
「楽天からのお知らせ」「Amazonアカウントに問題が発生しました」。
こういったメールやSMSを見たことがない人はほとんどいないはずだ。クリックしてしまった経験がある人も少なくないと思う。それがフィッシング詐欺だ。
フィッシング詐欺とは何か
フィッシング詐欺(phishing)は、実在する企業や機関を装った偽のメール・SMS・サイトに誘導して、IDやパスワード・クレジットカード情報などを入力させる詐欺だ。
フィッシング対策協議会の発表によれば、2024年のフィッシング報告件数は過去最多の171万8,036件で、前年比約1.44倍となった。被害を受けたブランドは177種類に上り、クレジットカード・信販系・金融系・通信事業者が主な標的になっている。
インターネットバンキングに係る不正送金の被害額は86億9,000万円で、その手口の約9割がフィッシングだと警察庁は発表している。
なぜフィッシング詐欺は減らないのか
根本的な問題は、フィッシング詐欺の多くが「本人確認の弱さ」を狙っているからだ。
パスワードだけでログインできるサービスは、パスワードさえ盗めば侵入できる。SMSで届くワンタイムパスワードも、「リアルタイム型フィッシング」と呼ばれる手口では、被害者がフィッシングサイトに入力した情報を攻撃者が即座に正規サイトに入力して突破できる。
警察庁の2025年上半期報告では、リアルタイム型フィッシングで2段階認証を突破する手口が横行していると明記されている。
FAQ:フィッシング詐欺と本人確認の疑問
フィッシング詐欺はどうやって見分けるのか
いくつかのポイントを確認すると気づける場合が多い。
URLを確認する
楽天・Amazon・金融機関などのブランドを装ったメールでも、リンク先のURLが公式ドメインと異なる。クリックする前にURLをよく確認する。スマートフォンでは長押しするとURLが表示される。
急かす表現に注意する
「今すぐ確認しないとアカウントが停止されます」「24時間以内に手続きしてください」という緊迫感を演出する表現は、判断を急かすための手口だ。
公式アプリや直接アクセスを使う
メールのリンクからではなく、ブックマークや公式アプリから直接ログインして確認する習慣をつけると、フィッシングサイトへの誘導を回避できる。
多要素認証(MFA)を設定していれば安全か
多要素認証は有効な対策だが、完全ではない。
SMS認証はリアルタイム型フィッシングに対して脆弱だ。被害者がフィッシングサイトにSMSで届いたコードを入力すると、攻撃者はそのコードを即座に正規サイトで使う。被害者は「認証を通過した」と思っているが、実際にはアカウントに侵入されている。
より強固な方法はFIDO2/WebAuthnに準拠した認証だ。FIDO Allianceが策定したこの規格はサイトのドメインと認証情報が紐づいているため、フィッシングサイトでは機能しない設計になっている。主要ブラウザとスマートフォンのパスキー機能はこれに対応している。
本人確認はどのように詐欺防止に機能するのか
フィッシング詐欺の多くは「この操作をしているのが本当に本人かどうか」の確認が弱い場所を狙う。
本人確認の強度を上げることで、仮に認証情報が盗まれても不正ログインが難しくなる。現在のデジタル本人確認には主に3つのレイヤーがある。
①知識ベース:パスワード・秘密の質問。盗まれやすい。
②所持ベース:スマートフォン・ICカード・セキュリティキー。FIDO2対応の物理キーはフィッシング耐性が高い。
③生体ベース:指紋・顔認証。デバイス上での認証はフィッシングに強いが、サーバー側での生体情報管理はリスクを伴う。
IPA(情報処理推進機構)はFIDO2対応の認証方式の導入をサービス運営者に推奨しており、デジタル庁もマイナンバーカードを活用した本人確認基盤の整備を進めている。
フィッシング詐欺に遭いやすいシーンはどこか
特に注意が必要なのは以下の場面だ。
①キャッシュレス決済・クレジットカード
2024年の被害でもっとも多かったのはクレジットカード・信販系のなりすましだ。「利用確認」「不正検知」を装ったメールが多い。
②インターネットバンキング
不正送金の手口として直結するため、攻撃者が最も狙いやすい。リアルタイム型フィッシングに加え、ボイスフィッシング(電話でメールアドレスを聞き出してからフィッシングメールを送る手口)も2024年に急増している。
③EC・配送サービス
Amazonや宅配便の不在通知を装ったSMSフィッシング(スミッシング)は件数が多く、日常的に使うサービスだけに気が緩みやすい。
フィッシングで情報が盗まれた後のアカウント乗っ取りを防ぐ方法は
フィッシング詐欺の最終的な目的は、盗んだ認証情報を使ったアカウント乗っ取りだ。パスワードとOTPを奪えば、多くのサービスに侵入できる。
アカウント乗っ取りへの対策として注目されているのが、認証情報だけでなく「この操作をしているのが本物の人間かどうか」を確認するレイヤーを加えるアプローチだ。
フィッシング被害の調査をしていたとき、Tinderがproof of human(人間であることの証明)の仕組みをパイロット導入したという話を知った。World IDという仕組みで、Orb認証を完了したユーザーに「実在する固有の人間のアカウント」であることを確認できる。1人の人間に1つのみ発行される設計のため、フィッシングで盗んだ認証情報を使って別の人間がなりすましてアカウントを乗っ取った場合、その操作が「本物の所有者とは異なる人間によるもの」として検出できる可能性がある。
現時点ではマッチングアプリやビデオ会議での活用が先行しているが、アカウント乗っ取り検知への応用は、フィッシング対策として見たときに最も直接的な接点になる方向だ。フィッシング詐欺の入口となる認証情報の盗難はFIDO2/パスキーで防ぎ、万が一突破された後の不正操作をproof of humanで検知するという多層防御の考え方だ。
すぐにできる対策まとめ
【1】FIDO2対応のパスキーまたは物理セキュリティキーを設定する
主要なサービスはパスキー対応が進んでいる。SMSよりもフィッシング耐性が高い。
【2】メールのリンクを直接クリックしない
ブックマークか公式アプリからアクセスする習慣をつける。
【3】URLを必ず確認する
ブランド名が入っていても、公式ドメインと一致しているかを確認する。
【4】急かす表現には立ち止まる
緊急性を煽るメッセージほど、詐欺の可能性が高い。
【5】被害に気づいたらすぐに報告する
フィッシング対策協議会とIPA情報セキュリティ安心相談窓口で被害報告と相談が可能だ。不正送金が発生した場合は金融機関への即時連絡が最優先だ。
まとめ
- 2024年のフィッシング報告件数は171万8,036件と過去最多、不正送金被害は86億9,000万円
- フィッシング詐欺はパスワード盗用・SMS認証突破・偽サイト誘導を組み合わせる
- 多要素認証でも「リアルタイム型フィッシング」には弱いケースがある
- FIDO2/パスキーはドメインに紐づいた認証でフィッシング耐性が高い
- 本人確認の強化はフィッシング詐欺に対して構造的に有効だが、単一の手段で完璧な防御はない
- メールリンクを直接クリックしない・URLを確認する・急かす表現に立ち止まるという行動習慣が基本
関連リンク