フィッシング対策協議会から発表された2025年5月のデータを見て、正直ゾッとしました。22万9,536件のフィッシング報告って、これは氷山の一角でしかないんです。
私は長年CSIRTでインシデント対応をしていますが、最近の攻撃手法の巧妙さには驚かされます。特に今回のデータで注目すべきは、SBI証券をかたるフィッシングが23.3%、Appleが13.3%と上位を占めていることです。
## なぜフィッシング攻撃が減らないのか?
実は、2025年5月は前月より1万7,044件減少しているんです。でも、これは決して良いニュースじゃありません。
減少の理由は「日本向けフィッシングメール送信元の国の長期休暇がゴールデンウィークと重なったため」。つまり、攻撃者も人間だから休暇を取るということです。これって、組織的な犯罪であることを示しています。
## 証券会社を狙う攻撃が急増中
今回のデータで特に気になるのは、証券会社をかたるフィッシングの急増です。私が実際に対応したケースでは、ある個人投資家が偽のSBI証券サイトで認証情報を入力してしまい、数百万円の損失を被りました。
攻撃者は巧妙に本物そっくりのサイトを作り、以下のような手口で騙してきます:
– 緊急性を煽る件名(「重要:口座凍結のお知らせ」など)
– 本物と見分けのつかないデザイン
– 正規のメールアドレスを偽装(32.4%が実在するサービスのメールアドレスを使用)
## 個人でできる実践的な対策
### 1. メールの送信者を疑う習慣をつける
フィッシングメールの32.4%が実在するサービスのメールアドレスを偽装しています。メールヘッダーを確認するか、直接公式サイトにアクセスして確認することが重要です。
### 2. 見た目に不自然な文字に注意
フィッシング対策協議会が警告している「○や□の囲み文字、斜体や太字など、見た目に不自然な文字で記載されたリンク」は、フィッシングサイトの典型的な特徴です。
### 3. URLをしっかり確認
2025年5月の報告では、フィッシングサイトのURL件数が55,940件に達しました。TLD別では「.com」「.goog」「.asia」が上位を占めています。
正規のサイトとは微妙に異なるURLが使われることが多いので、注意深く確認しましょう。
### 4. アンチウイルスソフト
の活用
個人利用者にとって最も効果的な対策の一つが、信頼性の高いアンチウイルスソフト
の導入です。最新の脅威情報を元にリアルタイムで危険なサイトをブロックしてくれます。
### 5. VPN
で通信を保護
特に公衆Wi-Fi利用時は、VPN
を使って通信を暗号化することをお勧めします。フィッシング攻撃の中には、中間者攻撃を仕掛けてくるケースもあります。
## 企業が取るべき対策
企業のセキュリティ担当者として、以下の対策を強く推奨します:
### 1. 従業員教育の強化
私が対応したインシデントの多くは、従業員が騙されることから始まります。定期的な訓練と最新の脅威情報の共有が不可欠です。
### 2. 技術的な対策
– メールセキュリティゲートウェイの導入
– DMARC、SPF、DKIMの設定
– 多要素認証の徹底
### 3. Webサイト脆弱性診断サービス
の実施
Webサイトの脆弱性を狙った攻撃も増加しています。定期的なWebサイト脆弱性診断サービス
により、攻撃者に悪用される前に弱点を発見・修正することが重要です。
## 実際の被害事例から学ぶ
私が対応した最近のケースをご紹介します:
**ケース1:中小企業の財務担当者**
偽のAmazonからの請求書メールに騙され、認証情報を入力。その後、企業のクレジットカードが不正利用されました。
**ケース2:個人投資家**
SBI証券を装ったフィッシングメールから偽サイトにアクセス。取引パスワードを入力してしまい、保有株式が無断で売却されました。
## 今後の脅威の動向
フィッシング攻撃は今後も巧妙化していきます。特に注意すべきは:
– AIを活用した自然な文章のフィッシングメール
– 実在の人物になりすましたスピアフィッシング
– 複数のサービスを連携させた複合攻撃
## まとめ:多層防御が鍵
フィッシング対策に完璧な解決策はありません。重要なのは多層防御です:
1. 技術的な対策(アンチウイルスソフト
、VPN
の活用)
2. 人的な対策(教育、訓練)
3. プロセスの整備(インシデント対応計画)
4. 定期的な見直し(Webサイト脆弱性診断サービス
など)
特に個人の方は、まずアンチウイルスソフト
の導入から始めることをお勧めします。月々数百円の投資で、数万円~数百万円の被害を防げる可能性があります。
企業の担当者の方は、Webサイト脆弱性診断サービス
を定期的に実施し、従業員教育と技術的対策を組み合わせた包括的なセキュリティ戦略を構築してください。
## 一次情報または関連リンク
