2025年の年間フィッシング報告件数は、「フィッシング対策協議会の調査結果」によると約245万件に達し、年々増加していることから深刻化が懸念されています。 インターネットバンキングに係る不正送金事犯は4,747件、被害総額は約103億9,700万円となり、被害額は過去最高水準に達しました。

フィッシング詐欺の画面は年々精巧になり、もはや「見た目」だけでは本物と偽物を区別できない時代です。本記事では、最新のフィッシング詐欺画面の手口と見分け方、そして組織として講じるべき実践的な対策を解説します。

フィッシング詐欺とは、実在する企業やサービスを装った偽のメール・SMS・Webサイトを使い、 ユーザーからID・パスワード・クレジットカード情報などを窃取するサイバー攻撃です。攻撃の基本的な流れは以下のとおりです。

• 手順1：偽メール・SMSの送信
  正規サービスを装い、「アカウント停止」「不正利用検知」などの緊急性を煽る文面で受信者の注意を引く

• 手順2：偽画面への誘導
  メール内のリンクから、正規サイトとほぼ同一のデザインで作られたフィッシング画面へ遷移させる

• 手順3：情報の窃取
  口座番号・クレジットカード番号・暗証番号・ID・パスワード・運転免許証・マイナンバーカードの画像情報まで入力させ、攻撃者が窃取する

フィッシング詐欺では、正規サイトのHTML・CSS・画像をコピーして偽画面を作るケースがあります。結果として偽画面の精度が高く、セキュリティの専門家でも一見しただけでは判別が困難なケースが増えています。

フィッシング対策協議会の報告によると、2025年の年間報告件数は過去最多の2,454,297件（前年比約1.42倍）に達しました。攻撃手口も多様化しているため、企業の情報システム担当者が押さえておきたい代表的な手口を5つ紹介します。

正規サイトのソースコードをすべてコピーし、URLだけを変えた「クローンサイト」を作成する手口です。ロゴ・レイアウト・フォームの配置まで本物と同一のため、画面の見た目だけで判別することは極めて困難です。正規URLとの判別を困難にするため、視覚的に紛らわしい文字列を利用したり、短縮URLで偽装したりしてURLを隠す手口が多用されています。

二要素認証を突破する「リアルタイムフィッシング」が特に問題視されています。具体的には、正規サイトと見た目がほとんど変わらない偽画面にIDとパスワードを入力させることが起点となります。入力内容を攻撃者がリアルタイムで正規サイトに入力して、発行されたワンタイムパスワード等も被害者に中継して入力させる手口です。

SMS認証やワンタイムパスワードなど一部の二要素認証は、リアルタイムフィッシングによって突破される可能性があります。そのため、フィッシング耐性の高いパスキーやFIDO2の活用も重要です。

　※FIDO2（Fast IDentity Online 2）とは
　パスワードレス認証の国際標準であり、従来のID/パスワードを使わずに生体認証やセキュリティキーを使用して安全にログインをする仕組み

SMSを利用したフィッシングは「スミッシング」と呼ばれています。スミッシングは、スマートフォンユーザーを対象にすることが多く、スマートフォン特有の「URL全体を一目で確認できない状況」を悪用した手口です。

画面サイズが限られた環境のため、騙される危険性が高まります。実際に総務省や警察庁でも、SMSを利用したフィッシング詐欺の手口が日々変化していることに対する注意喚起をしています。

画像引用元：警察庁『フィッシング対策』

上記のとおり、日常で利用することが多い宅配関連業者や、知っている事業所名からの通知には、ついURLを開きがちです。

フィッシング詐欺では、電話（ビッシング）とメールを組み合わせた複合型の攻撃も増加しています。例えば、銀行やIT部門を装った電話で信頼関係を構築し、その後「確認のため」としてフィッシングメールを送信する手口です。

電話で事前に心理的なハードルを下げた結果、メール単体のアプローチよりも高い確率でフィッシング画面への入力を誘導します。スミッシングのようにメール単体の手口ではないため、「知っている人だから安心できる」と感じ、警戒心が下がりやすい点に注意が必要です。

生成AIやPhaaS（Phishing as a Service）の普及により、専門知識がなくても精巧なフィッシング攻撃を実行できる環境が整っています。例えば、生成AIを活用した精巧な文面作成や、SNSを介した標的型攻撃も増加しています。

従来は不自然な日本語が見分けるポイントでしたが、生成AIの活用により自然な文面が量産されるようになりました。

フィッシング詐欺の画面は日々精度が上がっているため、見分けるチェックポイントを把握しておく必要があります。以下の5項目を社内の共通チェックリストとして活用してください。

なお、チェックリストは有効ですが、「人の注意力だけに頼る対策」の限界を前提に、技術的対策と組み合わせることが重要です。

フィッシング詐欺から組織を守るには、「技術」「教育」「体制」の3つを軸に対策を構築する必要があります。

まず土台になるのが、メールと認証周辺の技術的対策です。例えば、以下を導入すると、自社ドメインを悪用したなりすましメールを防ぎやすくなります。

• DMARC（Domain-based Message Authentication Reporting and Conformance）：
  SPFやDKIMの認証結果をもとに、なりすましが疑われるメールを受信側で隔離・拒否しやすくする仕組み

• SPF（Sender Policy Framework）：
  送られてきたメールが正当なサーバーから送信されたものかを確認するための仕組み

• DKIM（DomainKeys Identified Mail）：
  電子メールにデジタル署名を付与し、送信元のなりすましやメール改ざんを検知する送信ドメイン認証技術

• FIDO2（Fast Identity Online 2）：
  FIDOアライアンスが策定したパスワードレス認証の最新オープン標準規格

• WebAuthn（Web Authentication）：
  パスワードに依存しない次世代の公開鍵暗号ベースのWeb認証規格

フィッシング詐欺は、最終的に利用者の判断を狙う攻撃です。従業員教育では「怪しいメールに注意する」といった抽象的な呼びかけではなく、実際の画面や文面を使った判断基準の共有が欠かせません。

特に、新入社員や非IT部門の従業員には、実際に届きそうなメールやSMSの例を使った教育が効果的です。URLの確認・認証情報入力前の見直し・不審時の報告といった行動を具体的に落とし込む必要があります。

なお、具体的なセキュリティ教育の方法については、以下の記事で詳しく解説しています。

フィッシング詐欺対策では、見抜けなかった場合の対応体制も重要です。不審なメールを受信したとき・誤って情報を入力したときに、「誰へ・どの手段で・何を報告するか」が決まっていないと、初動対応は遅れやすくなります。

初動対応を遅れさせないためにも、報告先の一本化・エスカレーション手順の明文化・社内周知をセットで進める必要があります。属人的な判断に頼らず、誰でも同じ流れで動ける状態を作ることが、組織的対策の基本です。

フィッシング詐欺対策では、知識を持っていることと、実際に行動できることの間に大きな差があります。見た目が精巧な偽画面を前にすると、チェックポイントを知っていても冷静に判断できません。

そこで有効なのが、ブラウザ上でリアルなフィッシング画面を操作できる体験型学習です。「どこで違和感に気づくべきか」「誤操作後にどう報告するべきか」まで体験できると、座学だけでは得にくい判断力が身につきやすくなります。

セキュアプラクティスでは、フィッシング詐欺に加えて、ランサムウェアやスミッシングなどのシナリオも体験できます。単に知識を学ぶだけでなく、「見抜く・立ち止まる・報告する」を組織に定着させたい場合の選択肢として活用しやすいサービスです。

フィッシング詐欺の画面は年々精巧になっており、URL確認やSSL証明書の確認といった従来の見分け方だけでは、対応しきれない場面が増えています。企業としては、フィッシング詐欺の仕組みや代表的な手口、画面を見分けるポイントを押さえたうえで、技術的対策・組織的対策・従業員教育の組み合わせが重要です。

特に重要なのは、「知っている」だけで終わらせず、実際に見抜き・立ち止まり・報告できる状態に整えることです。セキュアプラクティスのような体験型学習を活用すれば、フィッシング詐欺の画面に加え、ランサムウェアやスミッシングなどの脅威も疑似体験できます。

従業員一人ひとりの判断力を高め、組織全体の対策を実効性のあるものにしたい場合の選択肢として検討しやすい方法です。