメインのメールを送ってよいサーバーのIPアドレスを宣言し、名乗りと送信元の一致を受信側に検証させます。DKIMは、メールに電子署名を付け、経路上で改ざんされていないことと送信ドメインの正当性を保証する。両者の結果を踏まえ、認証に失敗したメールをどう扱う(監視・隔離・拒否)かを送信側が宣言し、失敗の報告まで受け取る枠組みがDMARC(RFC 7489として標準化)です。自社ドメインでDMARCをreject(拒否)まで運用すれば、自社になりすましたメールが取引先や顧客に届く前に弾かれ、自社ブランドを使ったフィッシングの被害を抑えられます。加えてBIMIを組み合わせると、認証に成功したメールに自社のロゴを表示でき、受信側での見分けやすさが上がります。まずはDMARCをp=none(監視のみ)で開始してレポートで送信実態を把握し、正規送信をすべてSPF/DKIMに通したうえでquarantine、rejectへ段階的に強化する運用が安全です。
URLフィルタ・ブラウザ分離・EDRで入力と実行の段を封じる
認証とメールをすり抜けた経路には、URLと端末側の統制が効きます。URLフィルタリングやセキュアWebゲートウェイで既知のフィッシングサイトへの通信を遮断し、判定が難しい未分類サイトはブラウザ分離(リモートブラウザ)で隔離すれば、たとえ利用者が偽サイトを開いても端末や入力を守れる。実行の段では、EDR(Endpoint Detection and Response)が、フィッシング経由でダウンロードされたファイルの不審な挙動や、正規プロセスから不審な子プロセスが起動する連鎖を検知・遮断します。あわせて、日常業務のアカウントから管理者権限を外す権限の最小化を重ねれば、万一マルウェアが実行されても深い侵害まで進みにくくなる。こうしたURL・端末の監視、未知の手口の自動検知、認証情報の悪用兆候の把握といった実装と運用は、AIによる防御と生成AIを守るセキュリティ対策で対応しています。
自社を騙るフィッシングへの対応|検知・テイクダウンと被害後の初動
ここからは判断の話です。技術統制を固めても、自社の名前が偽サイトに使われる事態や、実際に認証情報が盗まれた後の対応は残ります。攻める側でなく守られる側になった場面で、何を先にやるかを条件を付けて言い切ります。
自社ブランドの悪用を検知する仕組みと、偽サイトのテイクダウン依頼の実務
自社を騙る偽サイトは、放置すれば顧客が被害に遭い、ブランドの信頼が損なわれます。まず検知の仕組みを持つことが起点になる。前述のDMARCレポートは、自社ドメインを騙る送信がどこから発生しているかを可視化する一次情報になります。加えて、自社ブランド名や紛らわしいドメインの新規登録を監視するサービスや、証明書の透明性ログ(CT)を使った類似ドメインの発行監視を組み合わせると、偽サイトの立ち上げを早期に把握できる。偽サイトを見つけたら、テイクダウン(閉鎖)を進めます。実務では、偽サイトのホスティング事業者やドメイン登録事業者へ削除を依頼し、フィッシング対策協議会やセーフブラウジングの提供元へ報告してブラウザの警告表示につなげる、という多方向の依頼を並行して行うのが早い。依頼を迅速化するため、証跡(URL・スクリーンショット・取得時刻)を残す手順をあらかじめ運用に組み込んでおきます。
被害発生後の初動と、技術だけでは防げない金銭詐取という領域の線引き
認証情報が盗まれたと判明したら、初動の速さが被害の大小を分けます。最優先は、漏えいした可能性のあるアカウントのパスワードとセッションの即時無効化です。AiTMではセッションクッキーが盗まれるため、パスワード変更だけでなく、既存セッションの強制ログアウトまで実施しないと乗っ取りが続きます。並行して、そのアカウントで実行された操作(送金・設定変更・情報の持ち出し)のログを洗い、影響範囲を特定します。ここで線引きが必要なのは、技術では防げない領域があるという事実です。経理担当者が偽の請求書メールを信じて振込先を書き換え、正規の手順で送金してしまうビジネスメール詐欺(BEC)は、認証もマルウェアも介在せず、パスキーもEDRも発動しません。この領域は、振込先変更時の電話での二重確認や、一定金額以上の送金に複数人の承認を必須とする運用ルールでしか塞げない。技術統制は被害の大半を潰しますが、金銭の最終判断に人が関わる工程は、運用と権限設計で補うと割り切るのが現実的な設計です。この技術と運用の役割分担や、認証情報悪用の検知の実装は、AIによる防御と生成AIを守るセキュリティ対策で相談段階から支援しています。
よくある質問
フィッシング詐欺の対策検討でよく挙がる質問に回答します。
フィッシング詐欺とスパムメールはどう違うのですか?
スパムは受信者の同意なく大量送信される迷惑メール全般を指し、広告や無差別配信も含みます。フィッシング詐欺は、その中でも実在企業になりすまして偽サイトへ誘導し、認証情報や金銭を騙し取ることを目的とした攻撃です。スパムが「送りつける迷惑さ」の問題であるのに対し、フィッシングは「情報を盗み金銭被害に至らせる」明確な犯罪行為である点が違います。多くのフィッシングはスパムの配信網に乗って届くため、両者は重なる部分があります。
多要素認証(MFA)を入れていればフィッシング詐欺は防げますか?
コード入力型のMFAは有効ですが、万全ではありません。中間者フィッシング(AiTM)では、偽サイトが入力されたワンタイムコードやログイン後のセッションを中継して盗むため、MFAを導入していても突破される事例が出ています。フィッシング耐性を確実にするには、ドメインと署名を結び付けるパスキー(FIDO2)やハードウェアセキュリティキーの利用が有効です。特に管理者権限や送金権限を持つアカウントから優先的に切り替えるのが有効な進め方になります。
自社を装ったフィッシングメールが出回った場合、まず何をすべきですか?
偽サイトのURL・スクリーンショット・取得時刻を証跡として残したうえで、ホスティング事業者やドメイン登録事業者へテイクダウン(閉鎖)を依頼し、フィッシング対策協議会などへ報告します。並行して、顧客への注意喚起を公式サイトやSNSで告知し、被害の拡大を抑えるのが有効です。再発防止としては、自社ドメインのDMARCをrejectまで運用し、自社を騙るメールが届く前に弾かれる状態を作ることが土台になります。
認証情報を盗まれたとわかったとき、パスワード変更だけで十分ですか?
不十分な場合があります。AiTMでセッションクッキーが盗まれているケースでは、パスワードを変えても既存のセッションが生きていれば乗っ取りが続きかねません。パスワードの変更に加え、そのアカウントの全セッションを強制的にログアウトさせ、多要素認証を再登録する必要があります。あわせて、盗まれた期間に実行された送金や設定変更のログを確認し、被害の範囲を特定してください。
フィッシング詐欺の技術的対策は、何から着手すべきですか?
費用対効果の順に絞ると進めやすくなります。まず自社ドメインのDMARC運用(監視から拒否へ段階強化)で、自社を騙るメールの遮断に着手します。次に、管理者や送金権限を持つアカウントへのパスキー適用で、認証情報の窃取を無効化する。この2つは追加コストが小さく効果が大きい対策です。EDRの本格導入やブラウザ分離、テイクダウン監視サービスは、守るべき資産の大きさに応じてその次の段階で積み増します。
関連記事
フィッシング詐欺と関連の深いテーマは、以下の記事でも扱っています。
- フィッシングとは?手口の種類・見分け方と企業が取るべき組織的対策を解説:本記事が技術的対策に振り切っているのに対し、手口の種類や利用者側の見分け方、組織としての対策方針を判断ハブとして整理しています。
- ソーシャルエンジニアリングとは?手口の分類と実装者向けの技術的対策を解説:フィッシングを含む「人を突く攻撃」全般を攻撃経路別に分類し、認証・メール・端末の技術統制を横断的に解説しています。
- ClickFixとは?偽CAPTCHAでコマンドを実行させる手口と実装者向けの検知・防御:利用者自身に不正な操作を実行させる新しい手口の検知と防御を、PowerShellの抑止まで踏み込んで扱っています。
- スパムとは?迷惑メール・SMS・SNSの手口と企業が取るべき対策を解説:フィッシングの配信網でもある迷惑メール・SMSの手口と、受信を減らす対策を整理しています。