2026年のフィッシング脅威:AI活用で巧妙化が止まらない
フィッシングメールは、サイバー攻撃の入り口として長年にわたり企業を悩ませてきた手口です。しかし2025年から2026年にかけて、その性質は大きく変質しました。生成AIの普及により、以前は一目でわかった「不自然な日本語」「定型的な文体」といった特徴が消え、受信者が違和感を覚えにくい高品質なメールが大量に送信されるようになっています。
AI生成フィッシングの台頭
従来のフィッシングメールは、文法的に不自然な文章や、翻訳調の表現が目立つことが多く、セキュリティ意識の高い社員であれば直感的に気づけるケースが多くありました。しかし生成AIを活用したフィッシングメールは、自然な日本語で書かれ、取引先や金融機関の文体・トーンを精密に再現します。
実際、2025年後半以降、国内のセキュリティベンダー各社は「AI生成と推定されるフィッシングメールの検知数が前年比で3倍以上に増加した」と報告しています。AIはターゲットの企業名・担当者名・業界用語を組み込んだパーソナライズされた文面を自動生成でき、一通ごとに文章をわずかに変化させることで既存のパターンマッチングを回避します。
ビジネスメール詐欺(BEC)の拡大
フィッシングと密接に関連する攻撃手法として、ビジネスメール詐欺(BEC:Business Email Compromise)の被害が拡大しています。BECは、経営幹部や取引先になりすましたメールを送り、不正な振込や機密情報の開示を誘導する詐欺です。FBIのIC3(インターネット犯罪苦情センター)の2025年報告によれば、BECは金銭的被害額においてサイバー犯罪の中で最大の損失をもたらし続けており、その手口はより組織的・持続的になっています。
日本においても、経済産業省や警察庁が注意喚起を繰り返しており、2025年には国内製造業・商社・金融機関での被害が相次いで報道されました。被害額は一件あたり数百万円から数千万円に及ぶケースが多く、中小企業にとっては経営を揺るがす損失につながります。
スミッシング・ボイスフィッシングとの組み合わせ
2026年現在、フィッシングはメールに留まらず、SMS(スミッシング)・音声通話(ビッシング)・メッセージングアプリとの組み合わせ攻撃が増加しています。「まずSMSで警戒心を下げ、続いてメールでリンクを送付する」といったマルチチャネル攻撃は、従来のメール単体フィルタリングでは対応しきれません。
フィッシングメールの見分け方:7つのチェックポイント
社員全員が実践できる判断基準を整理します。完璧な見分け方は存在しませんが、以下のチェックポイントを組み合わせることで、疑わしいメールを高い確率で識別できます。
チェック1:送信者メールアドレスのドメインを確認する
表示名が「○○銀行」「△△株式会社」であっても、実際の送信ドメインが全く関係のないものであるケースは非常に多くあります。メールクライアントで「送信者」フィールドを展開し、@以降のドメイン部分を確認することが基本です。
よく使われる手口として、正規ドメインに似た文字を使ったタイポスクワッティングがあります。例えば amazon.co.jp に見せかけた arnazon.co.jp(rとnをmに見せかける)や、0(ゼロ)と o(オー)の置き換えなどが代表例です。
また、正規ドメインのサブドメインを活用する手口も存在します。login.amazon.co.jp.phishing-site.com のようなURLでは、amazon.co.jp の部分は正規に見えますが、実際のドメインは phishing-site.com です。URLを左から読むのではなく、ドメインの「最後の2段階」(例:phishing-site.com)を確認する習慣が重要です。
チェック2:リンクのURLをクリック前にホバーで確認する
メール本文に記載されたリンクテキストと、実際のリンク先URLが一致しない場合は危険信号です。PCのメールクライアントではリンクにマウスオーバー(ホバー)すると、画面下部または吹き出しで実際のURLが表示されます。
確認すべき点は以下のとおりです。
- HTTPSではなくHTTPのURLである
- ドメインが公式サイトと一致しない
- 短縮URL(
bit.ly、t.coなど)で実際の遷移先が隠されている - 数字のIPアドレス(例:
http://192.168.1.1/login)が使われている
スマートフォンでの確認はより難しいため、不審なメールのリンクはモバイルではクリックせず、PCで確認するか、正規サイトへ直接アクセスする習慣を持つことが推奨されます。
チェック3:緊急性・脅迫的な表現に注意する
フィッシングメールの多くは、受信者の判断を急かすために緊急性を演出します。代表的な文言パターンを挙げます。
- 「今すぐ対応しないとアカウントが停止されます」
- 「24時間以内に確認しなければ取引を中止します」
- 「セキュリティ上の問題を検知しました。即時ログインが必要です」
- 「未払いの請求があります。本日中にご対応ください」
正規の金融機関・行政機関・大手サービスが、メールで「今すぐクリックしなければアカウントを削除する」といった脅迫的な表現を使うことはほとんどありません。こうした表現が含まれるメールには、慌てず一呼吸おいて判断することが重要です。
チェック4:添付ファイルの拡張子・形式を確認する
フィッシングメールに添付されたファイルがマルウェア配布の手段として使われるケースは多く、特に注意が必要な拡張子があります。
.exe、.bat、.cmd、.vbs、.ps1:実行ファイル。正規のビジネス文書として送付されることはほぼない.xlsm、.docm:マクロ有効化Officeファイル。開くとマクロ実行を促すダイアログが出る.iso、.img:ディスクイメージ形式。セキュリティフィルターを迂回する目的で使用されることがある.zip、.7z:パスワード付き圧縮ファイル。内部のマルウェアをスキャンから隠すために使われる
「請求書.pdf.exe」のように、二重拡張子でPDFに見せかけた実行ファイルも存在します。Windowsの設定で「登録されている拡張子は表示しない」が有効になっているとこの偽装に気づきにくいため、拡張子を常に表示する設定への変更を推奨します。
チェック5:差出人に直接確認する
メールの内容が「取引先から振込先口座の変更依頼」「上司から緊急の振込指示」など、金銭や重要情報に関わる場合は、必ずメール以外の手段で差出人本人に確認します。
確認に使う連絡先は、受け取ったメールに記載されているものではなく、あらかじめ登録済みの電話番号・既存のメールスレッドを使うことが原則です。攻撃者は偽のメールアドレスや電話番号を本文中に記載し、「確認のために電話をかけても自分たちが出る」仕組みを整えているケースがあります。
チェック6:メールヘッダーを確認する(IT担当者向け)
IT部門のセキュリティ担当者は、不審メールの分析においてメールヘッダーの確認が有効です。確認すべき主なヘッダー情報は以下のとおりです。
Receivedヘッダー:メールが経由したサーバーの実際のIPアドレスを示す。正規サーバーを経由していない場合は要注意Authentication-Resultsヘッダー:SPF・DKIM・DMARCの認証結果が記録される。failやnoneが記載されている場合は送信元の正当性が疑わしいReply-Toヘッダー:Fromアドレスと異なる場合は、返信を攻撃者のアドレスに誘導しようとしている可能性がある
Gmailであれば「その他のオプション」→「メッセージのソースを表示」、Outlookであれば「ファイル」→「プロパティ」でヘッダーを確認できます。
チェック7:多要素認証(MFA)の有無に関わらず疑う
「MFAを設定しているから安全」という過信は禁物です。近年ではリアルタイムフィッシング(AiTM:Adversary-in-The-Middle)と呼ばれる手法が普及しており、フィッシングサイトが被害者のMFAコードを即座に転送して正規サービスへのログインを完了させる攻撃が確認されています。MFAは重要な防御策ですが、フィッシングメール自体への警戒を緩める理由にはなりません。
国内被害事例:BEC・なりすまし・偽請求書
事例1:製造業での取引先なりすましによる不正送金(2025年)
国内の中規模製造業において、長年の取引先メーカーになりすましたメールが経理担当者に届き、「銀行口座の変更」を通知するとともに、1,200万円の請求書と新口座情報が添付されました。担当者は過去のメール履歴と文体が酷似していたため本物と判断し、指定口座に送金。後日、取引先への確認で不正が発覚しましたが、資金回収には至りませんでした。
本事例の問題点は、攻撃者が事前に取引先のメールサーバーに侵入してメール文面・担当者名・請求書フォーマットを入手し、精巧な偽メールを作成していた点です。「取引先に似たドメイン」ではなく、取引先のメールアカウント自体が侵害されていたため、発信元ドメインによる検出も機能しませんでした。
事例2:IT企業での経営幹部なりすまし(2025年)
国内IT企業において、代表取締役を名乗るメールが経理部長に届き、「M&Aの極秘案件のため、本日中に2,000万円を指定口座へ先行送金してほしい。CFOにも知らせないように」との指示が記載されていました。経営幹部のメールアドレスを精巧に模倣したアドレスが使われており、また「秘密厳守」という文言が他者への確認を心理的に阻害しました。
CFOへの確認を省略した点が被害拡大の直接的な原因でした。事後調査により、攻撃者は標的企業のLinkedIn・プレスリリース・IR情報から経営陣の名前・役職・メール形式を収集して攻撃を準備していたことが判明しました。
事例3:偽の宅配業者通知と個人情報窃取(2025年〜継続中)
BtoC・BtoB双方において最も件数が多いのが、宅配業者・EC事業者・金融機関を装った偽の通知メールです。「お荷物が届いています。再配達のお申し込みはこちら」「カード利用に不審な点がありました」といった文面で、偽ログインページへ誘導してID・パスワード・クレジットカード情報を窃取します。
企業においては社員が業務中に個人のメールアドレスでこうしたフィッシングに引っかかり、同一パスワードを業務システムにも使用していたことで、社内システムへの不正アクセスにつながったケースが報告されています。
技術的対策:DMARC・SPF・DKIMとメールゲートウェイ
フィッシングメールへの技術的対策の根幹は、メール認証プロトコルの正しい実装と、メールゲートウェイによる多層フィルタリングです。
SPF(Sender Policy Framework)
SPFは、特定のドメインからメールを送信することが許可されているサーバーのIPアドレスをDNSに公開し、受信サーバーがそれを照合する仕組みです。自社ドメインを悪用したなりすましメールを受信側で検出・拒否するために機能します。
DNSのTXTレコードに以下のような形式で設定します。
` v=spf1 include:spf.example.com ip4:203.0.113.0/24 -all `
-all(ハードフェイル)を末尾に指定すると、許可されていないサーバーからの送信を明示的に拒否します。~all(ソフトフェイル)はスパムフラグを立てるが拒否しないため、なりすまし防止の観点では -all の設定が推奨されます。
ただし、SPFには転送メールや複雑な送信経路に対する脆弱性があり、単独では不十分です。
DKIM(DomainKeys Identified Mail)
DKIMは、送信メールに電子署名を付与し、受信側でその署名を検証することでメールの改ざん有無・送信元の正当性を確認する仕組みです。署名に使う公開鍵はDNSのTXTレコードに公開されます。
SPFが「どのサーバーから送信されたか」を検証するのに対し、DKIMは「メールの内容が途中で改ざんされていないか」「正規の秘密鍵を持つ送信者が送ったか」を検証します。両者は異なる側面をカバーするため、SPFとDKIMを両方設定することが基本です。
DMARC(Domain-based Message Authentication, Reporting & Conformance)
DMARCは、SPFとDKIMの認証結果を元に、認証に失敗したメールをどう処理するか(ポリシー)を受信サーバーへ指示するとともに、認証失敗の報告を受け取る仕組みです。
DMARCポリシーの設定値は3段階あります。
ポリシー | 動作 | 推奨フェーズ |
|---|---|---|
| 何もしない(報告のみ) | 初期導入・モニタリング期 |
| 認証失敗メールを迷惑メールフォルダへ | 段階的移行期 |
| 認証失敗メールを拒否 | 完全実装後 |
DNSのTXTレコードへの設定例は以下のとおりです。
` _dmarc.example.co.jp TXT "v=DMARC1; p=reject; rua=mailto:dmarc-report@example.co.jp; pct=100" `
rua には集計レポートの受け取り先メールアドレスを指定します。DMARCレポートはXML形式で届くため、DMARC Analyzerなどの可視化ツールと組み合わせて運用することが一般的です。
日本企業のDMARC実装状況
総務省・JPCERTの調査によれば、2025年時点で国内の主要企業のDMARC設定率は向上しているものの、p=reject(完全拒否)まで設定できている企業は大企業でも3割未満とされています。設定しているが p=none のままで実効的な保護がない企業が多い状況です。
メールセキュリティゲートウェイの活用
DMARC/SPF/DKIMによる送信ドメイン認証と並行して、メールセキュリティゲートウェイ(メールゲートウェイ)の導入が有効です。主な機能は以下のとおりです。
サンドボックス分析:添付ファイルを安全な隔離環境(サンドボックス)で実行し、マルウェアの動作を検出します。拡張子偽装・難読化されたマルウェアに対しても有効で、エンドポイントへの到達前に脅威を遮断します。
URLレピュテーション・書き換え:メール本文中のURLをゲートウェイ側で書き換え、クリック時にリアルタイムでURLの安全性を評価します。クリック時点で悪性サイトに変わっていた場合(タイムオブクリック攻撃)への対策として有効です。
インプレゾネーション検知:表示名なりすましや類似ドメインを検出するAIベースのエンジンを搭載した製品が増えています。VIPとして登録した経営幹部名が別のメールアドレスから使われた場合に警告を発します。
主要製品としては、Microsoft Defender for Office 365、Proofpoint Email Protection、Mimecast Email Security、Cisco Secure Email(旧IronPort)などが国内企業で広く採用されています。クラウドメール環境(Microsoft 365、Google Workspace)向けには、各プラットフォームのネイティブセキュリティ機能との連携も重要な検討事項です。
MFAとパスワードレス認証の併用
フィッシングによる認証情報窃取への対策として、MFAの全社展開は最低限の対策です。さらに一歩進めて、フィッシング耐性のある認証手段の導入が2026年の推奨事項となっています。
FIDO2/パスキー:物理デバイスまたはデバイスに紐づいた生体認証を使用するため、偽サイトにパスワードやワンタイムコードを入力させるフィッシング攻撃が原理的に成立しません。Microsoft・Googleともにパスキー対応を進めており、企業向けにもFIDO2デバイス(YubiKeyなど)を活用した認証基盤の整備が進んでいます。
条件付きアクセス:Microsoft Entra ID(旧Azure AD)などで「社外ネットワークからのアクセスは必ずMFAを要求する」「管理者権限の操作には特権アクセスワークステーション(PAW)からのみ許可する」といったポリシーを実装することで、認証情報が漏洩した場合でも被害の拡大を抑制できます。
人的対策:社員教育と標的型メール訓練
技術的対策がいかに充実していても、攻撃者は常に人間の判断ミスを狙います。人的対策は技術的対策と車の両輪であり、どちらかだけでは不十分です。
セキュリティ意識向上トレーニング(SAT)の実施
セキュリティ意識向上トレーニング(Security Awareness Training:SAT)は、全社員を対象としたeラーニングや集合研修を通じて、フィッシングを始めとするサイバー脅威への基礎知識と行動習慣を醸成するプログラムです。
効果的なSATのポイントは以下のとおりです。
継続的・反復的な実施:年1回の一括研修では定着しません。月次・四半期ごとの短いモジュール学習と、訓練(後述)を組み合わせたサイクルが効果的です。
役割別のカスタマイズ:経理・調達担当者にはBECの事例、IT管理者にはフィッシングとランサムウェアの連鎖、経営幹部にはホエーリング(経営幹部を標的にした高度フィッシング)といった、各役職・部署の脅威に合わせた内容が有効です。
実際の被害事例の活用:抽象的な説明よりも、国内で実際に発生した被害事例を題材にした研修は定着率が高い傾向があります。「うちの会社でも起きうる」という当事者意識を持たせることが重要です。
標的型メール訓練の計画と実施
標的型メール訓練(フィッシングシミュレーション)は、実際のフィッシングメールに似せた模擬メールを社員に送信し、クリック率・報告率を計測することで、組織のフィッシング耐性を定量的に評価する訓練手法です。
訓練の設計において重要な点を整理します。
難易度の段階設定:最初から高難度のメールを送ると失敗した社員の意欲を削ぐ可能性があります。第1フェーズは比較的見破りやすいメール(明らかな誤字、不自然なドメイン)、第2フェーズは実際の攻撃メールに近い高難度メールと、段階的に難易度を上げる設計が効果的です。
クリック後のティーチングモーメント:模擬フィッシングのリンクをクリックした社員に対して、クリック直後に「これは訓練でした」と通知し、見分けるためのポイントを即座に提示します。失敗を責めるのではなく、学習の機会として活用する姿勢が組織文化として重要です。
報告行動の評価と推奨:クリック率の低下だけでなく、怪しいメールを報告した社員の数(報告率)も重要な指標です。「クリックしなかった」だけでなく「IT部門に報告した」社員を評価する仕組みが、組織全体のセキュリティ文化を向上させます。
訓練の実施頻度:最低でも年2〜4回の実施が推奨されます。四半期ごとに訓練を実施している組織では、クリック率が1年間で大幅に低下するという報告が複数のセキュリティベンダーから出ています。
「報告しやすい文化」の醸成
訓練の技術的側面と同様に重要なのが、社員が不審なメールを受け取ったときに躊躇なくIT部門へ報告できる組織文化です。
「こんなことで連絡して迷惑ではないか」「誤検知だったら恥ずかしい」という心理的障壁が報告を妨げます。経営幹部が積極的に「不審なメールは何でも報告するように」と発信し、報告件数を評価される側ではなく推奨される側の行動として位置づけることが求められます。
また、インシデントレスポンスの観点から、報告の窓口(専用メールアドレス・社内チャット、Outlookのレポートボタンなど)を明確にし、報告後の対応フローを社員に周知することも重要です。
インシデント発生時の対応手順
フィッシングメールを受信した・クリックしてしまったと判明した場合の対応フローを整理します。
フェーズ1:初動対応(発覚から1時間以内)
ネットワークからの切断:フィッシングリンクをクリックしてマルウェアが実行された可能性がある場合、当該端末をネットワーク(有線・無線いずれも)から切断します。マルウェアの外部通信・横展開を阻止するための最重要手順です。
IT部門・セキュリティ担当への即時報告:クリックした社員が自己判断で解決しようとすることは避けます。初動対応のプロが状況を把握した上で対応方針を決定します。
認証情報の入力有無の確認:フィッシングサイトでID・パスワードを入力した場合、当該アカウントのパスワードを直ちに変更します。同一パスワードを使い回しているサービスがある場合は、それらすべてを変更する必要があります。
フェーズ2:調査・封じ込め(1〜24時間)
フォレンジック調査:EDR(Endpoint Detection and Response)ツールのログ、メールゲートウェイのログ、ネットワークトラフィックログを確認し、攻撃の範囲・侵害の有無を調査します。
影響範囲の特定:同様のメールが他の社員にも届いていないか、メール配送ログを確認します。一つの攻撃キャンペーンで複数の社員が標的になっているケースも多いため、組織全体への影響を評価します。
メールの隔離・削除:同一攻撃メールが他の社員のメールボックスに残っている場合、メールゲートウェイまたはMicrosoft Purview Compliance Portal(旧Security & Compliance Center)などの管理コンソールから一括削除します。
フェーズ3:報告・再発防止(24時間〜)
経営幹部・関係部門への報告:被害の内容・範囲・現在の対応状況を経営幹部に報告します。個人情報漏洩が疑われる場合は、個人情報保護法に基づく報告義務(72時間以内の速報)も念頭に置きます。
外部機関への報告:必要に応じてJPCERT/CC(https://www.jpcert.or.jp/)への情報提供、警察への被害届(BECで金銭被害が生じた場合)を検討します。
再発防止策の実施:インシデントの根本原因(技術的ギャップ・プロセスの不備・教育の不足)を特定し、DMARCポリシーの強化、ゲートウェイルールの追加、訓練の追加実施などの対策を講じます。
AEVUSのフィッシング対策支援
フィッシングメール対策は、技術・プロセス・人材の三層にわたる取り組みが必要であり、どれか一つを強化するだけでは組織全体のリスクを低減できません。AEVUSは、企業のフィッシング耐性を包括的に評価・強化する支援を提供しています。
標的型メール訓練サービス
AEVUSの標的型メール訓練では、実際のサイバー攻撃者が使用する手法・ツールを用いて、貴社の社員がどの程度フィッシングメールを見破れるかを定量的に評価します。訓練結果のレポートでは、部署別・役職別のクリック率・報告率を可視化し、追加的な教育が必要な対象を特定します。
メール認証設定診断(DMARC/SPF/DKIM)
現在の自社ドメインのSPF・DKIM・DMARC設定を診断し、設定ミス・ギャップを特定します。p=none のまま放置されているDMARCポリシーを p=reject まで安全に段階移行するための支援も提供しており、設定変更に伴うメール配送への影響を最小化しながら対策を強化できます。
ペネトレーションテスト(ソーシャルエンジニアリング評価)
フィッシングメール・電話・物理的なアクセスを組み合わせたソーシャルエンジニアリング評価により、技術的な防御を迂回して人の脆弱性を突く攻撃に対する組織の耐性を評価します。実際の攻撃シナリオをベースとした訓練は、座学型の研修では得られない実践的な気づきを組織にもたらします。
フィッシング対策に関するご相談・サービス詳細については、下記よりお問い合わせください。
ペネトレーションテスト・セキュリティ診断サービスの詳細はこちら
