最近のフィッシング詐欺の手口

メディアックパソコンスクール橋本教室は初心者からでも学べるパソコンスクールです。電源の入れ方から、マウスやキーボードの使い方から学ぶこともできます。シニア世代向けには脳のトレーニングとして活用して頂けるコースをご用意しておりますし、高校生や大学生などが今後必要とされるパソコンスキルについての知識と技術を習得できるように様々なコースをご用意しています。Windowsの基本操作、Excel、Word、PowerPointをはじめ、Auto CAD、JW- CAD、Illustrator、Photoshopなどの専用ソフト、プログラミングのC言語、HTML＆CSS、VBAなど、社会人向けのスキルアップや資格取得のコースも多数ご用意しており、MOS試験、VBAエキスパートなどを始めとする様々な資格の試験会場でもあります。小学生のお子様からでも始められるキッズ基礎コースや、キッズプログラミングコースなどの子供向けコースも充実しております。

また、パソコンやスマホ、タブレットの操作について「ちょっと困った」事案ごとの個人サポートや、パソコンの修理・トラブル解決なども行っております。これらはパソコン教室の会員様以外でもご利用できますので、お困りのことがございましたらご遠慮なくご相談ください。

メディアックパソコンスクール橋本教室の無料体験・イベントのお申し込みはこちらからです。

https://www.tl-assist.com/user/reservation/G6rtB9WH/staff

現在開催中のイベントのご案内
今ちまたで話題の「AI」。その中でも様々なものを作り出す「生成AI」がどのようなものなのかお試ししてもらえるイベントです。参加費は無料。参加条件はマウス操作とキーボード入力のできる方。子供から大人まで誰でもご参加頂けます。ご家族でご参加も歓迎です。この機会に是非生成AIがどのようなものなのかお試しください。

パソコンで書初め！

1月5日～31日まで。パソコンで書初めに挑戦してみませんか？パソコンですから事前の準備も必要ありません。お子様が部屋を汚したりする心配もありません。マウスの使える方なら誰でも参加できます。ご家族でのご参加もできます。無料イベントですので、お気軽にご参加ください！

 

最近のフィッシング詐欺の手口

 

以下は、2024〜2025年にかけて確認・報告された事例・傾向を踏まえ、攻撃者が現在よく使う手口、そこに至る技術的背景、事例、そして個人・企業レベルで有効な対策をわかりやすく整理した説明です。重要な技術的・統計的な記述には最新の調査・公的注意喚起を参照しています。
TechRadar
+4
Microsoft CDN
+4
APWG Docs
+4

 

1. 概要：フィッシングの「今」

 

フィッシング詐欺は「メールで偽サイトへ誘導してID・パスワードやカード情報を奪う」古典的手口から始まりましたが、近年は多チャネル化（メール、SMS、電話、SNS、QRコード、広告）・自動化・AI活用・既存のセキュリティ機能を迂回する技術へと進化しています。加えて、攻撃キットの流通やクラウドサービスを悪用した手口により、技能の低い者でも大規模なキャンペーンを展開できる点が特徴です。これらの傾向は主要なセキュリティレポートや公的機関の注意喚起で繰り返し指摘されています。
Microsoft CDN
+1

 

2. 攻撃チャネル別の手口（代表的・最近顕著な手法）

 

以下にチャネル別に典型例と「最近の進化」を詳述します。

2.1 メール（Eメール）フィッシング：リンクの「ラップ」悪用、HTMLの正当化

手口：企業やサービスを装ったメールに記載のリンクをクリックさせ、見かけ上は正規のログインフォームに似せた偽サイトへ誘導して認証情報を入力させる。

最近の進化：セキュリティ製品がURLを検査する際に用いる「リンクラッピング（URL防御サービス経由で見せかけの安全性を持たせる）」を悪用する手法が観測されています。攻撃者はbit.ly等の短縮URLや脆弱になった「リンク保護サービス」を経由することで、メールフィルタをすり抜け、ユーザーに“安全な”リンクだと誤認させます。実際にMicrosoft 365 を狙うキャンペーンでURLラップを悪用した事例が報告されています。
TechRadar

2.2 SMS（スミッシング）とQRコード経由の誘導

手口：SMSで偽の物流通知や支払い未処理通知を送り、記載のURLやQRコードを読み取らせて偽サイトへ誘導する。

最近の進化：QRコードをメールやPDF、印刷物に埋め込み、ユーザーがスマホで読み取るとフィッシングページに遷移するケースが急増。ある調査では数百万件規模の悪性QRコードが検出され、短期間で急増しています。スマホではURLが隠れやすいため被害が拡大しやすい点に注意が必要です。
APWG Docs

2.3 電話（ヴィッシング）・音声（ボイスフィッシング）

手口：銀行や公的機関を名乗る音声で「不正検出」「本人確認」を装い、ワンタイムパスワード（OTP）やログイン情報を聞き出す。

最近の進化：AI音声合成（ボイスクローン）を用いて、企業幹部や家族の声に似せた音声で信用を得るケースが確認されています。行政や企業の上席者を装って指示を出し、従業員に機密情報や金銭移転をさせる手法が危険です。公的機関（FBI等）もAI音声を使った詐欺の増加を警告しています。
Federal Bureau of Investigation

2.4 ソーシャルメディア／広告経由

手口：SNSのダイレクトメッセージや偽広告で正規サービスのログインを促す、あるいは無料クーポンを餌に偽ログインページへ誘う。

最近の進化：ターゲティング広告や人気投稿の偽装を組み合わせ、特定のコミュニティ向けにローカライズされたメッセージを送ることでクリック率が高まっています（AIによる文面生成で自然さが増しています）。
Microsoft CDN

2.5 OAuth・SSO（ソーシャルログイン）詐欺とトークン窃盗

手口：ユーザーにOAuth（GoogleやMicrosoftの「ログイン許可」画面）を偽装させ、権限を与えさせてアカウントやメールへのアクセス権を盗む。「ログイン情報」そのものは盗まなくてもアクセス可能にする攻撃です。

最近の進化：フィッシングページでMFAコードを要求するのではなく、認可トークンを直接入手することで、従来のパスワード対策（MFA含む）を迂回する事例が増えています。Microsoft等のレポートでも、トークン窃盗やトークン転送によるアカウント侵害が注目されています。
Microsoft CDN

2.6 多要素認証（MFA）を狙う「トークン窃盗」「MFA疲労攻撃」

手口：ログイン時に送られるOTPやプッシュ承認をユーザーに入力・承認させる、あるいはMFA承認の通知を大量に送って「煩わしくなった」ユーザーに承認させる（MFA疲労）。

最近の進化：攻撃者が一時的にユーザーの認証フローを中継して認証トークンをリアルタイムで盗む、もしくはソーシャルエンジニアリングで一度の承認で長期的にアクセス権を得る手法が使われています。
Microsoft CDN

2.7 BEC（ビジネスメール詐欺）とハイレベルなインパーソネーション

手口：重役や経理担当を装って送金指示を行うなど、高額金銭移転を狙う詐欺。単一のアカウント侵害から始まるケースが多い。

最近の進化：先述のAI音声やAI生成テキストを組み合わせ、社内の決済フローや月次報告書のフォーマットに精通したメッセージを作成することで、内部関係者を騙しやすくなっています。公的注意喚起でもインパーソネーション（上席の偽装）を用いる事例が報告されています。
インターネット犯罪苦情センター

2.8 フィッシングキットとローコード・オフ・ザ・シェルフ攻撃

手口：ダークウェブ等で流通する「フィッシングキット」を使えば、専門スキルがなくともブランドの偽物ページを大量作成して配布できる。

最近の進化：キットは多言語化・モバイル最適化され、さらにAIで釣り文句を自動生成する機能が付くことで、低コストで効果的なキャンペーンが急増しています。
IT Pro

 

3. 技術的背景：なぜ「今」被害が増えるのか

3.1 AI（生成モデル）の普及と自動化

大規模言語モデルや音声合成の精度向上により、低コストで「正確で自然」な文面や声が作れるようになりました。これにより、メールやチャット、音声通話による説得力が飛躍的に上がり、従来より多くの犠牲者が出るようになっています。公的機関やセキュリティ企業はAIを悪用した詐欺の増加を警告しています。
Federal Bureau of Investigation
+1

3.2 インフラ（クラウド・URL防御サービス）の悪用

クラウドサービスやメールゲートウェイの信頼を悪用する（リンクラップの悪用など）ことで、従来のフィルタリングロジックを回避する手法が巧妙化しています。正規の保護サービスを経由しているように見えるため、受信者側は安心しがちです。
TechRadar

3.3 マルチチャネルの組合せ（クロスチャネル）

メール→SMS→電話のように複数チャネルを組み合わせて信頼を構築する攻撃が見られます。一つのチャネルで不信感が生じても、別チャネルで補強して信頼を回復させるため成功率が上がります。
APWG Docs

 

4. 具体的な被害例とデータ（要点）

 

APWGやMimecastの解析では、QRコードを使ったフィッシングやメール内URLベースの攻撃が急増していると観測され、数百万～数千万規模の検出が報告されています。
APWG Docs

セキュリティ企業の報告では、悪性URLによる脅威がメール添付よりも多くなり、さらに攻撃の多くが「認証情報窃取（credential harvesting）」に向かっているとの指摘があります。
IT Pro

FBI等はAI音声・テキストを用いたインパーソネーション詐欺を公表し、上級職員偽装のSMS/音声攻撃による実例を報告しています。
Federal Bureau of Investigation
+1

 

5. 実践的な対策（個人／中小企業／大企業別）

 

以下は、現状の主要な攻撃手法を踏まえた「実践的で優先度の高い対策」です。複数レイヤーで対抗する（技術・運用・教育）ことが重要です。

5.1 個人向け対策（優先度高）

フィッシング耐性のある認証を使う：可能なら「パスワード＋FIDO2等のフィッシング耐性あるMFA」を利用する（SMS OTPのみは脆弱）。
Microsoft CDN

URLの確認習慣をつける：短縮URLやQRコードを不用意にクリックしない。スマホでURLを長押しして実際のリンク先を確認する癖を付ける。
APWG Docs

SMSや電話での認証コード要求には警戒：サービス側から要求していない限り第三者に認証コードを教えない。フィッシングの一部は「被害者の協力」を誘導して成り立つ。
Federal Bureau of Investigation

メール内のリンクは公式サイトへ自力でアクセス：メールのボタンを押す代わりにブラウザで公式サイトへアクセスしログインする。

OS・アプリを常に更新：ブラウザやOSの脆弱性修正はフィッシングの成功率を下げる。

5.2 中小企業向け対策（優先度高）

フィッシングシミュレーションと社員教育の定期実施：人間の判断ミスを減らす訓練はコスト対効果が高い。Proofpoint等の報告でも、人的要因が被害の主要因。
Proofpoint

強制的なフィッシング抵抗MFAの導入：可能ならFIDO2/WebAuthn等のフィッシング耐性を持つ方式へ移行。
Microsoft CDN

受信メールのURLラップ対策：外部のリンク保護サービスに頼り切らず、Eメールヘッダのドメイン整合性（SPF/DKIM/DMARC）を設定し、外部送信ポリシーを厳格化する。

重要な金銭移動は二重承認プロセスに：口頭確認（対面/ビデオ）を含む二人以上の承認を制度化する。BEC被害の多くは承認プロセスの欠如を突かれる。

5.3 大企業／組織向け対策（優先度高）

SaaS/OAuth権限管理の強化：サードパーティアプリの権限付与を限定し、定期的に承認済みアプリをレビューする。
Microsoft CDN

トークン盗難対策：セッション管理を厳格にし、不審なIP/デバイスからのトークン利用を検知して遮断する。

高度なメールセキュリティ（URLサンドボックス、レピュテーション、異常検知）：リンクラップや短縮URLの悪用を検出するための解析を実装する。
TechRadar

インシデント対応訓練（演習）と外部連携：被害発生時の迅速対応（ログ保全、法的報告、被害範囲の封じ込め）を想定した定期演習を行う。

 

6. 事後対応（被害に遭ったらすぐやること）

 

被害を受けたサービスで速やかにパスワード変更（可能なら完全リセット）。MFAが機能しなくなった場合はサービスのサポート窓口と連絡。

金融被害がある場合は銀行やカード会社に即連絡。不正取引の補償申請と口座凍結などの手続きを行う。

社内であれば直ちにIT部門へ報告し、該当アカウントの隔離・ログ調査・侵害範囲の確認。

必要なら警察・公的機関（サイバー警察、CERT、FBI/IC3等）へ被害届・通報。FBI等はAIを使った詐欺のトレンドに関する注意喚起を出しています。
Federal Bureau of Investigation

 

7. 将来の見通しと備え（短〜中期）

 

AI利用の増加は不可避：攻撃側・防御側双方がAIを使い合う「AI競争」環境が続くため、防御側はAI検出と行動分析（行動ベースの異常検知）を強化する必要があります。
Microsoft CDN

QRコード・マルチチャネルの脅威は当面続く：物理・デジタルを跨ぐ攻撃に対する教育と、読み取り前の確認プロセスが重要になります。
APWG Docs

クラウドとSaaSの脆弱性が起点になることが増える：クラウドアカウントの管理・ログ監視・サードパーティ権限管理がますます重要です。
IT Pro

 

8. 参考：主要なレポート・公的注意喚起（本文で参照した主な出典）

 

Microsoft, Microsoft Digital Defense Report 2025（報告書、2025年版）. 
Microsoft CDN

APWG / Mimecast, Phishing Activity Trends Report Q1 2025（APWG報告書、Q1 2025）. 
APWG Docs

FBI, 警告：サイバー犯罪者のAI悪用に関する注意喚起（2024–2025 年の公的発表）. 
Federal Bureau of Investigation

Proofpoint / 業界報告記事（悪性URL増加・攻撃トレンドに関する報告）. 
IT Pro

TechRadar（Cloudflare / 研究者による解析を紹介）: link-wrapping services abused to steal Microsoft 365 accounts（事例紹介）. 
TechRadar

9. まとめ（ポイントの再掲）

フィッシングは**「手口の多様化」「AI活用」「既存防御の悪用」**により高度化している。
Microsoft CDN
+1

**QRコード、SMS、音声（AIクローン）**といった非メールチャネルの脅威が増加している。
APWG Docs

リンクラッピングやトークン盗難など、従来のセキュリティを回避する手口が現実的な脅威となっている。
TechRadar
+1

対策は**技術（MFA強化／トークン管理）＋運用（承認プロセス）＋教育（フィッシング訓練）**の三層で行うことが最も効果的。
Microsoft CDN