フィッシングメール詐欺の手口

以前から、問題になっております、フィッシングメール詐欺について、新しい手口も発生しておりますので、予防の意味も含めまして、確認していきたいと思います。

フィッシングメールとは？

“本物そっくりのメールで ID やパスワードを釣り上げる” ――釣り（Fishing）になぞらえて「Phishing」と呼ばれるサイバー詐欺です。

下記一般手的なフィッシングメールの流れになります。

エサ：有名企業・銀行・宅配業者などをかたるメールや SMS が届く

　　　　↓↓↓

クリック：本文にあるリンクや QR コードを開かせる

　　　　↓↓↓

偽サイト：公式サイトそっくりのページで認証情報やカード番号を入力させる

　　　　↓↓↓

悪用：不正送金・クレカ被害・個人情報流出などが発生

代表的なフィッシングメール手口と対策

各手口の流れ／見分け方／予防策をまとめました。

1. クレデンシャル収集型（偽ログインページ）

流れ	銀行・EC・宅配業者を装ったメールを送信 例：「支払い情報に問題があります。今すぐこちらで確認」 本物そっくりの偽ログインページへ誘導 login-amaz0n.co.jp など１文字違いのドメイン ID/パスワードやカード情報を入力させ、不正送金・転売に利用
見分け方	差出人ドメインが１文字違い (amaz0n.co.jp 等) リンクを長押し／マウスオーバーすると http:// や IP 直書き SSL 証明書が無効・発行者が怪しい
予防策	パスワードマネージャー使用（偽サイトでは自動入力されない） 主要アカウントを FIDO2 パスキー・物理キー等「フィッシング耐性 MFA」へ 企業は SPF / DKIM / DMARC を p=reject で運用

2. 添付ファイル型（マルウェア埋め込み）

流れ	請求書・見積書を装った .zip/.html/.iso を添付 開封で Emotet 等が実行 → PC 乗っ取り 社内横展開しランサムウェア・情報窃取へ
見分け方	請求書なのに実行形式や圧縮ファイル マクロ付き Office ファイルで「コンテンツの有効化」を要求
予防策	Office マクロを既定で無効化し署名付きのみ許可 ゲートウェイで CDR ＋サンドボックス検査 EDR で .iso/.mht 展開を監視

3. ビジネスメール詐欺（BEC）／返信誘導型

流れ	実在取引先を装い「送金先口座変更」「請求書再送」を依頼 添付 PDF・メール本文の口座を改ざん 平均被害額は数百万円以上
見分け方	突然の送金先変更・見積書差替え依頼 海外／個人口座、返信を急かす・秘匿を要請
予防策	２人以上の決裁（Four-Eyes Principle）＋電話確認を必須 口座変更は社内ワークフロー経由でのみ受理 DMARC + BEC 専用 AI フィルタ導入

4. QR フィッシング（クイッシング／QRishing）

ポイント	メール本文にリンクを置かず QR コードのみで URL 検査を回避 宅配便再配達・電子チケット・本人確認書類アップロードを装う
見分け方	本文にリンクなし、QR コードだけ スキャン先が bit.ly 等 短縮 URL
予防策	モバイル MDM（モバイルデバイス管理）／メールゲートウェイで QR 展開＆URL 検査 PC で Web QR スキャナ使用し URL を確認 「QR → パスワード入力」のフローは原則禁止

5. 音声フィッシング（Vishing／Callback Scam）

流れ	メールで「IT 部門に電話を」と誘導し偽サポートへ接続 ワンタイムパスワード（OTP） / パスワードを聞き出して乗っ取り
見分け方	自社公式と異なる電話番号を提示 役員の声で「至急コードを教えて」等を要求
予防策	ヘルプデスク番号を１つに統一し周知 電話での OTP／パスワード要求は一律拒否と教育 役員依頼はコールバック検証 or 社内チャットで再確認

6. AI 悪用型（生成テキスト・画像・音声）

悪用例	自然な日本語・社内口語で誤字脱字が激減 顔写真付き社員証の偽画像を添付 ボイスクローンで役員になりすまし
見分け方	過剰に「証拠画像」が充実 役員名義なのに執務フロアや内線が誤記
予防策	社内連絡は専用チャット／ポータルのみ有効と明示 重要依頼はデジタル署名付きメール・電子印鑑を義務化 生成画像検出ツールで EXIF（撮影日時、カメラ機種、位置情報などの情報）改ざん・AI ノイズをスキャン