はじめに
インターネットバンキングやECサイト、クラウドサービスなど、私たちの生活と業務の大部分がオンラインに移行している今、フィッシング詐欺の脅威が根本的に変わりました。
AI生成技術の進歩により、「本物そっくり」どころか「本物と見分けがつかない」偽サイトやメールが大量に作られ、従来の「怪しいメールを避ける」という対策では防げない時代に突入しました。
本記事では、最新のフィッシング手法とその被害実態を整理し、組織やサービス提供者が今すぐ取るべき根本的な対策を具体的に解説します。Webサービスを運営する企業にとって、従来の認証方式では「守れない」現実と、それを解決する技術的解決策を解説します。
あなたも今日騙されるかもしれない、AIとPhaaSが変えたフィッシングの今
「怪しいメール」を避けていてもフィッシングにひっかかる
従来のフィッシングメールは、不自然な日本語や明らかに怪しいリンクで見分けることができました。
引用:フィッシング110番(警視庁)https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/security/cyber406.html
しかし現在は、生成AIにより自然な日本語で書かれ、SNSから得た個人情報でパーソナライズされたメールが送られてきます。受信者は「自分宛ての正当な通知」と完全に錯覚してしまいます。
Phishing-as-a-Service(PhaaS)を使うと誰でもフィッシング詐欺のプロになれる
近年、Phishing-as-a-Service(PhaaS)という「詐欺のサブスクリプション化」が進行しています。これは技術力のない個人でも簡単にフィッシング攻撃を実行できるパッケージサービスで、以下の機能を提供します。
- 偽ログインページのテンプレート(銀行・ECサイトなど)
- メール/SMSの大量送信ツール(送信元偽装機能付き)
- 入力情報(ID/パスワード)の自動収集と可視化
- 成功率やクリック数の分析ダッシュボード
- 初心者向け操作マニュアルと有料サポート
これらはダークウェブを通じて月額サービスとして提供され、誰でも簡単にフィッシング詐欺を実行できる環境が整っています。
それ、見抜けますか? 見破れないフィッシングの最新手口
見た目は本物、URLも信じられない。IDNホモグリフ攻撃
「URLを確認すれば安心」という常識も通用しません。IDNホモグリフ攻撃では、見た目が似た別文字でURLを偽装します。
例:
www.paypaI.com(最後の「l」が大文字アイ)www.amаzon.co.jp(「a」がキリル文字)
これらは目視では見抜けないほど精巧で、技術的な検出・ブロック体制が不可欠です。
二要素認証すら突破される、MITM型フィッシング
MITM(Man-in-the-Middle)型フィッシング(中間者攻撃)では、偽サイトが正規サービスとリアルタイムで通信を行います。この攻撃では、下記のような手順でフィッシングが行われます。
- ユーザーが偽サイトにID・パスワードを入力
- 攻撃者がその情報で本物のサイトにログイン
- 本物のサイトからSMSで認証コードが送信
- ユーザーが偽サイトにコードを入力
- 攻撃者がそのコードを使って正規サイトにログイン完了
SMSや認証アプリで送られる二要素認証コードすら盗み取られるため、従来の多要素認証では防げません。
SNSやSMS経由で「信頼から騙す」ソーシャルチャネル型詐欺
- SNSでの偽キャンペーン
友人のアカウントを乗っ取り、信頼できる人からの情報として詐欺リンクを送信 - スミッシング(SMS詐欺)
「口座凍結」「マイナンバー確認」「再配達」など緊急性を装ったSMSで即座のクリックを促す
以下の業界・ブランドなどを語って行われることが多いです。
- 携帯キャリア(docomo、au、SoftBank)
- 銀行・クレジットカード会社
- 宅配業者(ヤマト運輸、佐川急便)
- 大手EC(Amazon、楽天)
日本はフィッシング詐欺の格好の餌食
日本は、フィッシング詐欺のターゲットとして非常に狙われやすい国です。
その理由は以下のようなものが原因があります。
1. 技術的要因
- ID・パスワード中心の認証が主流(欧米ではパスワードレス認証が普及)
- スマートフォンの高い普及率によりSMS攻撃が効果的
- 中小企業でのセキュリティ対策の遅れ
2. 文化的要因
- 公的機関や大企業への高い信頼度
- 指示に従順な対応姿勢
- SMSやメールでの連絡への慣れ
これらの要因により、日本は犯罪者にとって「成功率の高い市場」となっています。
経営への深刻な影響を起こす、実際の被害事例
山形銀行を装う自動音声詐欺(2025年3月)
自動音声で「セキュリティ上の問題が発生しました」と告げ、偽サイトに誘導。約1億円の不正送金が発生した他、被害総額は10億円規模との報道があります。従来のテキストベースから音声を使用した新たな手口として注目されています。
山形鉄道 インターネットバンキング不正送金で約1億円被害(NHK 山形 NEWS WEB)
https://www3.nhk.or.jp/lnews/yamagata/20250312/6020023438.html
琉球銀行の法人向けバンキングで1億円被害(2025年4月)
「りゅうぎんBizネット」のログイン画面に酷似した偽ページに誘導され、複数の法人が被害に遭いました。中小企業を狙ったBtoB向けフィッシングが急増しており、企業間取引や法人口座をターゲットにした組織的な犯行の可能性が指摘されています。
琉銀ネットバンクで詐欺 法人が被害、総額1億円 電話でパスワード聞き出す 沖縄(琉球新報)
https://ryukyushimpo.jp/newspaper/entry-4114314.html
証券口座乗っ取り、被害総額3,000億円超(2025年5月)
フィッシングで証券口座が乗っ取られ、勝手に株取引される事案が相次ぎました。特に資産価値の高い口座が狙われ、短期間で大量の不正取引が行われています。国内主要証券会社では緊急のセキュリティ対策強化が進められています。
証券口座乗っ取り、不正売買3,000億円超に急増 金融庁まとめ(日本経済新聞)
https://www.nikkei.com/article/DGXZQOUB08AZW0Y5A500C2000000/
なぜ「パスワード+認証コード」といった従来の対策では防げないのか?
多くの企業では、「パスワードに加えてSMSや認証アプリを使った多要素認証(MFA)」を導入しています。
しかし、現代のフィッシング詐欺に対しては、これらの対策も突破される時代に入っています。
認証コードすら盗まれる、SMS認証の落とし穴
「パスワード+SMS認証」の組み合わせは、今や安全とは言い切れません。
前述のMITM型フィッシングでは、SMSで送られる認証コードもリアルタイムで攻撃者に渡ってしまいます。
実際に、SMS認証を突破されたケースが多数報告されています。攻撃者は以下のような手順で認証を突破します。
- ユーザーが偽サイトにID・パスワードを入力
- 攻撃者がその情報で本物のサイトにログイン
- 本物のサイトからSMSで認証コードが送られる
- ユーザーが偽サイトにコードを入力
- 攻撃者がそのコードを使って正規サイトにログイン完了
SMSが「セキュリティ対策」になるどころか、騙すためのトリガーになっているのが現実です。
アプリ認証(TOTP)にも限界、6桁のコードもリアルタイムで盗まれる
「Google Authenticator」「Microsoft Authenticator」などのTOTP(時刻ベースのワンタイムパスワード)も、偽サイトに入力してしまえば意味がありません。コードの有効時間は30秒でも、MITM攻撃では十分に間に合います。
本人確認のはずの「ワンタイムコード」が、逆に攻撃者に使ってもらえる材料になってしまうのです。
セキュリティと運用によるパスワード管理の現場負荷は増えている
従来のID・パスワード運用には、次のような継続的な管理コストも存在します。
- パスワード忘れによるヘルプデスク問い合わせ(運用コスト)
- 定期変更ルールに従わせるための社内アナウンスと教育
- 複雑なパスワード要件(文字数・記号・大文字など)の啓発
- アカウントロック時の対応フローと復旧手続きの煩雑さ
これらは全て、人がミスする前提の設計を前提にしているがゆえの負担です。
音声・映像・スマートデバイス、すべてが攻撃経路になる?今から備えるべき対策とは
サイバー攻撃は常に進化し続けています。メールやSMSを警戒するだけでは、もはや不十分です。音声、映像、IoT、API連携——あらゆる手段が攻撃の経路になり得る時代が始まっています。
今後ますます巧妙化すると予想される、新たな脅威
- ボイスフィッシング
音声生成AIを用いて金融機関やサポートセンターの声を再現。電話で本人確認やセキュリティ対応を装い、情報を引き出す手口が現実に発生しています。 - ディープフェイク認証突破
ZoomやTeamsなどのビデオ会議ツールを悪用し、偽装した顔動画で本人確認を突破。特にリモートワークや遠隔採用での被害リスクが指摘されています。 - IoTデバイス経由の侵入
スマートロック、ネットワークプリンター、監視カメラなど、社内ネットワークに接続されたIoTデバイスを狙い、そこから内部に侵入する攻撃が増えています。 - マルチチャネル詐欺の高度化
メール→SMS→電話→チャットボットと複数手段を組み合わせた「詐欺のストーリー化」により、1つの防御策では不十分なケースが増加。 - AIを活用したビジネスメール詐欺(BEC)
経営層になりすまし、自然な日本語の送金依頼メールをAIで生成。経理・財務担当を狙って高額送金を騙し取る被害が国内でも急増中。
フィッシング攻撃を無効化する認証技術、FIDOを知っていますか
パスワードやSMSによる二要素認証は、一定の効果はあるものの、フィッシング詐欺の進化に追いつけなくなっています。
MITM攻撃やPhaaSに代表される手法では、ユーザーが正しい情報を入力しても、攻撃者がリアルタイムでその情報を奪って認証を突破してしまうケースが多発しています。
では、そもそも盗まれても使えない認証方式とは何か?
それが、FIDO(Fast IDentity Online)認証です。
フィッシング耐性の観点から認証方式を比較
| 認証方式 | フィッシング耐性 | MITM攻撃への対応 | ユーザビリティ | 運用コスト |
|---|---|---|---|---|
| パスワードのみ | × 非常に低い | × 弱い | ○ やや高い | ○ 安いが運用負荷大 |
| SMS認証 | △ 中程度 | × 弱い | △ 通知に依存 | △ 通信コストあり |
| アプリ認証(TOTP) | △ 中程度 | × 弱い | ○ 簡単だが誤入力あり | △ 有効期限管理などが必要 |
| プッシュ通知認証 | ○ 高い | △ 一部脆弱性あり | ○ 高い | ○ 比較的低コスト |
| FIDO認証 | ◎ 非常に高い | ◎ 無効化可能 | ◎ 生体認証等で高速 | ○ 初期導入は必要だが運用軽減 |
FIDOだけが「フィッシング無効化」を実現できる理由
1. 認証情報が「送られない」
FIDOでは秘密鍵(認証情報)はユーザーの端末内にのみ存在し、サーバーやネットワーク上には一切流れません。
つまり、偽サイトに入力すること自体が物理的に不可能です。
2. サイト(オリジン)検証が組み込まれている
FIDO認証は、認証時に「そのサイトが本物かどうか」も確認する設計になっています。
偽サイトではドメインが一致しないため、認証が開始すらされません。
3. 中間者攻撃が成立しない構造
FIDOは公開鍵暗号をベースとするため、攻撃者が中継しても意味のある認証情報を得ることができません。MITM型詐欺は技術的に無力化されます。
セキュリティと業務効率の両立が可能。実際の導入効果は?
セキュリティ効果
- フィッシング詐欺による不正ログインゼロ化
- パスワード流出による被害の構造的無効化
- 総当たり攻撃(ブルートフォース)の意味喪失
運用効果
- パスワード忘れ対応のヘルプデスク負担を削減(企業によっては年数百万円規模)
- 定期変更、ルール複雑化に伴う周知や教育が不要
- 生体認証やセキュリティキーによるログインの高速化
フィッシング詐欺による不正ログインの無効化によるリスク削減や、コストと労力の削減による業務効率向上が見込まれます。
セキュリティをコストと捉えるか、競争力とするか。投資対効果で考える。
「セキュリティ対策にお金をかけても、売上には直結しない」思われがちです。
しかし、フィッシング被害の損失額と比較すると、FIDOのような技術投資は「保険」ではなく「経営戦略」となりえます。
FIDO導入コストとフィッシング被害額の試算
FIDO認証の導入コスト(年間目安)
| 従業員規模 | 年間コスト(概算) | 備考 |
|---|---|---|
| 約100名 | 50万円〜200万円 | SaaS型・クラウド連携で導入可能 |
| 約1,000名 | 300万円〜800万円 | 大規模対応・ID数に比例して変動 |
※利用人数ベースのライセンス型や、段階導入で柔軟にコントロール可能
1回の事故による、フィッシング被害の損失試算
- 直接的な金銭損失
→ 数百万円〜数億円(不正送金、詐欺被害) - ブランド信頼の失墜
→ 被害額の3〜5倍の売上インパクト - 法的対応・調査費用
数千万円規模(調査委託・通知対応など) - 業務停止・顧客離れ
数日〜数週間の停止で計測困難な損失
1回の被害で、FIDO導入費の数年分が一瞬で吹き飛ぶことも珍しくありません。
セキュリティ投資は、企業価値を上げる
FIDOやゼロトラスト1の導入は、単なるリスク回避ではなく「信頼の設計」です。
以下のように経営戦略としてのリターンが明確です。
1. 顧客・取引先からの信頼向上
- BtoB契約でセキュリティ評価が受注要件化
- 個人情報を扱うSaaSでの差別化要因
- 未導入企業との差別化
2. コンプライアンス対応の即効性
- ISMS・GDPR・改正個人情報保護法への対応力向上
- 行政・金融系顧客の信頼獲得
3. ESG・サステナビリティ経営への貢献
- 情報管理・人権保護の観点で「非財務情報」として評価
- 投資家・ステークホルダーからの評価向上
4. 人材定着・顧客体験の向上
- UXの高い認証体験による離脱率低下
- 「セキュリティを理由に使いにくい」という課題の解決
セキュリティは「損失回避」だけでなく「競争力強化」のためにもあるのです。
今すぐ確認すべき、フィッシングに強いサービス設計チェックリスト
ログイン機能を持つすべてのWebサービスは、騙されても被害にならない仕組みづくりが不可欠です。
フィッシング耐性の基本設計
- ID・パスワードのみでログインさせていないか?
→ パスワードは盗まれ、使われる時代。フィッシングの格好のターゲットになります。 - SMSやTOTPなどの2段階認証を過信していないか?
→ 中間者攻撃(MITM型)では、認証コードも盗まれてしまいます。 - FIDOベースのパスワードレス認証を導入・検討しているか?
→ サーバー側で認証情報を保持せず、フィッシング無効化の仕組みを実現できます。
サービスとしてのの体制
- パスワード入力欄を極力減らし、誘導の余地をなくしているか?
→ ログイン入口を明示し、誤誘導を防ぐ構造になっているか。 - 類似ドメイン・偽サイトの監視を行っているか?
→ ブランドのなりすましを検出・対処できるサービスを導入しているか。 - 不審ログインの検知とブロックが自動化されているか?
→ 地域・端末・時間帯・操作傾向から異常をリアルタイムで判断しているか。
フィッシング対策として監視・復旧体制
- ログイン履歴を顧客自身も確認できるUIがあるか?
→「このログインはあなたですか?」という視点で利用者自身も防御に参加できる設計か。 - インシデント時の即時対応フローが社内に整備されているか?
→ 通報・利用制限・ユーザー通知が速やかに行える体制が構築済みか。
長期的なセキュリティ強化のロードマップ
- FIDO導入に向けた段階的な移行計画がある
→ 初期導入は高リスク領域(例:送金・設定変更など)から始めているか - ゼロトラスト前提の認証・アクセス管理の構築に着手しているか
→ クラウド、API連携も含めて信頼せずに検証する前提での設計か - AIによる異常行動検知が導入されているか
→ 顧客のいつもと違う挙動を検出できるか(機械学習の活用)
パスワードを使わない設計こそが、顧客を守る一番の方法です。
フィッシング詐欺が問題になる前に、技術で問題を無効化する判断が企業の信頼を守ります。
まとめ
フィッシング詐欺の脅威は、AIやディープフェイク技術の発展に伴い、今後さらに巧妙化・高速化すると予想されます。
フィッシング詐欺の進化により、「人が気をつける」前提の対策では限界があることが明らかになりました。重要なのは、騙されることを前提として「騙されても被害にならない仕組み」を技術的に構築することです。
FIDO認証は、フィッシング攻撃を根本的に無効化する唯一の認証方式として、今後の標準となっていくでしょう。早期導入により、顧客の信頼を守り競争優位性を確保することが可能です。
セキュリティ投資は、もはやコストではなく経営戦略です。被害が発生してからの対応費用と比較すれば、予防としての技術投資の価値は明らかです。
CapyならFIDO2に準拠した認証システムが簡単に導入できます。
導入費用やランニングコストも抑えられますのでぜひお問い合わせください。
Capyの生体認証へのお問い合わせはこちら
https://corp.capy.me/fido/
参考リンク
- セキュリティにおいて「何にも信頼せず、常に検証する」 という考え方のこと。 ↩︎
