進化するフィッシングメール攻撃とは？新旧手法の比較と効果的な対策

フィッシング攻撃とは

メールやSMSを通じて、実在する企業や組織になりすまして個人情報を詐取する攻撃手法です。「大手通販サイトを装った不正ログイン警告」や「宅配業者を装った再配達通知」など、私たちが日常的に受け取る正規のメールを巧妙に模倣することで、受信者の警戒心を解いて情報を詐取します。

攻撃の目的

攻撃者は、IDやパスワード、クレジットカード情報などの個人情報、あるいは企業の機密情報や金銭を狙っています。一度情報を詐取されると、なりすましや不正送金などの二次被害にもつながります。特に最近では、詐取した認証情報を使用して社内システムに侵入し、ランサムウェアを仕掛けるなど、より深刻な被害に発展するケースも増加しています。

被害の実態

2023年度の国内におけるフィッシング報告数は過去最多を記録し、警察庁の発表によると、2023年12月8日の時点で被害件数は5,147件、被害額は約80.1億円に達しています。個人や企業の規模を問わず被害は発生しており、手法も年々巧妙化しています。特に金融機関や大手ECサイトをかたる攻撃は依然として多く、注意が必要です。

従来型フィッシング攻撃の特徴を知る

従来型のフィッシングメールには、明確な特徴がありました。

不自然な日本語表現

差出人のメールアドレスが明らかに異なっていたり、文章に不自然な日本語が含まれていたりすることが特徴です。「お客様各位」などの一般的な宛名と、緊急性を強調する表現が使われることが多いです。

偽のURLリンク

本文中に記載されるURLは、正規のドメインとは異なる不自然なものが使用されます。クリックを促す文言と共に、偽サイトへの誘導が行われます。

怪しい添付ファイル

「重要なお知らせ.exe」といった実行ファイルや、マクロ付きのOfficeファイルが添付されていることがあります。これらのファイルには、マルウェアが仕込まれている可能性が高いです。

不安を煽る文面パターン

「アカウントの停止」「不正ログインの検知」「料金未納の警告」など、受信者の不安をあおる文言が使用されます。多くの場合、即座の対応を求める緊急性の高い内容となっています。

このような特徴は、一般ユーザーでも比較的容易に見分けることができました。しかし、近年では攻撃手法が巧妙化し、これらの特徴だけでは見破ることが難しくなってきています。

最新のフィッシング手法に要注意

最新のフィッシング攻撃は、AIの活用や緻密な準備により、見分けることが困難になっています。

ビジネスメール詐欺（BEC）の台頭

取引先や上司になりすまし、自然な日本語で取引や振込に関する依頼を装います。業務フローを理解した上での攻撃が行われ、正規のビジネスメールと見分けがつきにくいです。

具体例

2023年8月、東京・渋谷区のテレビ局で発生したBEC事例が注目を集めました。取引先になりすました攻撃者が、偽の請求書で送金先口座の変更を依頼。自主イベント事業の取引に関する支払いとして送金が行われ、詐欺被害が発生しました。同社は警察への相談と金融機関への被害申告を行うとともに、再発防止策の検討を進めています。

AI活用による高度化

機械学習により、受信者の属性や行動パターンを分析し、より説得力のある文面が作成されます。SNSなどから収集した情報を組み合わせた、パーソナライズされた内容となっています。

具体例

2019年、大手自動車部品メーカーで発生した事例では、攻撃者が同社の財務部門の業務フローや組織構造を詳細に調査。幹部の名前、役職、業務内容を把握した上で、経営幹部になりすました精巧なフィッシングメールを送信しました。メールには緊急の法的問題や重要な取引に関する指示が含まれており、正規の取引先や社内上層部からの正当な依頼を装う内容でした。その結果、指定された口座への送金が実行され、当時のレ

ートで約41億円（3700万ドル）の被害が発生しました。

フィッシングメールの見分け方のポイント

フィッシングメールを見分けるためには、いくつかの重要な確認ポイントがあります。

送信元アドレスの精査

メールヘッダーを確認し、送信元の正当性を検証します。特に取引先を装うメールの場合は、普段のやり取りで使用しているアドレスと完全に一致するか確認が必要です。

例）

sample@company.co.jp

sample@company.co.ip

このように、一見すると見分けがつきにくい微妙な違いにも注意が必要です。

本文の違和感に注目

通常のやり取りと異なる表現や、急かすような文面には注意が必要です。普段と異なる依頼や指示があった場合は、別の連絡手段で確認を取ります。特に金銭に関する重要な指示の場合は、電話やビデオ会議など、なりすましの難しい手段での確認を心がけましょう。

組織として取り組むべき対策

技術的な対策と共に、組織としての取り組みが重要です。

多層的な防御体制

SPF/DKIM/DMARCの導入や多要素認証の実装など、技術的な対策を段階的に進めます。AIベースのメールフィルタリングの導入も効果的です。特にDMARCの導入は、なりすましメールの防止に大きな効果を発揮します。メール認証技術を組み合わせることで、不正な送信元からのメールを確実にブロックできます。

従業員教育の実施

定期的な研修や訓練を通じて、フィッシングメールに対する警戒意識を高めます。特に新入社員や役職者など、標的になりやすい従業員への重点的な教育が重要です。実際のフィッシングメールを模した訓練を定期的に実施することで、従業員の対応力を継続的に向上させることができます。

まとめ：フィッシング対策の要諦

進化を続けるフィッシングメール攻撃から組織を守るためには、技術対策と人的対策の両輪で取り組むと共に、「怪しい」と感じた際の確認プロセスを組織として確立することが不可欠です。

クラウドサービスやコラボレーションツールの利用が当たり前となった今日、メールセキュリティの重要性はますます高まっています。AvePointのソリューションは、Microsoft 365環境におけるセキュリティ強化を包括的にサポートし、フィッシング対策の実施を支援します。企業全体のセキュリティレベル向上をご検討の皆様は、お気軽にご相談ください。