passtsuku.com
日本語English中文Español

钓鱼诈骗的识别方法与防范措施

本文约需 10 分钟阅读

フィッシング詐欺は、正規のサービスを装った 偽のメールやウェブサイトを通じて、パスワードやクレジットカード情報などの 個人情報を騙し取る攻撃手法です。手口は年々巧妙化しており、一見しただけでは 本物と区別がつかないケースも増えています。フィッシング対策協議会の報告によると、 2024 年に国内で確認されたフィッシング報告件数は約 171 万件に達し、 前年比で約 1.4 倍に増加しました。2025 年現在、AI を悪用して自然な日本語の フィッシングメールを自動生成する手口が急増しており、従来の「不自然な日本語」 という判断基準だけでは見破れなくなっています。本記事では、フィッシング詐欺を見分けるための 具体的なポイントと、類似する攻撃手法との違い、そしてパスつく.com を活用した 実践的な防御策を解説します。

フィッシング攻撃の種類と違い

フィッシング攻撃は標的の範囲と手口の精巧さによって複数の種類に分類されます。 それぞれの特徴を理解することで、自分がどのタイプの攻撃に遭遇しているかを 判断しやすくなります。

一般的なフィッシング

不特定多数を対象に、銀行や通販サイトを装った偽メールを大量送信する手法です。 「アカウントが停止されました」「不正アクセスを検知しました」といった 緊急性を煽る件名で受信者の冷静な判断を奪い、偽サイトへ誘導します。 攻撃者にとってのコストが極めて低く、数百万通を送信して 0.1% でも 引っかかれば十分な利益が出る構造です。

スピアフィッシング

スピアフィッシングは、 特定の個人や組織を狙い撃ちにする攻撃です。攻撃者は事前に SNS や 企業の公開情報からターゲットの役職、取引先、最近のプロジェクトなどを 調査し、その情報を織り込んだ極めて自然なメールを作成します。 Verizon の 2024 年データ漏洩調査報告書 (DBIR) によると、ソーシャルエンジニアリング攻撃の 約 44% がフィッシングを手段として使用しており、その多くがスピアフィッシングです。 一般的なフィッシングと比較して成功率が格段に高く、企業の情報漏洩事件の 主要な侵入経路となっています。

ホエーリング

ホエーリングは、企業の経営層や 幹部クラスを標的にしたスピアフィッシングの一種です。CEO や CFO を装って 経理担当者に緊急の送金を指示する「ビジネスメール詐欺 (BEC)」が代表的な手口で、 FBI の IC3 報告書によると、BEC による被害総額は 2022 年だけで 約 27 億ドル (約 4,000 億円) に達しています。1 件あたりの被害額が 桁違いに大きいのが特徴です。

フィッシングメールの見分け方

フィッシングメールは、銀行、通販サイト、配送業者などを装って送信されます。 以下のポイントを確認することで、多くのフィッシングメールを見破ることができます。 重要なのは、1 つの判断基準だけに頼らず、複数のポイントを総合的に評価することです。

送信元アドレスを確認する

正規の企業からのメールであれば、送信元のドメインは公式サイトと一致します。 たとえば「support@example-bank.co.jp」のように見えても、 実際のドメインが「example-bank.co.jp.attacker.com」のように 別のドメインに紐づいている場合があります。メールヘッダーの詳細を確認し、 送信元ドメインが正規のものかどうかを慎重に判断してください。

この手法が有効な背景には、メールプロトコル (SMTP) の設計上の問題があります。 SMTP は 1982 年に策定された古いプロトコルで、送信者の身元を検証する仕組みが 標準では組み込まれていません。そのため、送信元アドレスの偽装 (スプーフィング) が 技術的に容易です。これに対抗するために SPF、DKIM、DMARC といった 送信ドメイン認証技術が開発されましたが、すべてのメールサーバーが これらを正しく実装しているわけではなく、依然として偽装メールが 受信者に届くケースがあります。

不自然な日本語に注意する

海外の攻撃者が作成したフィッシングメールには、不自然な日本語が 含まれていることがあります。敬語の使い方が不適切、句読点の位置がおかしい、 漢字の使い方に違和感があるなどの特徴が見られます。ただし、 近年は大規模言語モデルを悪用して自然な日本語のフィッシングメールを 生成するケースが急増しており、文面の自然さだけで判断するのは もはや困難です。文面以外の技術的な確認ポイントを併用してください。

フィッシングサイトの見分け方

URL を慎重に確認する

フィッシングサイトは、正規サイトに酷似したデザインで作られています。 見た目だけでは判別が困難なため、URL の確認が最も確実な方法です。 ブラウザのアドレスバーに表示されるドメインが、正規サービスのものと 完全に一致しているかを確認してください。

攻撃者がよく使う手法として、タイポスクワッティングがあります。 正規ドメインに似た文字列を登録する手法で、たとえば「amazon」を「amaz0n」に、 「google」を「go0gle」に置き換えるなど、一見すると気づきにくい 微妙な違いを利用します。さらに高度な手法として、キリル文字の「а」(U+0430) を ラテン文字の「a」(U+0061) に見せかける国際化ドメイン名 (IDN) を悪用した ホモグラフ攻撃も存在します。肉眼では完全に同一に見えるため、 URL は目視だけでなく、ブックマークや検索エンジン経由でアクセスする 習慣をつけましょう。

HTTPS の確認だけでは不十分

「鍵マークが表示されていれば安全」という認識は誤りです。 Let's Encrypt などの無料認証局の普及により、SSL/TLS 証明書の取得が容易になった結果、 フィッシングサイトの約 83% が HTTPS を使用しているという Anti-Phishing Working Group (APWG) の 2023 年調査結果があります。 HTTPS はあくまで通信の暗号化を示すものであり、 サイトの正当性を保証するものではありません。 EV 証明書 (Extended Validation) であっても フィッシングサイトでないことの完全な保証にはならず、 証明書の種類に関係なく、ドメイン名そのものの確認が最優先です。

フィッシング詐欺の手口と対策を体系的に学ぶには、フィッシング詐欺の最新事例集 (Amazon)も参考になります。

DNS スプーフィングによるフィッシング

URL を正しく確認していても騙される可能性がある高度な手法として、DNS スプーフィングがあります。 DNS の応答を偽装することで、正規のドメイン名を入力しても 攻撃者が用意した偽サイトに誘導される攻撃です。 この攻撃が成立する原理は、DNS プロトコルが応答の真正性を 検証する仕組みを持たないことにあります。ユーザーの PC やルーターの DNS 設定が改ざんされた場合、ブラウザのアドレスバーには正規の URL が 表示されるにもかかわらず、実際には偽サイトに接続されます。 対策として、信頼できる DNS サービス (Google Public DNS: 8.8.8.8、 Cloudflare DNS: 1.1.1.1) の使用や、DNS over HTTPS (DoH) の 有効化が有効です。

パスワード漏洩後の対処手順

フィッシング詐欺に遭ってしまった場合、あるいはパスワードの漏洩が 疑われる場合は、以下の手順で迅速に対処してください。 対処が遅れるほど被害が拡大するため、気づいた時点で即座に行動することが重要です。メールアカウントの保護を 最優先にしてください。メールが乗っ取られると、他のサービスのパスワードリセットが すべて攻撃者の手に渡ります。

  • 該当サービスのパスワードを直ちに変更する
  • 同じパスワードを使い回している他のサービスも変更する
  • 二段階認証が未設定であれば有効化する
  • クレジットカード情報を入力した場合はカード会社に連絡する
  • 不審なログイン履歴がないか確認する
  • 該当サービスのサポート窓口に報告する

よくある誤解として「パスワードを変更すれば安心」と考えがちですが、 攻撃者がすでにアカウントの復旧用メールアドレスや電話番号を変更している 可能性もあります。パスワード変更後は、アカウントの復旧設定や 連絡先情報が改ざんされていないかも必ず確認してください。 また、OAuth 連携で他のアプリにアクセス権限を付与している場合、 攻撃者が不正なアプリを連携させている可能性もあるため、 連携アプリの一覧も確認しましょう。

フィッシング対策の実践チェックリスト

日常的にフィッシング詐欺から身を守るために、以下のチェックリストを 定期的に確認してください。技術的な対策と行動習慣の両面から防御することで、 被害リスクを大幅に低減できます。

  • メール内のリンクを直接クリックせず、公式サイトにはブックマークからアクセスする
  • パスワードを入力する前に、必ずアドレスバーの URL を確認する
  • 緊急性を煽るメール (「24 時間以内に対応しないとアカウント停止」等) は疑う
  • 送信元アドレスのドメインが公式と一致するか確認する
  • 重要なアカウントには二段階認証を設定する
  • ブラウザやメールクライアントのフィッシング検知機能を有効にする
  • OS やブラウザを常に最新の状態に保つ
  • 不審なメールを受信したら、フィッシング対策協議会に報告する

パスつく.com で定期的にパスワードを更新する

フィッシング詐欺への最も効果的な備えの一つが、サービスごとに異なる 強力なパスワードを設定し、定期的に更新することです。 仮にフィッシングサイトにパスワードを入力してしまったとしても、 サービスごとに異なるパスワードを使っていれば被害は 1 つのサービスに限定されます。 さらに、定期的に変更していれば攻撃者が利用できる期間を最小限に抑えられます。

パスつく.com を使えば、強力なランダムパスワードを瞬時に生成できます。 更新の際は、文字数を 16 以上に設定し、英大文字・英小文字・数字・記号の 4 種類すべてを有効にしてください。強度メーターで 80 ビット以上の エントロピーが表示されていれば、十分な強度です。 複数のサービスのパスワードを一度に更新する場合は、パスつく.com の一括生成機能が 便利です。生成後は一括コピー機能でクリップボードに取得し、 パスワードマネージャーに登録してください。

推奨される更新頻度

  • 金融サービス: 3 か月に 1 回
  • メールアカウント: 3〜6 か月に 1 回
  • SNS: 6 か月に 1 回
  • その他のサービス: 漏洩通知を受けた場合に即時変更

FIDO2 セキュリティキーによる根本的な対策

フィッシング対策の最終的な解決策として注目されているのが、 FIDO2 対応のセキュリティキーです。FIDO2 認証では、認証時にブラウザが 接続先のドメインを暗号学的に検証するため、フィッシングサイトに パスワードを入力してしまうリスク自体を排除できます。 Google は 2017 年に全従業員 (85,000 人以上) にセキュリティキーの使用を 義務化し、その後フィッシングによるアカウント侵害がゼロになったと報告しています。 この事例は、技術的な対策が人間の注意力に依存する対策よりも はるかに信頼性が高いことを示しています。FIDO2 セキュリティキーの導入ガイド (Amazon)では、対応デバイスの選び方や設定手順が詳しく解説されています。

今すぐできること

  1. メール内のリンクを直接クリックする習慣をやめ、公式サイトにはブックマークからアクセスする
  2. メールアカウントと金融サービスに二段階認証 (認証アプリ推奨) を設定する
  3. パスつく.com で各サービスに 16 文字以上の固有パスワードを生成し、使い回しを解消する
  4. ブラウザの「HTTPS のみモード」を有効にし、フィッシングサイトへの接続リスクを低減する
  5. 不審なメールを受信したらフィッシング対策協議会 (info@antiphishing.jp) に報告する

相关文章

生成密码 →