フィッシング攻撃の現状:月19万件という驚異的な数字の裏側
フィッシング対策協議会から発表された2025年8月の統計データを見て、正直ゾッとしました。月間19万3333件、つまり1日あたり約6236件ものフィッシング攻撃報告が寄せられているんです。
私が現役のCSIRTメンバーとして現場で見ている限り、これは氷山の一角に過ぎません。実際に被害に遭っても報告されないケースを含めると、実数はこの何倍にもなるでしょう。
前月から14.6%減少したとはいえ、2025年初頭の15万件以下から考えると、依然として非常に高い水準で推移しています。特に注目すべきは、攻撃者が狙う業種の変化です。
EC関連が最多22.0%:ネットショッピングの落とし穴
今回の統計で最も印象的だったのは、EC関連のフィッシング攻撃が前月の14.1%から22.0%へと7.9ポイントも急増した点です。
実際のフォレンジック調査で遭遇したケースをご紹介しましょう。ある中小企業の経営者が「Amazonから緊急のアカウント凍結通知」というメールを受け取り、慌てて偽サイトでカード情報を入力してしまいました。気づいた時には既に50万円分の不正利用が発生していたのです。
この被害者の方は「普段使っているサイトとそっくりだった。まさか偽物だとは思わなかった」と話していました。攻撃者は本物のサイトを完璧にコピーし、URLも巧妙に似せているため、一般の方が見抜くのは非常に困難なんです。
金融関連も21.8%:お金を狙う攻撃者の執念
クレジット・信販関連が21.8%、証券関連が16.8%と、金融系のフィッシング攻撃も深刻な状況です。私が調査した事例では、偽の銀行サイトに誘導された個人事業主が、事業用口座の全残高200万円を失うという痛ましいケースもありました。
特に証券関連のフィッシング攻撃は巧妙で、「株価急落のため緊急ログインが必要」といった心理的プレッシャーを使って、投資家を偽サイトに誘導します。投資をしている方は、日々の値動きに敏感になっているため、こうした「緊急性」を演出する手口に騙されやすいのが現実です。
フィッシング攻撃の新たな手口と進化
URLの巧妙化が進む悪質な現状
報告されたフィッシングURLは7万6283件で、前月から10.5%減少しました。しかし、これは朗報ではありません。攻撃者は量から質へとシフトし、より巧妙で検知されにくいURLを作成しているのです。
最近の調査で発見した手口をいくつかご紹介します:
- 正規ドメインに酷似した文字列(例:amazon.com → amazom.com)
- サブドメインを悪用した偽装(例:amazon.evil-site.com)
- 短縮URLサービスを多重に使用した隠蔽
- QRコードを使ったモバイル端末への誘導
航空・交通関連も標的に:旅行シーズンを狙う攻撃
航空関連(7.8%)と交通関連(4.4%)のフィッシング攻撃も目立ちます。これは旅行需要の回復に便乗した手口で、「航空券の予約確認」や「交通系ICカードの残高不足」といった偽の通知で個人情報を盗み取ります。
私が調査したあるケースでは、偽の航空会社サイトで家族4人分の海外旅行チケット代金80万円を詐取された被害者がいました。楽しみにしていた家族旅行が台無しになり、経済的損失だけでなく精神的なダメージも深刻でした。
個人・企業が今すぐできる具体的な対策
多層防御が鉄則:技術的対策の重要性
フィッシング攻撃対策の基本は「多層防御」です。単一の対策に頼るのではなく、複数の防御手段を組み合わせることが重要です。
まず、信頼性の高いアンチウイルスソフト
の導入は必須です。最新のアンチフィッシング機能を搭載した製品なら、偽サイトへのアクセスを事前にブロックできます。実際、適切なアンチウイルスソフト
を導入していた企業では、フィッシング攻撃による被害を90%以上削減できたという調査結果もあります。
VPN利用でより安全なネット環境を構築
特に公衆Wi-Fiを利用する機会が多い方には、信頼性の高いVPN
の利用を強くお勧めします。フィッシング攻撃は偽のWi-Fiアクセスポイントを通じて行われることも多く、VPN
があれば通信内容を暗号化してこうした攻撃から身を守れます。
企業向け:Webサイト脆弱性診断の重要性
企業の場合、自社サイトがフィッシング攻撃の踏み台にされるリスクもあります。定期的なWebサイト脆弱性診断サービス
により、攻撃者に悪用される可能性のある脆弱性を事前に発見・修正することが重要です。
私が対応した事例では、脆弱性を放置していた企業サイトが乗っ取られ、顧客に対するフィッシング攻撃の踏み台として悪用されました。結果的に、信用失墜による損失は数億円規模に及んだのです。
フィッシング攻撃に遭ってしまった時の対処法
迅速な初動対応が被害を最小化する
もしフィッシング攻撃に引っかかってしまった場合、以下の手順で迅速に対応してください:
- 該当するアカウントのパスワードをすぐに変更
- 金融機関への連絡と口座・カードの利用停止
- 二要素認証の設定(未設定の場合)
- 被害状況の記録と警察への届出
- 専門機関への相談
特に金融関連の情報を入力してしまった場合は、時間との勝負です。1分1秒でも早い対応が、被害の拡大を防ぎます。
フォレンジック調査の重要性
企業が被害に遭った場合、適切なフォレンジック調査を実施することで、攻撃の全容を把握し、再発防止策を講じることができます。また、法執行機関への協力や、保険請求時の証拠としても重要な意味を持ちます。
まとめ:常に進化する脅威に対する継続的な対策を
2025年8月の統計データが示すように、フィッシング攻撃は減少傾向にあるものの、依然として深刻な脅威であり続けています。特にEC・金融関連を狙った攻撃の増加は、私たち一般ユーザーにとって他人事ではありません。
攻撃者の手口は日々進化しており、昨日まで有効だった対策が今日は通用しないこともあります。だからこそ、技術的な防御手段の導入と併せて、常に最新の脅威情報をキャッチアップし、警戒心を持ち続けることが重要です。
個人の方は信頼性の高いセキュリティソフトとVPNの導入を、企業の方は定期的な脆弱性診断と従業員への教育を、それぞれ検討してください。小さな投資が、将来的に大きな被害を防ぐことに繋がるのです。
