フィッシング攻撃が急増している現実
フィッシング対策協議会の最新報告によると、2025年7月のフィッシング報告件数は前月から33,563件も増加し、なんと226,433件に達しました。この数字を見ると、もはや「他人事」では済まされない状況になっていることがよくわかります。
私がフォレンジックアナリストとして実際に調査した案件でも、個人の方が証券会社を装ったフィッシングメールに引っかかり、投資資金300万円を一瞬で失ったケースがありました。被害者の方は「メールが本物そっくりだった」と泣き崩れていたのを今でも覚えています。
証券会社を装った巧妙な手口が横行
今回の急増の主な要因として、証券会社を装ったフィッシングメールが大量配信されていることが挙げられます。特に注意すべきは以下の点です:
- 多要素認証設定依頼を装ったメール
- 補償に関するメールを装った偽装
- 実在する証券会社のドメイン名を使った「なりすまし」送信
実際に私が解析したフィッシングメールは、本物の証券会社からのメールと見分けがつかないほど精巧に作られていました。ロゴ、文面、レイアウト、すべてが本物そっくりで、IT関係者でも一瞬騙されそうになるレベルでした。
個人でもできる効果的な対策方法
1. メールの送信者情報を必ずチェック
フィッシングメールの多くは「逆引き設定がされていないIPアドレス」から送信されています。怪しいメールを受信したら、まずは送信者の情報を詳しく確認しましょう。
2. リンクをクリックする前に一呼吸
緊急性を煽る文面に惑わされず、必ず公式サイトから直接ログインして確認する習慣をつけることが重要です。
3. 技術的な防御策を活用
報告書では「FCrDNS認証」や「DMARC」といった技術的な対策が効果的だと示されています。個人レベルでは、信頼性の高いアンチウイルスソフト
を導入することで、フィッシングメールの多くを事前にブロックできます。
企業が狙われるケースも急増中
個人だけでなく、企業を狙ったフィッシング攻撃も深刻化しています。私が対応した中小企業のケースでは、経理担当者がフィッシングメールに引っかかり、取引先への振込先が攻撃者のアカウントに変更されてしまい、約500万円の被害が発生しました。
このような被害を防ぐには、従業員教育はもちろんですが、技術的な対策も不可欠です。特に企業のWebサイトを運営している場合は、定期的なWebサイト脆弱性診断サービス
の実施が重要になります。
リモートワークにおけるリスク
在宅勤務が当たり前になった今、家庭のネットワーク環境のセキュリティも見直す必要があります。私が調査した案件では、自宅のWi-Fi経由でフィッシングサイトにアクセスしてしまい、会社の機密情報が漏洩したケースもありました。
このようなリスクを軽減するために、信頼性の高いVPN
の利用をお勧めします。VPNを使用することで、通信内容の暗号化と匿名化が可能になり、フィッシング攻撃の被害を大幅に軽減できます。
今後の傾向と対策
報告書によると、「送信ドメイン認証結果によりフィルターをすり抜けようとする試み」が増加しています。これは攻撃者がより巧妙化していることを意味します。
私たちCSIRTが現場で見ている傾向として、以下のような進化が顕著です:
- AI技術を悪用したより自然な文面の作成
- 実在する企業の内部情報を使った標的型攻撃
- 複数の攻撃手法を組み合わせた複合攻撃
まとめ:多層防御が最も効果的
フィッシング攻撃の巧妙化が進む中、単一の対策だけでは限界があります。以下の多層防御アプローチが効果的です:
- 従業員・個人の意識向上
- 技術的な防御システムの導入
- 定期的なセキュリティ診断
- インシデント発生時の迅速な対応体制
特に個人の方には、日常的に使用するデバイスにアンチウイルスソフト
を導入し、外出先での通信にはVPN
を活用することを強くお勧めします。
企業の方は、Webサイトの脆弱性が攻撃の入り口となることが多いため、Webサイト脆弱性診断サービス
を定期的に実施することが重要です。
