アフラック不正アクセスで約438万人の個人情報漏洩 ―保険会社を狙うサイバー攻撃のリスクと企業が取るべき対策

Share
「アフラック不正アクセスで約438万人の個人情報漏洩」アイキャッチ画像

保険会社が保有する個人情報は、単なる氏名や住所にとどまりません。契約内容、証券番号、保障内容、口座情報など、生活や資産に深く関わる情報が含まれるため、ひとたび情報漏えいが発生すると、なりすまし連絡やフィッシング詐欺、電話詐欺などに悪用される恐れがあります。

アフラック生命保険は2026年6月30日、「契約者専用サイト「アフラック よりそうネット」などのシステムが第三者による不正アクセスを受け、顧客の個人情報を含む一部情報が漏えいした」と公表しました。対象となる顧客数は約438万人で、このうち約23万人については保険料振替口座情報も含まれるとされています。現時点で、本件に関わる情報の不正利用は確認されていません。 本記事では、アフラックの不正アクセス事案の概要を整理しながら、保険会社や金融機関、個人情報を扱う企業が見直すべきサイバーセキュリティ対策、情報漏えい対策、インシデント対応のポイントを解説します。

※本記事は2026年6月30日までに公開された情報もとに作成しています。ご覧いただく時期によっては古い情報となっている場合もありますので、ご承知おきください。

アフラックで発生した不正アクセスと個人情報漏洩の概要

アフラック生命保険の公式発表*1によると、不正アクセスを受けたのは、契約者専用サイト「アフラック よりそうネット」などのシステムです。「アフラック よりそうネット」は、契約内容の確認や住所・電話番号の変更などを、パソコンやスマートフォンから行える契約者向けサイトと説明されています。

漏洩した顧客関連の情報には、氏名、生年月日、性別、住所、電話番号、証券番号、保障内容、保険料振替口座情報などが含まれます。保険料振替口座情報には、金融機関名、支店名、預金種類、口座番号、口座名義などが含まれるとされています。一方で、「マイナンバーおよびクレジットカード情報は含まれていない」と公表されています。漏洩件数は、顧客数で約438万人です。そのうち、漏洩した項目に保険料振替口座情報が含まれる顧客数は約23万人とされています。また、代理店関連の個人情報として、代理店代表者氏名、代理店住所、代理店電話番号など、約4万店分の情報も漏洩したとのことです。

不正アクセスはいつ発生し、いつ判明したのか

公式発表によれば、情報漏洩が判明したのは2026年6月25日です。同日、アフラックは当該不正アクセスを遮断し、不正アクセスの拡大を防ぐため、関連するシステムを停止しました。その後の調査で、不正アクセスが最初に発生したのは2026年6月15日であり、6月25日までに複数回、不正にアクセスされていたことが確認されています。一方で、原因の詳細は「調査中」とされています。現時点で、脆弱性の悪用、認証情報の窃取、内部アカウントの悪用、ランサムウェア攻撃など、具体的な攻撃手口は公表されていません。

現在停止しているサービスと顧客対応

アフラックは、不正アクセスの拡大を防ぐため、一部システムを停止しています。公式ページでは、よりそうネット、人間ドック・健診予約サービス、妊活コンシェルジュサービス、オンライン家計簿サービス「マネーフォワード for アフラック」、アフラックAIサポートコンシェルジュなどが、現在利用できないサービスとして案内されています。ただし保険金・給付金の請求をはじめとする各種問い合わせや手続きは、「コールセンターなどで通常どおり受け付けている」と説明されています。対象となる顧客には、「順次、お詫びとお知らせの文書を送付する」としており、「金融庁・警察等の関係機関にも報告済み」とのことです。 システム停止は、利用者にとって不便を生みます。しかし、不正アクセスの範囲が判明していない段階で関連システムを止める判断は、被害拡大を抑えるうえで重要な初動対応です。

独立行政法人情報処理推進機構(IPA)が公開している「情報漏えい発生時の対応ポイント集」でも、不正アクセスによって個人情報や機密情報が漏えいする危険性が確認された場合、ネットワークからの切り離しやサービス停止などの処置が必要になると説明されています。

なぜ保険会社の個人情報漏えいは深刻なのか

今回のアフラック不正アクセス事案で注目すべき点は、漏洩した可能性のある情報の組み合わせです。氏名、住所、電話番号、生年月日だけでなく、証券番号や保障内容、保険料振替口座情報まで含まれる場合、攻撃者は「保険契約の確認」「給付金手続き」「口座情報の確認」「契約内容の更新」などを装った連絡を行いやすくなります。これは、単なるメールアドレス漏洩よりも、なりすましの説得力が高まりやすい情報漏洩といえます。

フィッシング対策協議会はフィッシングについて、「実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取すること」と説明しています*2。今回の事案で実際にフィッシング被害が確認されたわけではありませんが、保険会社をかたる不審なメール、SMS、電話には十分な注意が必要です。 特に、金融機関名や口座番号が含まれる可能性がある顧客については、口座そのものから直ちに出金されるとは限らないものの、別の詐欺や本人確認の突破材料として悪用されるおそれがあります。アフラックも公式発表の中で、不審な連絡を受けた場合や、保険料振替口座における不審な取引などの懸念が生じた場合には、同社連絡先へ連絡するよう案内しています。

企業が学ぶべきポイントは「侵入されない」だけではない

サイバーセキュリティ対策というと、ファイアウォール、ウイルス対策ソフト、多要素認証、脆弱性診断など、「侵入を防ぐ対策」に目が向きがちです。もちろん、これらの対策は重要です。しかし、今回のように不正アクセスが複数回行われ、一定期間後に判明した事案を見ると、企業に求められるのは「侵入を完全に防ぐ」ことだけではありません。重要なのは、侵入の兆候を早期に検知し、被害範囲を特定し、必要なシステムを迅速に隔離し、顧客や関係機関へ適切に説明できる体制です。

個人情報保護委員会では、「個人データの漏えい等が発生し、個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告および本人への通知が必要」と説明しています*3。該当する事態には、「財産的被害が生じるおそれがある事態」、「不正の目的をもって行われた漏えい等が発生した事態」、「1,000人を超える漏えい等が発生した事態」が含まれます。また、本人へ通知する際には、「概要、個人データの項目、原因などを、本人にとって分かりやすい方法」で伝える必要があります。企業の情報漏洩対応では、技術的な調査だけでなく、顧客への説明、問い合わせ対応、監督官庁への報告、再発防止策の公表までを一連のインシデント対応として設計しておく必要があります。

関連記事:情報漏洩対策の基本を詳しく知りたい方へ

情報漏洩対策は、不正アクセスを防ぐだけでは十分ではありません。情報漏洩が発生する原因や企業への影響、技術・運用・組織の3つの観点から取り組むべき対策について、基礎から分かりやすく解説しています。あわせてご覧ください。
情報漏洩対策とは何か ―企業が知るべき原因・リスク・防止策の全体像―

金融・保険業界で高まるサードパーティリスク管理の重要性

今回のアフラックの事案について、現時点の公式発表では、委託先や外部サービスが侵入経路だったとは説明されていません。そのため、本件をサードパーティ起点のインシデントと断定することはできません。一方で、金融庁は金融分野のサイバーセキュリティ対策として、サードパーティ・サイバーセキュリティリスク管理の重要性を継続的に取り上げています*4。金融庁の関連資料では、金融機関が管理すべきサードパーティや、その先に存在するNthパーティの範囲、集中リスク、契約後の継続的なモニタリングなどが課題として示されています。

アフラックでは2023年にも、業務委託先の外部業者において同社保有の個人情報の一部が流出した事案が公表されていました*5。この2023年事案では、対象となった顧客数は132万3,468人で、流出した個人情報の項目は姓のみ、年齢、性別、証券番号、保険種類番号、保障額、保険料などでした。今回の2026年事案とは発生経路や漏洩項目が異なるため同一視はできませんが、保険会社が扱う情報の価値と、外部委託先を含めた管理体制の重要性を考えるうえで、過去事例として参照できます。

保険会社、金融機関、医療機関、自治体、BtoBサービス事業者など、重要な個人情報を扱う組織では、自社システムだけでなく、外部委託先、クラウドサービス、SaaS、開発会社、運用保守会社まで含めたリスク管理が欠かせません。契約時のセキュリティチェックだけで終わらせず、運用中の監査、ログ確認、脆弱性対応、インシデント発生時の連絡体制まで確認しておくことが重要です。

企業が今すぐ見直すべきセキュリティ対策

今回の事案から企業が学ぶべき第一のポイントは、個人情報を保管するシステムのアクセス管理です。顧客情報、契約情報、口座情報などを扱う管理画面では、多要素認証、IPアドレス制限、権限の最小化、休眠アカウントの棚卸し、特権IDの監視を徹底する必要があります。IDとパスワードだけに依存した認証は、フィッシングや認証情報漏えいによって突破されるリスクがあります。

第二のポイントは、ログ監視と異常検知です。不正アクセスが発生しても、ログが取得されていなければ、侵入経路や閲覧された情報、被害範囲を後から正確に追うことが難しくなります。個人情報保護委員会のフォレンジック調査に関する資料でも、不正アクセスの原因や被害範囲を明らかにし、効果的な再発防止策につなげるために、ログなどの証拠保全が重要であることが示されています。

第三のポイントは、インシデント発生時の復旧体制です。経済産業省の「サイバーセキュリティ経営ガイドライン Ver 3.0」では、インシデントにより業務停止等に至った場合に備え、復旧手順書の策定、復旧対応体制の整備、サプライチェーンも含めた実践的な演習の実施が必要であるとされています。顧客向けサービスを止める判断、代替手段の案内、問い合わせ窓口の設置は、平時に準備していなければ迅速に実行できません。

第四のポイントは、個人情報の持ち方そのものの見直しです。すべての情報を同じシステムで参照できる状態にしていないか、業務上不要な項目まで保存していないか、口座情報などの重要情報に追加の保護措置を設けているかを確認する必要があります。情報漏えい対策では、侵入を防ぐことに加え、万が一侵入された場合でも漏洩範囲を最小化する設計が求められます。

顧客側が注意すべきこと

今回のアフラック不正アクセス事案では、現時点で情報の不正利用は確認されていないとされています。しかし、漏洩した可能性のある情報には電話番号や住所、証券番号、保障内容、口座情報が含まれるため、顧客側でも不審な連絡に注意する必要があります。もしも、「契約内容の確認が必要です」「保険料の引き落とし口座を再登録してください」「給付金の手続きに必要です」といった連絡があった場合でも、メールやSMSに記載されたURLを安易に開かず、公式サイトや正規の問い合わせ窓口から確認することが大切です。警察庁もフィッシング対策として、迷惑メッセージブロック機能の活用や、ID・パスワードの使い回しを避けることを呼びかけています*6。特に、保険会社や金融機関を名乗る電話で、暗証番号、認証コード、インターネットバンキングのログイン情報などを求められた場合は注意が必要です。正規の企業を装った連絡であっても、その場で情報を伝えず、いったん電話を切って公式窓口に確認する対応が安全です。

まとめ 情報漏えい対策は「防御」から「検知・対応・復旧」へ

アフラックの不正アクセスによる個人情報漏えいは、保険会社や金融機関だけの問題ではありません。顧客情報、契約情報、決済情報、口座情報、問い合わせ履歴などを扱うすべての企業にとって、情報漏えい対策とインシデント対応の重要性を改めて示す事案です。

今回の公式発表で確認できるのは、約438万人の顧客情報が漏えいし、そのうち約23万人については保険料振替口座情報が含まれること、代理店約4万店分の情報も漏洩したこと、そして不正アクセスが6月15日から6月25日まで複数回確認されていることです。一方で、原因や攻撃手口の詳細は調査中であり、現時点で断定できる情報は限られています。

企業に求められるのは、侵入を防ぐための対策だけではありません。異常を早く見つける監視体制、被害範囲を確認するログ管理、顧客へ説明できる情報整理、サービス停止時の代替手段、復旧手順、再発防止策までを含めた総合的なサイバーセキュリティ体制です。 個人情報漏洩は、発生してから対応を考えるのでは遅すぎます。自社の顧客情報がどこにあり、誰がアクセスでき、どのログが残り、インシデント発生時に誰が判断するのか。今回の事案を機に、企業は不正アクセス対策、脆弱性管理、ログ監視、委託先管理、インシデント対応計画を改めて見直す必要があります。

【参考情報】

編集責任:木下


BBSecの脆弱性診断・セキュリティ対策支援サービス

BBSec(ブロードバンドセキュリティ)では、Webアプリケーション診断、プラットフォーム診断、クラウド環境診断、脆弱性管理支援など、企業のセキュリティリスクを可視化する各種サービスを提供しています。外部サービスや委託先を含めたセキュリティ体制の見直し、情報漏えいリスクへの備え、インシデント発生前の予防対策を検討している企業は、ぜひご相談ください。


ウェビナー開催のお知らせ

  • 2026年7月8日(水)13:00~14:00「企業は何から対策すべきか?― OWASP Top 10:2025から読み解く、最新のセキュリティリスクと対策の考え方 ―
  • 2026年7月15日(水)14:00~15:00「AI事業者ガイドライン第1.2版に基づくセキュリティ対策の実践ポイント~生成AIからAIエージェントへ~
  • 2026年7月22日(水)14:00~15:00「そのIT資産、本当に把握できていますか?~見落としがちなセキュリティリスクと対策の第一歩~
  • 最新情報はこちら


    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    クレジットカード情報漏洩に備える ―非保持化・PCI DSS準拠でも漏洩が起きる理由とは―

    Share
    クレジットカード情報漏洩に備える ―非保持化・PCI DSS準拠でも漏洩が起きる理由とは―アイキャッチ画像

    クレジットカード情報漏洩は、ECサイト加盟店だけの問題ではありません。非保持化やPCI DSS準拠を実施していても、Webサイトの脆弱性や設定不備を起点に漏洩が発生するケースは少なくありません。本記事では、実際の漏洩事例や発生後に直面する課題を踏まえながら、情報漏洩に備えるために押さえておきたいポイントを解説します。

    なぜクレジットカード情報漏洩が起きるのか

    クレジットカード情報漏洩は、ECサイト加盟店だけの問題として発生するわけではありません。ECサイトの決済は、ECサイト加盟店、決済代行事業者(PSP:Payment Service Provider)、アクワイアラ、国際ブランドなど、複数の事業者が連携して成り立っています。そのため、サイバー攻撃者に狙われる対象は、カード情報を直接保有するシステムだけに限られません。

    実際には、ECサイト加盟店のECサイトや管理画面、CMS、外部委託先、決済画面へ遷移する前後の処理など、周辺のどこかにWebアプリケーションの脆弱性や設定不備が存在するだけで、カード情報の窃取につながる可能性があります。カード情報を自社で保持していない場合でも、サイト改竄や悪意あるコードの挿入によって、利用者が入力した情報が攻撃者へ送信されてしまうケースがあります。弊社のPFI調査資料でも、カード情報を自社保有していない企業からの漏洩に関する相談が多く発生していることが示されています。

    ECサイトでは外部サービス連携、プラグイン更新、機能追加などが継続的に発生します。そのため、一度安全な構成を整備したとしても、それだけで安全性が維持されるわけではありません。日々の運用の中で新たに生まれた脆弱性が、攻撃の端緒となる場合があります。特に、Webアプリケーションの脆弱性や管理画面の設定不備は、PFI調査において主要な漏洩の原因として挙げられています。決済は複数の事業者が関与する仕組みであるため、そのサプライチェーンの一箇所で発生したサイバー攻撃が、ECサイト加盟店の業務停止、PSPへの問い合わせ対応、アクワイアラや国際ブランドへの報告対応へと波及する可能性があります。クレジットカードの情報漏洩は、単なる技術的な事故ではなく、決済サプライチェーン全体へ影響を及ぼすインシデントとして捉える必要があります。

    実際に発生している情報漏洩事例

    公表資料や業界資料を見ると、漏洩のきっかけは一様ではありません。ECサイトの改竄、不正ファイルの設置、偽の決済画面への誘導、委託先や関連システムの不備など、さまざまな経路からカード情報の窃取につながっています。経済産業省の資料でも、ECサイト加盟店、ECシステム提供事業者、PSP、消費者を狙ったフィッシング被害など、複数の漏洩事案の類型が整理されています。たとえば、ECサイト加盟店のECサイトに存在する脆弱性を突かれ、サイトが改竄されるケースがあります。この場合、カード情報を保持していなくても、不正ファイルの設置や偽の決済画面への誘導により、利用者が入力したカード番号等が攻撃者へ送信される可能性があります。また、委託先業者によるサイト更新時の設定不備を起点に、不正アクセスや情報漏洩につながるケースもあります。さらに、決済関連システム側の脆弱なアプリケーションへ不正アクセスされる事例も挙げられています。

    PSPで情報漏洩が発生すると、利用者、ECサイト加盟店、クレジットカード会社など、多くの関係者を巻き込む被害につながるおそれがあります。これらの事例は、クレジットカード情報漏洩が単一のセキュリティ製品だけで防げる問題ではなく、開発、運用、委託管理、監視のすべてが関係する問題であることを示しています。また、近年は発覚経緯にも変化が見られます。2024年のカード情報流出事件では、警察の指摘により発覚した事案が35.1%を占めたとの分析もあります。また、2024年のクレジットカード不正利用被害額は555億円とされ、その9割超がECサイトでの番号盗用によるものとされています*7

    これらの事例から分かるのは、クレジットカード情報漏洩が例外的な事故ではなく、現実的にはEC決済の現場で継続的に発生する身近なリスクだということです。PSPにとっても、漏洩元が自社であるか否かにかかわらず、問い合わせ、調査協力、ECサイト加盟店支援、関係者への説明といった対応が発生し得る点を踏まえる必要があります。

    なぜ対策していても防げないのか

    クレジットカードの情報漏洩対策として、「カード情報を保持しない非保持化」や「PCI DSS準拠」といった取り組みは非常に重要です。しかし、これらはリスクを低減するための対策であり、残念ながら漏洩を完全に防ぐことを保証してくれるものではありません。たとえば、カード情報の非保持化を行っている場合でも、ECサイトが改竄され、偽の入力フォームや悪意あるスクリプトが設置されてしまえば、利用者が入力したカード情報が攻撃者へと送信される可能性があります。つまり、カード情報を「保管していない」ことと、「情報入力時に窃取されない」ことは別の問題なのです。ECサイト全体の安全性まで担保されるわけではありません。PCI DSSについても同様です。PCI DSSに準拠していること自体が将来の侵害を否定してくれるものではありません。実際のインシデントでは、Webアプリケーションの脆弱性、管理画面の設定不備、委託管理先の不備、脆弱なパスワード設定など、複数の問題が重なって発生するケースが見られます。弊社のPFI調査資料でも、アプリケーションの脆弱性や管理画面の設定不備が主要な漏洩原因として挙げられています。

    重要なのは、「非保持化しているから安全」、「PCI DSSに準拠しているから安全」と受け止めるのではなく、それぞれの対策が守れる範囲と限界を理解することです。クレジットカード情報漏洩は、技術、運用、管理といった複数の要因が重なって発生するため、防御だけではなく、継続的な監視や発生時の対応体制まで含めて備える必要があります。

    インシデント発生後の現実

    クレジットカード情報漏洩が疑われる事態に直面すると、現場では短時間で多くの判断が求められます。特に、次のような課題が発生する可能性があります。

    • 初動対応の遅れ
      被害拡大を防ぐため、ECサイトの停止、クレジットカード決済の一時停止、不正ファイルの確認、関係者への連絡などを並行して進める必要があります。対応が遅れた場合、新たな被害につながるおそれがあります。
    • ログ不足
      原因や影響範囲を調査しようとしても、必要なログが保存されていない、保存期間が短い、委託先から提供されないといった状況では、調査が難航します。ログの保全・管理体制が不十分であることが課題となるケースも少なくありません。
    • 調査・報告対応
      インシデント対応では、被害拡大を防ぐための封じ込めも重要です。さらに、個人情報保護委員会への報告や本人通知、公表対応など、時間的制約のある対外対応も並行して進めなければなりません。
    • 業務・信用への影響
      決済停止やECサイト停止は、売上の減少、顧客対応、問い合わせ対応の発生に直結します。実際に、クレジットカード決済の停止が長期化した事例や、決済再開までの期間、クレジットカード決済以外でECサイトを継続できるかといった相談も挙げられています。決済再開に向けた調整や関係者との連携も必要となり、事業運営や信用面にも大きな影響を及ぼす可能性があります。

    PSPはどこまで責任を負うのか?

    クレジットカード情報漏洩のインシデントでは、実際に情報漏洩が発生したECサイト加盟店やシステム事業者だけでなく、決済に関わる複数の事業者が対応を求められる場合があります。特にPSPはインシデント発生時に一定の関与が発生する可能性があります。たとえば、ECサイト加盟店からの問い合わせ対応、決済停止や再開に関する調整、関係各所への情報共有、調査協力などが挙げられます。また、利用者への影響範囲や決済への影響を整理する中で、PSPが保有するログや取引情報の確認が必要になるケースもあります。

    もちろん、すべてのケースでPSPが法的責任を負うとは限りません。しかし実際には、「どのシステムで何が起きたのか」、「どこまで影響が及んでいるのか」を整理する過程で、決済のハブとしての対応が求められる場面があります。関係者間で認識や説明内容に差異が生じれば、公表内容や顧客説明にも影響する可能性があります。また、インシデント発生時には、技術的な問題だけでなく、ECサイト加盟店や委託先との調整、問い合わせ対応、事実確認など、実務面での負荷も大きくなります。そのためPSPにとっても、インシデント対応は「加盟店側の問題」と安易に切り離して考えられるものではありません。重要なのは、インシデント発生後に責任範囲を議論することだけではなく、平時から、どのような連携体制で対応するのか、どの情報を誰が保有しているのか、どのように調査や報告を進めるのかを十分に整理しておくことです。

    インシデント対応で求められるフォレンジック調査

    クレジットカード情報漏洩が疑われる場合、適切な封じ込めや再発防止につなげるためにも、何が起きたのかを客観的に把握することが重要です。そのため、フォレンジック調査では次のような対応を行います。

    • 原因の特定
      ECサイトの改竄、不正ファイルの設置、管理画面からの侵入など、どのような経路で侵害が発生したのかを調査し、事実関係を整理します。
    • 被害範囲の把握
      どの期間に、どの画面やシステムが影響を受け、どの情報が漏洩した可能性があるのかを確認します。影響範囲を把握することで、関係者への説明、外部報告、顧客対応、決済再開の判断をしやすくなります。
    • 侵入経路や影響の分析
      ログ、ファイル、通信履歴、システム構成などを調査し、侵入経路や改竄内容、攻撃の時系列、影響範囲を明らかにします。
    • 報告・説明対応の支援
      クレジットカード情報漏洩が疑われる場合には、アクワイアラや国際ブランド等への報告対応が求められることがあります。第三者による調査結果は、事実確認や説明責任を果たすうえで重要な根拠となります。
    • 再発防止にむけた基盤づくり
      フォレンジック調査は単なる原因調査ではなく、被害拡大防止、再発防止、関係者への説明を支えるための重要なプロセスです。ログ、ファイル、通信、システム構成などを確認し、侵入経路や改竄内容、攻撃の時系列、影響範囲を明らかにしていきます。何が分かり、何が分からないのかを整理することで、その後の対応につなげることができます。特にクレジットカード情報漏洩が疑われる場合には、アクワイアラや国際ブランド等への報告対応も想定されるため、第三者による調査結果が重要になる場面があります。

    初動対応を左右する平時の備え

    クレジットカード情報漏洩のインシデントでは、発生後の初動対応がその後の調査、報告、復旧に大きく影響します。どのシステムを確認するのか、どのログを保全するのか、誰に連絡するのかが整理されていなければ、対応開始までに時間を要してしまいます。結果として、被害範囲の特定や関係者への説明も遅れる可能性があります。そのため重要になるのが、「平時からの備え」です。具体的には、システム構成や委託先の把握、ログの保存場所や保全方針の確認、関係者の連絡先や判断権限の整理、初動対応手順の整備、外部専門家との連携体制の確保などが挙げられます。さらに、NDAや基本契約を事前に整えておけば、インシデント発生後に契約条件や情報共有範囲を調整する時間を減らし、調査や封じ込めに着手しやすくなります。これらを事前に確認しておくことで、発生時に「何から手を付けるか」と迷う時間を減らすことができます。

    平時の備えは技術部門だけの課題ではありません。法務、広報、顧客対応、経営層、委託先を含めた体制整備が必要です。インシデント発生時には、技術調査と並行して、報告、通知、公表、問い合わせ対応が進むためです。クレジットカード情報漏洩対策では、防御策を強化することはもちろん重要です。しかし、それだけでは十分とはいえません。万一に発生した場合は、速やかに封じ込め、調査し、説明できる状態を作っておくことが重要です。

    有事に備えた準備はできていますか?

    クレジットカード情報漏えいが発生した場合、初動対応、原因調査、被害範囲の特定、関係各所への報告など、多くの対応を短期間で進める必要があります。BBSecでは、PCI SSC認定のPFIとして、クレジットカード情報漏えいフォレンジック調査を提供しています。万が一の際に迅速な対応を行うためにも、平時からの備えをご検討ください。
    クレジットカード情報漏えいフォレンジック調査サービスはこちら

    まとめ

    クレジットカード情報漏洩は、ECサイト加盟店だけの問題ではなく、PSPを含む決済サプライチェーン全体に影響を及ぼすインシデントです。情報の非保持化やPCI DSS準拠といった対策は重要ですが、それだけでリスクを完全に防ぐことはできません。だからこそ、防御策に加え、発生時の初動対応、調査、関係者連携まで含めて、平時から備えておくことが重要です。


    「非保持化しているから安心」とは言い切れない時代へ
    情報漏洩インシデントは、Webアプリケーションの脆弱性や設定不備、運用上の課題など、複数の要因が重なって発生します。PCI DSS v4.0では、継続的な脆弱性管理やペネトレーションテストなど、従来以上に運用・監視を重視した対応が求められています。情報漏洩リスクに備えるために、PCI DSS v4.0で押さえておきたいポイントをウェビナーで詳しく解説しています。
    【関連ウェビナー】「今さら聞けない!PCI DSS v4.0で求められる脆弱性診断
    詳細・お申し込みはこちら


    無料PDF|SQAT® Security Report 2026春夏号

    サービスに関する疑問や質問はこちら


    Security Serviceへのリンクバナー画像
    BBSecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    BBSecホワイトペーパー「企業のセキュリティ成熟度チェックリスト」資料ダウンロードボタン

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ソーシャルエンジニアリングとは?代表的な手口・事例・対策を解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    SQAT® Security Report 2020-2021年 秋冬号掲載
    「人という脆弱性~ソーシャル・エンジニアリング攻撃~」より一部抜粋

    特殊詐欺のイメージ画像(電話・お金・メモ)

    サイバー攻撃というとシステムの脆弱性を狙うイメージがありますが、実際には「人」を狙う攻撃が多く発生しています。ソーシャルエンジニアリングは、人間の心理や行動の隙を悪用して情報を窃取する攻撃手法です。標的型メール、なりすまし、SNSを利用した情報収集など、その手法は年々巧妙化しています。本記事では、ソーシャルエンジニアリングの代表的な手口や心理的脆弱性について解説します。

    ※本記事は「SQAT® Security Report 2020-2021年 秋冬号」の内容を一部再編集したものです。

    この記事でわかること

    • ソーシャルエンジニアリングとは何か
    • 人が騙される心理的要因
    • 代表的な攻撃手法
    • 企業で必要な対策
    • セキュリティ教育の重要性

    ソーシャルエンジニアリングとは

    そもそも、ソーシャル・エンジニアリングとは何なのだろうか? ソーシャル・エンジニアリングフレームワークの第一人者と知られるクリストファー・ハドナジー(Christopher Hadnagy)氏は、著作『ソーシャル・エンジニアリング』(日経BP社)の中で、ソーシャル・エンジニアリングを「人を操って行動を起こさせる行為。ただし、その行動が当人の最大の利益に適合しているか否かを問わないこともある」と定義づけている。これには警察官、弁護士、医師といった人々が、標的当人の利益となるように誘導するといったケースも含まれているが、一般的にサイバー攻撃におけるソーシャル・エンジニアリングとは、不正アクセスするのに必要なシステム情報、アカウント、パスワード、ネットワーク・アドレス等を正規のユーザあるいはその家族、友人などから人間の心理的な隙や、行動のミスにつけ込んで手に入れる手法と位置付けられることが多くなっている。ソーシャル・エンジニアリング攻撃の定義は様々なものがあるが、その共通するところは、人を介して攻撃を行うという点である。

    なぜ人は騙されるのか

    では、なぜ人が脆弱性となってしまうのか、この点について、原因の一つとなっていると考えられる、人に存在する心理的脆弱性を見ていきたい。ハドナジー氏は人には以下のような8つの心理的脆弱性が備わっていると主張している。

    返礼

    人からの親切に対し、お返しをせずにはいられない特性
    例:プレゼントのお返しに、何かしてほしいことはないかと聞く。

    義務感

    社会的、法的、道徳的に、人がなすべきだと感じている行動をとってしまう特性
    例:身体が不自由な人に、積極的に手を差し伸べなくてはならないと考えて寄付を行う。

    譲歩

    何かを譲ってもらったら、同じように譲らなくてはならないと考える特性
    例:相手の大きな要求を最初に断ったのだから、次の小さな要求には応じてあげたいと考える。

    希少性

    入手しづらいものであるほど貴重なものに思え、手に入れたくなってしまう特性
    例:同様の商品の中で手に入れるなら、期間限定で販売された商品を手に入れたいと考える。

    権威

    組織的、社会的に、強い権威者とみなされる者の命令に従ってしまう特性
    例:強い権威を持つ人間が言っているのだから、正しいと考える。

    言質と一貫性

    自分や他人の行動・言質が、過去から一貫性がとれていることを高く評価する特性
    例:一度購入すると言ったものが、予想よりも高かったとしても、前言を撤回するのは恥ずかしいと考える。

    好意

    好意を持っている人から頼まれると、承諾してしまう特性
    例:親密な人から何かを頼まれると、そうでない人から頼まれるよりも簡単に請け負ってしまう。

    コンセンサスもしくは社会的証明

    他人の考えにより、自分が正しいかどうかを判断する特性
    例:有名人が利用している商品を、自分も利用したいと考える。


    代表的なソーシャルエンジニアリング攻撃

    ここ数年、ソーシャル・エンジニアリングを用いた攻撃による大規模な事件が多数発生している。

    ・2015年に発生した日本年金機構の大規模な情報漏洩事件*2
    ・2017年の大手航空会社が3億8000万円をだましとられた事件*2
    ・2018年の暗号通貨の不正送金事件*3
    ・2020年7月に起きた大手SNSの大規模アカウントハック事件*4

    これらはすべてソーシャル・エンジニアリングを用いた攻撃に端を発しているといわれている。ソーシャル・エンジニアリングを用いた攻撃の高まりを受けて、IPA(独立行政法人 情報処理推進機構)が「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」*5 を発表したのが2009年であるが、10年以上が経過した今も、ソーシャル・エンジニアリングを用いた攻撃は、収まる気配がない。それは、ソーシャル・エンジニアリングが持つ、人間という脆弱性を狙う性質に原因がある。ここでは、今一度、ソーシャル・エンジニアリングと人間とのかかわりを考えていきたいと思う。


    公開日:2021年9月17日
    更新日:2026年5月27日

    編集責任:木下


    Security Report 2020-2021年 秋冬号表紙画像

    弊社では、ソーシャルエンジニアリング攻撃や人的脆弱性について詳しく解説した
    SQAT® Security Report 2020-2021年 秋冬号」を無料公開中です。ぜひ資料ダウンロードをしてご一読ください。

    ※参考(続き)
    contents
    4.人へのバッファオーバーフロー攻撃
    5.人間の隙をつくソーシャル・エンジニアリング攻撃
    6.テクノロジーが人間を追い詰める
    7.ソーシャル・エンジニアリングに対する防御
    8.おわりに

    人的セキュリティ対策を強化したい方は、ぜひご活用ください。

    無料PDF|SQAT® Security Report 2020-2021秋冬号

    その他のSQAT® Security Report

    無料PDF|SQAT® Security Report 2026春夏号

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    特別寄稿/AI時代のセキュリティ戦略:上野宣氏が語る、攻撃と防御の最前線【前編】

    Share
    上野宣氏

    生成AIの急速な進化は、私たちの業務やビジネスの在り方だけでなく、サイバーセキュリティの常識そのものを塗り替えつつあります。攻撃者によるAI活用が高度化・自動化を加速させる一方で、防御側もまたAIを駆使した新たな対策を模索する時代に突入しました。攻撃と防御の双方でAI化が進むなか、企業はこれまでの延長線上にある対策だけで十分と言えるのでしょうか。いま、セキュリティ戦略そのものの再定義が求められています。

    本記事では、現ブロードバンドセキュリティ(BBSec)およびグローバルセキュリティエキスパート株式会社の社外取締役、そして長年にわたりサイバーセキュリティ分野を牽引してきた上野 宣氏に、AIとセキュリティを取り巻く最新動向、企業が直面する課題、そしてこれからの時代に求められる戦略の方向性について伺います。

    後編「AI時代に増えるリスクと、経営が取るべきアクション」はこちら


    AIが変える攻撃の現状と、防御側AI活用のリアル

    生成AI(LLM)の普及によって、サイバー攻撃のコストが劇的に低下しています。フィッシング文面の作成、標的企業の調査、マルウェアの作成、侵入後の横展開など、これまで人手と経験を必要としていた工程が、現在では半自動化されつつあります。犯罪ビジネスとして収益最大化を狙う攻撃者にとって重要なのは「時間を掛けて大物を狙うこと」ではなく、「いかに効率的に稼げるか」です。その結果、防御側には「特定の攻撃を止める」だけではなく「被害を最小化し、迅速に復旧する」という視点がこれまで以上に求められています。一方、防御側も、EDR/XDRやログ分析の高度化、セキュリティ運用(SOC/CSIRT)の自動化など、AIを取り入れた対策が急速に進んでいます。

    また、独立行政法人情報処理推進機構(IPA)が2026年1月29日に公開した「情報セキュリティ10大脅威 2026 [組織編]」では、「AIの利用をめぐるサイバーリスク」が初めて3位に選出されました。

    攻撃と防御の双方でAI化が進む現在、企業のセキュリティ戦略はどう変わるべきなのでしょうか。本稿では、攻撃者の視点で侵入を行うペネトレーションテストの経験を踏まえ、AI時代のセキュリティ最前線を整理し、現場と経営の双方が「明日から動ける」論点を提示します。

    AIが変えるサイバー攻撃の現状

    攻撃者は「巧妙さ」よりも「スケール」と「成功確率」を取りに来る

    AIがもたらした本質的な変化は、攻撃手法そのものの高度化ではありません。最大の変化は攻撃のスケール(量)と、標的に適した攻撃手法を選択できる確率が大きく向上した点にあります。

    • フィッシング/ビジネスメール詐欺(BEC)の高精度化
      役職や業務内容、業界用語に合わせた文面、自然な敬語表現、過去メールの文体模倣、会話の継続まで、生成AIが支援することができます。結果として「日本語が不自然」「誤字が多い」といった従来の判別ポイントが機能しなくなっています。さらに、メールに限らず、チャット(Teams/Slackなど)やSMS、SNSのDM、ビデオ会議(Zoom/Teamsなど)など複数チャネルを横断した心理的誘導も増えています。
    • ディープフェイク(音声・映像)によるなりすまし
      役員の音声を模した緊急指示など、本人になりすましたリアルタイムの会話を通じた詐欺など、人の心理を突く攻撃が進化しています。特に決裁フローが「口頭承認」「チャットでOK」で通る組織ほど影響が大きくなります。
      2024年初頭には、香港でCFOをディープフェイクで偽装し、ビデオ会議を通じて2,500万米ドル(約38億円)を詐取した事件が報じられました。従来、本人確認は「見て・聞いて・確認する」という感覚に依存していましたが、その前提自体が崩れています。

    [CFO(最高財務責任者)になりすまして2500万米ドルを送金させたディープフェイク技術 |トレンドマイクロ](https://www.trendmicro.com/ja_jp/research/24/c/deepfake-video-calls.html)

    • マルウェアの派生と検知回避の高速化
      既存コードの改変、難読化、検知回避の試行錯誤を短時間で回せるため、シグネチャ依存の検知は追随が難しくなります。加えて、侵入後の活動(権限昇格、横展開、永続化)に必要なコマンドや手順を考えるコストが下がり、攻撃者の習熟速度が上がります。
    • 偵察(Recon)と脆弱性悪用の自動化
      公開情報(OSINT)の収集、サブドメイン列挙、設定不備の探索、既知脆弱性(CVE)の当たり付けなど、攻撃の前工程が加速します。攻撃者は「露出している資産」「更新されていないミドルウェア」「放置された管理画面」のような守りの穴をAIで素早く見つけ、手当たり次第に試行します。
    • 生成AIによるコード生成とその限界
      生成AIは攻撃コードのたたき台(PoC)や、攻撃後の痕跡隠し(ログ削除や設定変更)の手順を提案することができます。攻撃者が高速に試行錯誤を行うことができるようになりました。ただし、生成物は常に正しいとは限らず、環境依存のミスも多くあります。AIは攻撃を容易にしますが、万能ではありません。

    2024年5月にはIT分野の専門知識を持たない人物が、生成AIを悪用してランサムウェアを作成し逮捕されたという国内事案も起きています。従来は一定の技術力が必要だった領域でしたが、AIが参入障壁を引き下げています。
    [生成AI悪用しウイルス作成、有罪判決…IT知識なくとも「1か月ぐらいで簡単に作れた」 | 読売新聞](https://www.yomiuri.co.jp/national/20241025-OYT1T50209/)

    AIは攻撃者にとって新しい武器というより、「既存の攻撃を、安く、速く、個別最適化して量産する装置」として機能しています。

    守る側が見落としがちな本質的脅威:攻撃者の「工数」ではなく「意思決定」が変わる

    AIで工数が下がると、攻撃者の意思決定が変わります。たとえば以前なら「ROI(投資利益率)が合わない」と見送られていた中堅企業や子会社、地方拠点も、数を打つ前提で標的に入りやすくなります。また、ランサムウェアのように侵入後に人が関与する攻撃でも、初期侵入の候補が増えるだけで全体の被害母数は増えます。

    企業は「自社は狙われない」ではなく、狙われる前提で、侵入しにくく・侵入されても広がらない設計に投資する必要があります。

    一方で、AI攻撃にも限界があります。生成物の誤り、環境依存、権限・ネットワーク制約など、現実の侵入は地味な制約だらけです。 だからこそ防御側は、AIを過度に恐れるよりも、AIによって「攻撃の頻度と質が上がる」前提で、基本対策を徹底しつつ、運用を強化することが重要になります。

    防御側のAI活用と、その限界

    「検知モデル」と「生成モデル」は役割が異なる

    防御側のAI活用を考える際、まず押さえたいことは、AIには大きく2種類の使い方があることです。

    1. 検知(判別)に強いAI:振る舞いから異常を検知し、アラートを出す(EDR/XDR、UEBAなど)
    2. 生成(要約・支援)に強いAI:文章の要約、問い合わせ応答、手順提案、チケット起票など運用補助を担う

    両者を混同すると、「AIを入れたのに検知できない」「要約は便利だが判断が危ない」といったミスマッチが起きます。導入時はAIに何を任せ、何を人が担うかを明確にすることが出発点になります。

    AIはすでに防御のコアである

    防御側のAI活用は、AI製品を買えば解決という単純な話ではありません。多くの企業で現実に進んでいるのは、次のような領域です。

    • EDR/XDRの検知ロジック強化
      従来のルールベースに加え、行動分析や相関分析を組み合わせ、攻撃の兆候を早期に拾う。
    • ログ分析/異常検知の高度化
      分散したログを統合し、普段と違う通信・認証・権限変更などを検知する。特にクラウドでは、設定変更(IaC、権限付与、APIキー利用)のログが要になります。
    • SOCの一次分析(トリアージ)の効率化
      アラート要約、関連ログの自動収集、影響範囲の仮説立て、過去事例の類推など、人が疲弊する作業をAIが肩代わりする。SOAR(自動対応)と組み合わせ、軽微なインシデントを自動封じ込めする例も出ています。
    • 脅威インテリジェンスの取り込み
      攻撃者のTTPやIoCを取り込み、自社ログと突合する。AIは情報の整理・関連付けに強い一方、最終的な妥当性判断は人が担う必要があります。
      AIが得意なのは「大量データの整理・優先順位付け」であり、最終判断(ビジネス影響、止める/止めない、復旧手順)は人間の責務として残ることです。

    AI防御の落とし穴

    AIを活用した防御には、以下のようなリスクがあることを知っておいて下さい。

    • 誤検知/見逃し(False PosITive/Negative)
      AIはもっともらしい出力を返しますが、誤りをゼロにはできません。誤検知が多いと現場はアラート疲れを起こし、逆に見逃しが増えます。
    • 説明可能性(ExplAInabilITy)の不足
      「なぜ検知したのか」が説明できないと、現場の納得も、経営への説明も難しいことがあり、監査や顧客説明に耐えない可能性もあります。
    • データの偏り/経時変化
      組織の利用状況、システム構成、攻撃トレンドは常に変わります。過去データに最適化されたAIは、時間とともに精度が落ちる可能性があります。
    • 生成AIの幻覚(ハルシネーション)
      運用支援にLLMを使う場合、誤った要約や根拠不明の推論が混ざることがあります。検証手順(根拠ログの提示、再現確認)を確立しておくことが必須となります。
    • 機密ログの扱い
      生成AIにログを投入する場合、そのログ自体が機密情報の塊です。保存、外部送信、学習利用、権限管理の設計を誤ると、防御強化のつもりが漏えいリスクになります。
      AIは防御の万能薬ではなく、運用を強くするための一要素に過ぎません。AIを導入するなら「どのKPIを改善するのか(初動時間、検知率、分析工数、MTTRなど)」を定義し、運用とセットで設計する必要があります。

    ―【後編】「AI時代に増えるリスクと、経営が取るべきアクション」 に続く―


    執筆:上野 宣 氏
    株式会社トライコーダ代表取締役
    奈良先端科学技術大学院大学で山口英教授のもと情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立。2019年より株式会社Flatt Security、2022年よりグローバルセキュリティエキスパート株式会社、2025年より株式会社ブロードバンドセキュリティの社外取締役を務める。あわせて、OWASP Japan代表、一般社団法人セキュリティ・キャンプ協議会理事、NICT CYDER推進委員などを歴任し、教育・人材育成分野にも尽力。情報経営イノベーション専門職大学(iU)客員教員。

    編集責任:木下・彦坂

    スペシャル記事 TOPに戻る
    バックナンバー TOPに戻る


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像
    BBSecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    ウェビナーアーカイブ動画ページバナー画像

    ビジネスメール詐欺(BEC)の脅威と企業に求められる対策 -2026年最新の脅威と対策ガイド-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ビジネスメール詐欺(BEC)の脅威と企業に求められる対策 -2026年最新の脅威と対策ガイド-アイキャッチ画像

    近年、企業を狙った巧妙な「ビジネスメール詐欺(BEC: Business Email Compromise)」が世界的に急増しています。本記事では、BECの概要や実際の被害事例、典型的な手口と最新動向について解説し、企業が取るべき対策と今後の備えとして必要な社内体制づくりについて提言します。

    ビジネスメール詐欺(BEC)とは何か

    ビジネスメール詐欺(BEC)」とは、巧みに偽装した電子メールを企業の従業員に送りつけ、経理送金などの不正行為を実行させる詐欺手口です。攻撃者は取引先や経営者になりすまして「請求書の振込先が変更になった」「至急資金を用意してほしい」といったメールを送り、社員を信用させて偽の口座へ送金させます。その名の通りBusiness E-mail Compromise(=”ビジネス Eメール詐欺”)の頭文字を取って「BEC(ベック)」とも呼ばれます。一般的なマルウェア添付型メールとは異なり、ビジネスメール詐欺のメールにはマルウェア添付や明らかな不審リンクがない場合も多く、一見「通常の業務メール」に見える点が非常に厄介です。

    ビジネスメール詐欺(BEC)の特徴

    ビジネスメール詐欺は高度なソーシャルエンジニアリング(巧妙な人為的なだまし)の一種であり、技術的手口と心理的誘導を組み合わせて実行されます。攻撃者はターゲット企業や関係者について徹底的に調査し、社員の権限や性格、役職に至るまで把握します。その上で「海外出張中の社長」を装って部下に緊急送金を命じたり、「取引先担当者」を装い請求書の振込口座変更を通知したり、あるいは「秘密裏の相談」を持ちかけて警戒心を解き、相手に疑う隙を与えないよう仕向けます。このようにBECは人間の認知・判断の隙を突いて金銭を騙し取る巧妙な詐欺であり、IPA(情報処理推進機構)の「情報セキュリティ10大脅威」でも毎年TOP10入りするなど極めて深刻な脅威です。

    ビジネスメール詐欺の手口と最近の傾向

    独立行政法人情報処理推進機構(IPA)による注意喚起などで紹介されているBECの典型的な手口は、大きく以下の5タイプに分類されます。

    ・取引先との請求書の偽装
    ・経営者等へのなりすまし
    ・窃取メールアカウントの悪用
    ・社外の権威ある第三者へのなりすまし
    ・詐欺の準備行為と思われる情報の詐取

    なお、この分類は、米国政府系機関のIC3(Internet Crime Complaint Center:インターネット犯罪苦情センター)の定義によるものであり、IPA以外にも、多くのセキュリティ機関で使用されているものです。実際の攻撃では、これら複数の手口を組み合わせて巧妙に仕掛けられるケースもあります。例えば「詐欺の準備行為と思われる情報の詐取」で社内情報を下調べした上で「取引先との請求書の偽装」+「経営者等へのなりすまし」で請求書詐欺を行う、といった具合です。また攻撃者はメール送信元を偽装する際、本物のドメインに一文字追加するなど判別しづらい偽アドレスを使うため、受信者が違和感を持ちにくい工夫がされています。

    ビジネスメール詐欺実行のプロセス

    ビジネスメール詐欺の背後では、攻撃者が入念な準備を重ねています。典型的な実施プロセスは下記の通りです。

    1.標的とする企業の選定
    2.フィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取り
    3.乗っ取った電子メールアカウントを用いた情報の収集・分析
     例:
     ・組織図や人事情報
     ・意思決定者や経理担当者などのキーパーソンの氏名・役職・権限・業務管掌
     ・企業の業務プロトコルや各種社内規定、企業文化
     ・毎月の経理処理のスケジュール
     ・主要取引先の担当者氏名・役職・権限、取引の詳細
     ・ターゲット候補に関する情報
     (性格や気質、言葉遣いの癖、趣味やプライベート、出張・休暇情報など)
    4.ターゲット、攻撃シナリオの決定
     例:経理担当者A氏をターゲットにし、大口取引先B社の経理担当者C氏になりすます
    5.詐欺ドメインの取得
     例:大口取引先B社とよく似たドメインの取得、メールサーバの設定 他
    6.なりすましメール送信
     例:A氏に対し、C氏を装った電子メールを送信
    7.攻撃成功
    (なりすましであることに気づかれることなく、メールの内容にもとづく行動を起こさせる)
     例:A氏がなりすましメールの指示通りに、攻撃者の口座へ入金処理を実施

    例えば、決裁者が出張中で不在のタイミングを狙い撃ちし、その間隙に乗じて部下に大量送金を依頼するなど、周到にシナリオが練られています。ターゲットを絞り込み時間をかけて攻撃するため、1件あたりの被害額は莫大になる傾向があります。

    生成AIを利用したメール文面の巧妙化

    近年の大きな傾向の特徴の一つとして、生成AIの普及によるメール文面の巧妙化があります。当初BECは英文メールで海外取引のある企業が狙われるケースが目立ちました。しかし2022年以降の生成AIの普及により、日本語の文面も非常に自然で巧妙になってきています。生成AIは、単に文章を作成するだけでなく、ターゲット企業の業界用語や社内の言い回し、文化的なニュアンスまで学習し、極めて説得力のあるメールを作成します。例えば、製造業の企業に送られるメールには業界特有の専門用語が適切に使われ、金融機関に対しては金融規制に関する正確な知識を踏まえた内容が含まれます。これにより、従業員が不自然な表現という従来の判断基準で詐欺を見抜くことは極めて困難になっています。

    さらに、生成AIは多言語対応も容易にしました。攻撃者は英語、日本語、中国語、韓国語など、ターゲットに応じて完璧な言語でメールを作成できるため、「海外取引がない企業は安全」という考えは完全に通用しなくなっています。

    ビジネスメール詐欺の被害事例

    実際にビジネスメール詐欺による被害は国内外で多発しており、日本国内でも被害が急増しています。

    2017年末に大手企業で数億円規模の被害が発生し注目が集まり、その被害総額は2023年末時点で全世界累計約554億ドル(約8兆円)を超え、2024年には生成AIの普及により攻撃が前年比1,760%増加する*6 など、脅威は加速度的に拡大しています。1件あたりの平均被害額は13万7,000ドル(約2,000万円)に達し*2、高額案件では467万ドル(約6億8,000万円)の被害も報告されています*3

    LINE誘導型CEO詐欺

    特に2025年の年末以降に急増しているのが、経営者を装って従業員に「LINEグループを作成してほしい」とメールで依頼し、QRコードの送信を求めるというLINE誘導型CEO詐欺の手口です。この攻撃はURLリンクが含まれないため、従来のセキュリティツールでは検知が困難です。具体的な被害報告例は下表の通りです。

    被害公表日概要
    2025年12月27日北海道函館市の企業で約4,980万円の被害が報告*4
    2026年1月7日長野県飯田市の企業で2,950万円の被害*5
    2026年1月20日東京都内の組織14件で計6億7,000万円の被害*6

    LINE誘導型攻撃の実態については以下の記事でも解説しています。あわせてぜひご覧ください。
    【注意喚起】「業務上の理由で…」そのメール、本当に上司ですか?―年末年始を狙うLINE誘導型ソーシャルエンジニアリングの実態

    ビジネスチャットツールでのなりすまし詐欺

    ビジネスメールだけでなくChatworkやMicrosoft Teamsなどのビジネスチャットツールでのなりすまし詐欺も増加しており、攻撃の多様化が進んでいます。2026年1月には、Chatworkが公式に注意喚起を発表し、「経営者を装った不審なコンタクト申請」が多発していることを警告しました*7 。この攻撃では、攻撃者が社長や役員の名前とプロフィール写真を使用してアカウントを作成し、従業員にコンタクト申請を送ります。承認されると、「緊急の案件で手が離せない」「機密事項なので他言無用」といったメッセージで信頼を築き、最終的に送金指示や機密情報の提供を求めます。チャットツールが標的となる理由として、従業員の警戒心の低さやセキュリティ設定の甘さなどがあります。

    2026年のBECトレンド予測:進化する脅威への備え

    ビジネスメール詐欺は、技術の進歩とともに急速に進化を続けています。2026年に向けて、企業が警戒すべき最新トレンドをご紹介します。

    AIによる攻撃の高度化

    生成AI技術の普及により、ビジネスメール詐欺は劇的に進化しています。2024年第2四半期の調査では、フィッシングメールの約40%がAI生成コンテンツであると特定されており*8、この割合は今後さらに増加すると予測されています。従来は不自然な日本語表現で見破れた詐欺メールも、現在ではネイティブレベルの完璧な多言語メールが簡単に生成可能です。

    さらに深刻なのが、AI音声合成技術による「電話確認」の突破です。ディープフェイク音声により経営者の声を高精度で模倣できるため、従来の対策である「電話での本人確認」も無力化される恐れがあります。2026年はこの攻撃がさらに洗練されることが予想されます。

    攻撃対象の拡大

    ビジネスメール詐欺の戦場はメールからチャットツールへ拡大しています。2026年1月にはChatworkが公式に注意喚起を発表し、Microsoft Teams、Slack、LINEなどでのなりすまし詐欺が急増しています。また、実際に取引先企業のアカウントを侵害して攻撃する「VEC(Vendor Email Compromise:ベンダーメール詐欺)」が2023年から2024年にかけて66%増加したという報告もあります*9。VECは正規のアカウントから送信されるため検知が極めて困難で、自社だけでなくサプライチェーン全体のセキュリティ対策が必要です。

    日本特有の課題

    日本企業の最大の課題はDMARC導入の遅れです。2026年1月の日本経済新聞の報道によれば、最も効果的な「拒否」設定を行っているのはわずか15%(米欧は約60%)にとどまっています。また、東京だけでなく長野、北海道、新潟など全国各地で被害が発生しており、地方企業におけるセキュリティ意識や専門人材の不足という地域格差も深刻な問題となっています。

    攻撃者は防御の弱い企業を優先的に狙うため、日本企業は早急な対策強化が求められています。

    ビジネスメール詐欺に企業が取るべき対策

    ビジネスメール詐欺の被害を防ぐには、「技術」「人」「プロセス」の三位一体となった多面的な対策が求められます。

    技術的対策

    メール認証技術の導入が最優先です。SPF、DKIM、特にDMARC「拒否」設定を実装し、なりすましメールを受信前にブロックしましょう。また、全従業員への多要素認証(MFA)導入を推進し、アカウント乗っ取りを防止しましょう。

    メール認証技術(SPF・DKIM・DMARC)の導入ポイントについては、以下の記事でも解説しています。あわせてぜひご覧ください。
    「ソーシャルエンジニアリング最前線【第4回】企業が実践すべきフィッシング対策とは?」
    フィッシング対策に重要なメール認証技術とは?SPF・DKIM・DMARCの導入ポイント

    基本的なセキュリティ対策の強化
    ウイルス対策・不正アクセス対策・OSの更新・IDやパスワードの管理・二要素認証の採用など、一般的なセキュリティ対策は、ビジネスメール詐欺実行のプロセスの「フィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取り」にも有効です。

    人的対策

    定期的なセキュリティ研修で、BECの最新手口を全社員に周知します。擬似BEC攻撃メールによる訓練を実施し、不審なメールを見抜く力を養成しましょう。メールだけでなく、Chatwork、Slack、Microsoft Teamsなどチャットツールでのなりすまし対策教育も重要です。

    プロセスの再構築

    振込先口座の変更や高額送金の指示がメールで来た場合、必ず事前登録された電話番号に直接確認する社内ルールを徹底します(メール本文の連絡先は使用しない)。複数人承認制を義務化し、LINEやTeamsのアカウント情報を求められた場合も同様に電話確認を必須とします。

    ビジネスメール詐欺の脅威は、技術の進歩とともに進化を続けています。企業は、「自社は大丈夫」という楽観的な見方を捨て、常に最新の脅威情報にアンテナを張り、継続的に対策をアップデートする姿勢が求められます。

    ビジネスメール詐欺ではどこまで自社の情報を集められるのか?

    ビジネスメール詐欺は「ターゲットについて調べに調べたうえで実行される」と述べました。相手を欺くために練りに練られたメールを、最も攻撃に弱いと見立てたターゲットに送る。それがターゲットの元に届いてしまったとき、その後できる対策は決して多くはありません。

    そこで求められるのが、前述したビジネスメール詐欺実行のプロセスの、なるべく早期の段階にフォーカスした対策です。具体的には、2および3のフェーズ、すなわち「電子メールアカウントが乗っ取られて攻撃のための情報が収集、分析される」段階を想定してセキュリティ課題を抽出し、対策を立てることをおすすめします。「シフトレフト」に関する記事で言及しているように、対策は、プロセスの前段階であればあるほど効果的です。

    株式会社ブロードバンドセキュリティ(BBSec)では、標的型攻撃への対策として開発された「SQAT® APT」というサービスを提供しています。本サービスでは、攻撃が成功した場合、「社内の情報がどこまで収集されてしまうのか」、「どこまで侵入を許してしまうのか」、「何を知られてしまうのか」、といった点を把握できるようになっており、ビジネスメール詐欺対策としても威力を発揮します。

    もっともうま味のある成果を狙って、もっとも弱いところを突いてくる。それがビジネスメール詐欺です。起こりうる被害を可視化して対策を立て、早い段階で攻撃の芽を摘みましょう。

    G-MDR®

    サイバー攻撃への防御を強化しつつ、専門技術者の確保や最新技術への投資負担を軽減します。
    https://www.bbsec.co.jp/service/mss/gmdr.html
    ※外部サイトにリンクします。

    エンドポイントセキュリティ

    組織の端末を24/365体制で監視。インシデント発生時には端末隔離等の初動対応を実施します。
    https://www.bbsec.co.jp/service/mss/edr-mss.html
    ※外部サイトにリンクします。

    インシデント初動対応準備支援

    拡大するサイバーセキュリティの脅威に対応するために今すぐにでも準備すべきことを明確にします。

    https://www.bbsec.co.jp/service/evaluation_consulting/incident_initial_response.html
    ※外部サイトにリンクします。

    まとめ

    • ビジネスメール詐欺(BEC)は取引先や上司を装った偽メールで社員を欺き、不正送金等を行わせる犯罪であり、高度に人の心理の弱みを突くソーシャルエンジニアリング攻撃の一種です。
    • 攻撃者はメールアカウント乗っ取りなど技術的手段も駆使しつつ、企業や従業員に関する綿密な事前調査を行い、練り込んだシナリオで標的を信じ込ませます。
    • 発生すると被害額が極めて大きくなりやすく、企業規模・業種を問わず警戒が必要です。
    • ビジネスメール詐欺の被害を防ぐには、メール詐欺に焦点を合わせた多面的な対策(技術・プロセス・教育)を実施することが効果的です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【注意喚起】「業務上の理由で…」そのメール、本当に上司ですか?―年末年始を狙うLINE誘導型ソーシャルエンジニアリングの実態

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    慌ただしい年末、皆様が突然上司から業務上の理由で…―というメールが来たらどうしますか?今回は年末のこの忙しい時期を狙った、詐欺と思われるメールについての注意喚起です。

    【注意喚起】「業務上の理由で…」そのメール、本当に上司ですか?―年末年始を狙うLINE誘導型ソーシャルエンジニアリングの実態アイキャッチ画像

    年末に増加する「上司なりすましメール」とは

    企業のとある社員にこんなメール(下図参照)が届きました。

    上司なりすましメールの実例(メール文面)

    実はこのメールは、社員が受信する前日にIPAから注意喚起が出されていた事例と、内容が全く同じものでした。

    参考情報:独立行政法人情報処理推進機構(IPA)Xアカウント(情報セキュリティ安心相談窓口)の投稿(2025年12月22日付)(https://x.com/IPA_anshin/status/2002941037422203120

    実在する社員名・社名を使った信頼性の偽装

    本メールでは実際に存在する弊社の社員名をかたっているほか、弊社の社名も記載されています。しかし、送信元のメールアドレスはフリーメールで、メールヘッダでたどれる限りでは日本国内から送信されていることがわかりました。なお、ここで表示されている会社名はいわゆるFromヘッダのところに付加する表示名となっています。これはソーシャルエンジニアリングでよく使われる手法で、正規の社名や実在する人物名を使い、受信者の信頼感を高める狙いがあると考えられます。しかし、よく表示を見ると明らかにメールアドレスがフリーメールのものなのでおかしい?と気づく可能性は高いです。

    上司なりすましメールの実例(メール文面)2、実在する社員名・社名の偽装

    ソーシャルエンジニアリングの手口について詳しく知りたい方はこちらの記事もぜひあわせてご覧ください。

    【関連記事】
    ソーシャルエンジニアリング最前線【第2回】実例で解説!フィッシングメールの手口と対策」SQAT®.jp
    https://www.sqat.jp/kawaraban/37135/

    またSNSなどの情報によると、このような形式のメールが2025年12月に入ってから急増しているといいます。年末の繁忙期、また年末年始休暇で会社から切り離される時期を狙って送信されているものと考えられます。

    企業がサポートしていないコミュニケーションツールの危険性

    さらに今回の攻撃におけるソーシャルエンジニアリングのポイントは、メールから舞台をLINEに移していることにあります。多くの企業ではLINEを業務ツールとして採用していません。もし採用している企業があったとしてもLINE Worksの方を利用していることが多いと思われます。また、小売業などでアルバイト従業員との連絡ツールとしてLINEを利用している場合でも、企業ごとに利用ガイドラインを作成しており、ガイドラインに従って運用されていることでしょう。つまり、IT部門やセキュリティ部門からするとサポート外の全く見えないところが今回のLINEのグループとなります。

    年末年始休暇を控え、社員が社内システムや公式コミュニケーションツールに触れない期間が発生します。その直前にこのようなメールで、会社がサポートしていないコミュニケーションプラットフォームへ誘導されることで、被害の発覚が遅れ、詐欺が遂行されるリスクが高まる点にも注意が必要です。今回のフィッシングメールは、おそらくLINEに誘導した後に何らかの詐欺などのスキームに巻き込むことを想定したフィッシングメールではないかと推測されます。

    LINEを悪用した詐欺は若年層もターゲットに

    LINEを悪用した特殊詐欺はご高齢の方だけではなく昨今は若年層もターゲットとなっています。LINE側でも対策は行っていますが、アプリ側の判定基準自体が過去の事例によるもので、後追いになっている可能性も否めません。

    参考情報:

    まとめ:年末こそ“いつもと違う連絡”に要注意!

    今後は、所属している会社側から推奨されているコミュニケーションプラットフォームのみ利用し、それ以外のプラットフォームは利用しないことを徹底することをおすすめいたします。また、今回のフィッシングメールに関しては、日常的にもSNSからLINE、メールからLINEへの誘導で詐欺が行われている事例があることから、場面の切り替えが行われる場合は十分に警戒し、信頼できる家族や知人に相談するのが良いでしょう。


    本年もSQAT.jpをご愛読くださいましてありがとうございました。2026年も引き続き皆様の役に立つセキュリティの話題をお届けしてまいります。今後ともご愛顧のほどよろしくお願いいたします。


    サイバーインシデント緊急対応

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    限定キャンペーン実施中!

    今なら新規お申込みで 初回診断料金 10%OFF
    短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか?

    詳細・お申し込みボタン

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    Swift Delivery Web診断キャンペーン案内バナー画像

    サイバーセキュリティとは-情報セキュリティとの違いと目的・対策・重要性を解説-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーセキュリティとは-情報セキュリティとの違いと目的・対策・重要性_アイキャッチ画像

    サイバーセキュリティとは、インターネットやデジタル技術を利用する社会で欠かせない「防犯」の仕組みです。情報セキュリティとの違いを正しく理解し、その目的や重要性を把握することは、セキュリティ担当者だけでなくすべての利用者に求められます。本記事では、サイバーセキュリティの基本から具体的な対策、最新トレンドまでをわかりやすく整理し、日常業務や企業活動に活かせる実践的なポイントを解説します。

    サイバーセキュリティという言葉を初めて耳にすると、多くの人が「何か難しそう」「専門家向けでは?」と思ってしまうかもしれません。しかし、インターネットやスマートフォンを使って日常生活を送る現代において、サイバーセキュリティは私たちにとっても実は身近な存在です。

    サイバーセキュリティとは?日常とのつながり

    たとえば、「情報セキュリティ」という言葉の通り、サイバーセキュリティは個人や企業が保有する情報を、外部の攻撃や内部の不正から守るためのあらゆる取り組み——つまり「デジタル社会の防犯」と言ってもいい存在です。特別なものではなく、日々のネット利用やデバイス操作そのものがサイバーセキュリティと密接に関わっているのです。現代はスマートフォンやパソコンだけでなく、テレビや冷蔵庫までがネットにつながる”IoT社会”。SNSでのコミュニケーションやオンラインショッピング、各種アプリの利用など、「サイバー空間」と呼ばれるインターネットの世界は生活の一部になっています。この便利さの裏には、見えないサイバー攻撃のリスクが潜んでいます。ここを知ることが、サイバーセキュリティへの第一歩です。

    サイバー攻撃とは何か

    サイバー攻撃とは、インターネットやネットワークを通じてコンピュータやスマートフォンなどのデバイス、Webサービスなどに損害を与える行為を指します。ニュースでは「ウイルス」「マルウェア」「フィッシング詐欺」「ランサムウェア」「不正アクセス」などの言葉が頻繁に登場しますが、これらはすべてサイバー攻撃の一種です。たとえば、フィッシング詐欺 は本物そっくりの偽メールや偽サイトに誘導し、パスワードやクレジットカード情報を盗み取る手口です。マルウェアは悪意をもったプログラムで、感染することで大切なデータの流出や端末の壊滅的な損害につながります。ランサムウェアは、データを人質に身代金を要求する攻撃手法です。

    攻撃名主な手口被害の特徴主な被害対象
    マルウェア感染メール添付や危険なサイトからのダウンロード情報漏洩、コンピュータの乗っ取り、不正操作個人・企業全般
    フィッシング詐欺偽サイトや偽メールで認証情報取得ID・パスワード盗難、金銭的被害個人ユーザー、ネットバンキング利用者
    ランサムウェアメール・ウェブ経由で感染しデータ暗号化し身代金要求データ利用不可能、金銭的要求、業務停止企業・医療機関・自治体等
    不正アクセス弱いパスワードや設定ミスを悪用機密情報の漏洩、なりすまし被害企業システム・個人サービスアカウント

    サイバーセキュリティの目的

    サイバーセキュリティの目的は、単に攻撃を防ぐことにとどまりません。情報セキュリティの3要素、「機密性」「完全性」「可用性」を合わせて「CIA」と呼びます。つまり「誰にでも見せていい内容か」「内容が改ざんされていないか」「必要な時に使えるか」を守り抜くことこそ、サイバーセキュリティの本懐です。たしかな一次情報によれば、この三要素は、世界中でセキュリティを考えるときの共通する普遍的な指針となっています。このCIAを守るためには、実に幅広い知識と対応策が必要とされます。企業だけでなく、個人が日々の生活でできるセキュリティ対策もたくさん存在します。

    要素概要リスク例
    機密性 (Confidentiality)許可された人だけが情報にアクセスできる状態を保つ情報漏洩、不正閲覧
    完全性 (Integrity)情報が正しく保たれ、改ざんされていない状態を維持データの改ざん、不正操作
    可用性 (Availability)必要な時に情報やシステムが利用できる状態を保つシステム障害、サービス停止

    なぜサイバーセキュリティが重要なのか

    インターネットに依存する現代社会では、サイバー攻撃の被害はもはや特殊な例ではありません。たとえば、企業で情報漏洩が起きれば信用失墜や巨額賠償の問題が発生します。個人の場合でも、SNSの乗っ取りやネットショッピングでの不正利用、クレジットカード情報の流出など、誰もが被害者になりかねません。さらに、近年は、サプライチェーン攻撃ゼロデイ攻撃など、従来の対策では防ぎきれない高度な手口も拡大。セキュリティ対策のトレンドや法規制(サイバーセキュリティ基本法GDPRなど)の最新動向をしっかりと抑えることも必須となっています。

    こうした被害や課題を正しく理解するためにも、具体的な被害事例や判例、世界的な潮流は表にまとめて学ぶことが効果的です。業界団体や行政機関(総務省やIPAなど)が公開している公的なデータやレポートを活用することで、サイバーセキュリティに対する理解を深めることができます。

    サイバーセキュリティにおける基本対策

    「何をすればいいのか?」と悩む方に向けて、まずは日常生活で実践できる初歩的な対策からスタートするのが推奨されます。総務省が示す三原則は、すぐにでも始められる実践的なセキュリティ対策の例です。

    1. ソフトウェアは常に最新版に保つ
    2. 強固なパスワードの設定と多要素認証の活用
    3. 不用意なメール・ファイルを開かない、アプリをインストールしない

    これらに加え、「ウイルス対策ソフトの導入」「ネットショッピングサイトのURL確認」「Wi-Fiルーターの設定見直し」「スマートフォンのOSアップデートの定期的な実施」なども効果的です。企業で働く場合は、「アクセス権限の制御」「重要データのバックアップ」「ログ管理」など、さらに高度な対策が求められます。こうした対策の具体例や実践ポイントは、図表やチェックリスト形式でまとめると自己点検にも役立ちます。セキュリティ対策チェック表や安全なパスワードの選び方、多要素認証の設定ガイド等の図解は、初心者が最初に取り組むべき項目を可視化できるため推奨されます。

    セキュリティ対策チェックリストの例

    以下はチェックリストの一例です。実際に運用する際には業務や使用しているシステムに合わせてより細かく作成していく必要があります。

    やるべきこと重要度対応状況
    OSやアプリの定期的なアップデート実施/未実施
    ウイルス対策ソフトの導入・更新実施/未実施
    強固なパスワード設定と多要素認証の利用実施/未実施
    不用意なメールや添付ファイルを開かない実施/未実施
    バックアップの定期実施実施/未実施
    ネットワーク機器の初期設定見直し実施/未実施
    従業員向けセキュリティ教育・研修実施/未実施

    サイバーセキュリティと情報セキュリティの違い

    初学者からよくある質問の一つが「サイバーセキュリティと情報セキュリティは同じですか?」という点です。情報セキュリティは、あらゆる情報(紙媒体、物理的なデータも含む)を対象にしますが、サイバーセキュリティは特にインターネットやデジタル技術が関与する電子的な情報・デバイス・システムにフォーカスしています。つまり、インターネットやIT機器を使って情報をやり取りする現代において、サイバーセキュリティの重要性は年々増しています。サイバー攻撃に対応するためには、技術だけでなく利用者の意識も不可欠です。

    サイバーセキュリティの最新トレンド

    2025年現在、ゼロトラストモデルEDRSOCMFA(多要素認証)など新しいサイバーセキュリティ技術・サービスの導入が進んでいます。AI技術の進化により、攻撃側・防御側ともに手法が高度化し、サイバー攻撃事例、セキュリティインシデント、情報漏洩等のニュースが増加傾向にあります。また、テレワークの普及やIoT機器の急増は新たなセキュリティリスクを生み出しつつあり、最新のサイバーセキュリティ関連キーワード(ゼロデイ、サプライチェーン、ランサムウェア、フィッシング、VPN、SOC、EDR)は、入門段階から意識して覚えておくべきです。 こうした最新動向は、企業サイト、行政レポート、業界ニュースなど一次情報を出す信頼できる媒体で確認することを強く推奨します。

    サイバーセキュリティの相談窓口・一次情報へのアクセス

    一歩踏み込んで「どこに相談すればいいの?」と感じたら、総務省やIPA(情報処理推進機構)など、一次情報を発信している公的機関の情報を閲覧することからはじめてみましょう。また今皆様が記事を読んでいる弊社SQAT.jpサイトをはじめとした、サイバーセキュリティ情報を扱ったWebサイトから一次情報を確認するのも一つの手段です。独自の見解や推測ではなく、根拠となるニュースリリース、ガイドライン、最新動向をもとに判断するのが大切です。また、さらに一歩踏み込んで対策を始めていきたい、指針がほしいと思ったらセキュリティベンダーを頼ってかかりつけ医のように利用してみてはいかがでしょうか。

    BBSecでは

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    まとめ:誰もが守るべきデジタル時代の「防犯」

    サイバーセキュリティは社会のインフラを守る防犯意識に他なりません。スマートフォン、パソコン、ネットショッピングやSNSなど身近な存在を守るために、まずは基礎を知り、簡単な対策から一歩踏み出してみることが重要です。専門家の世界だけでなく、どなたでも役立つ情報を、身の回りのことからオンラインサービスの使い方まで、生活目線で学ぶ姿勢がセキュリティレベルの向上につながります。今後もサイバー攻撃や新しいリスクは進化を続けますが、一次情報に基づいた正しい知識をもとに、日々小さな工夫から実践を積み重ねていくことこそ、自身と社会を守る最良の方法です。サイバーセキュリティは難しいものではなく、まずは「知る」「見直す」「具体的に始める」―その小さな一歩から、身近な世界に安心と安全をもたらすことができるでしょう。

    【参考情報】


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年10月22日(水)14:00~15:00
    ランサムウェア対策セミナー2025 ~被害を防ぐための実践的アプローチ~
  • 2025年10月29日(水)13:00~14:00
    【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 2025年11月5日(水)13:00~14:00
    【好評アンコール配信】「SQAT®ペネトレーションテスト実演付き!-攻撃の“成立”を見極めるペネトレーションテストとは-
  • 2025年11月12日(水)14:00~15:00
    なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較
  • 2025年11月26日(水)13:00~14:00
    【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    AIコーディング入門 番外編:オープンソースソフトウェアのサプライチェーン攻撃とタイポの落とし穴

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    AIコーディング入門番外編アイキャッチ画像(OSSのサプライチェーン攻撃)

    AIを活用したコーディングが普及する一方で、オープンソースソフトウェア(OSS)を狙ったサプライチェーン攻撃が増加しています。特に、開発者のタイポを悪用する「Typosquatting」や、AIのハルシネーションに便乗する「Slopsquatting」といった手法は、身近で深刻な脅威です。本記事では、実例を交えながらその仕組みとリスクを解説し、安全なAIコーディングを実践するためのポイントを紹介します。

    コードを書く人やインフラストラクチャの構築をする人ならば、人生で最低でも一度は経験しているであろうこと、それはタイプミス、いわゆるタイポ(typo)ではないでしょうか。タイポ、些細なミスで、日常的に発生するものなのですが、中には重大なものもあります。

    タイプミスが招く落とし穴 ─ Typosquattingとは

    皆さんは「タイポスクウォッティング」という言葉をご存じでしょうか。Web関連のお仕事をされている方であれば、URLのタイポスクウォッティング、つまり間違いやすい・紛らわしいURLでユーザーをおびき寄せる手法としてのタイポスクウォッティングをご存じの方も多いかと思います。この手法がオープンソースソフトウェアでも昨今使用されるようになっています。

    例えばnpmの場合、

    npm install package_name

    と入力することでパッケージのインストールを実行できます。インストールしたパッケージは例えばjavascript(react)を利用している環境であれば

    import {
    コンポーネント名
    } from “@/fullpath/to/package_name”;

    の形でコードの先頭で利用するパッケージ名を宣言します。

    世の中にはこのパッケージ名のよくあるタイプミス(typo)を狙って作られたマルウェアの一種が存在します。そんなマルウェア、何のためにあるのだろうという方も多いと思いますが、例えば暗号資産のウォレットを狙ったマルウェアや、システムへの侵害目的のマルウェアなどが最近では話題になっています。

    npmやPythonなどOSSでの事例

    暗号資産を狙うマルウェアの脅威

    暗号資産を狙ったマルウェアについては偽の採用面接中に実行を求められるケースも報告されています。

    Socket,[Another Wave: North Korean Contagious Interview Campaign Drops 35 New Malicious npm Packages]https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages

    偽の採用プロセスとソーシャルエンジニアリング

    採用面接に至るということは例えば採用条件面で魅力的である、採用プロセスに見せかけたフェーズで偽の採用者に対して高い信頼を持つよう誘導されている、著名な企業などに成りすますことで権威性・信憑性を信じさせられる、オンライン環境による信頼レベルを悪用される、といったソーシャルエンジニアリングの基本ともいえる「人」が抱える脆弱性をすでに悪用された状態です。

    関連記事:
    ソーシャルエンジニアリング最前線【第1回】ソーシャルエンジニアリングの定義と人という脆弱性」(https://www.sqat.jp/kawaraban/37089/

    その状態で、面接というストレスのかかる、失敗が許されないと思ってしまう状況で紛らわしい名称の不正なコードや、不正なパッケージを含むコードを実行させられた場合、気づくことは容易ではありません。面接で突然コードを実行させられることに違和感を覚えてその場を退出することが最善かもしれませんが、Zoomのリモートコントロール機能を使ってマルウェアを実行するケースもあることから、特にすべてをオンラインで完了させるタイプの採用プロセスそのものに対して常に疑わしいかどうか疑問を持ち続けるしか対策はないかもしれません。

    Zoomのリモートコントロール攻撃

    参考情報:

    The Trail of Bits Blog,[Mitigating ELUSIVE COMET Zoom remote control attacks](https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/

    なお、昨年末に警察庁・内閣サイバーセキュリティセンター・金融庁連名で偽の採用試験関連で注意喚起が出ています。今一度ご確認ください。

    警察庁/内閣サイバーセキュリティセンター/金融庁「北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について (注意喚起)」(令和6年12月24日)(https://www.npa.go.jp/bureau/cyber/pdf/20241224_caution.pdf

    タイポよりも怖い?生成AI時代の新たな罠 ─ Slopsquatting

    生成AIやAIエージェントの普及でAIを使用したコーディングを行う人も増えていると思います。「typoもないし、いいじゃない?」と思う方も多いと思いますが、生成AIには「ハルシネーション」という最大の難点があります。人間のtypoぐらいの頻度で遭遇する現象の一つといっても言い過ぎではないかもしれません。そんなハルシネーションを狙って、偽のパッケージが用意されていたら?という内容のレポートが公開されました。

    参考情報:

    トレンドマイクロ株式会社「スロップスクワッティング:AIエージェントのハルシネーションにつけ込む攻撃手法」(https://www.trendmicro.com/ja_jp/research/25/g/slopsquatting-when-ai-agents-hallucinate-malicious-packages.html

    生成AI単体には生成内容の検証メカニズムがありません。このため、AIエージェントを利用したコーディングの場合はエージェント側の機能として備わっている検証機能を利用することが必要です。具体的な手法はレポートにも記載がありますが、日進月歩で新たな機能が登場する現状では最新の情報も併せて探すことをお勧めします。 また、エージェントを用いない場合も含めて、以下のようなリスク回避策を基本とするのもよいかもしれません。

    • 参照するパッケージ・モジュールを限定して、typosquattingやslopsquattingなどのリスクを回避する
    • やむを得ず新しいパッケージ・モジュールをインストールする場合は人の手を介したチェックを行うことで、リスクを抑制する

    実際に筆者もプロンプトで利用パッケージを限定していますが、特に利便性の阻害を感じたことはありません。また、周囲とのコミュニケーションでパッケージ・モジュールの情報の交換、推奨などの情報を得ることも多くあり、AI時代のコーディングとはいえコミュニケーションも併せて重要であることを実感しているところです。

    プロンプトエンジニアリングと検証の重要性

    前出のレポートで指摘されている原因の一つにはプロンプトの一貫性やあいまいさといった自然言語による指示ならではの問題があります。プロンプトエンジニアリングなどについては以下の記事でもご紹介しています。ただし、モデル側の実装状況などによりユーザー側の努力の反映には限界があるため、必ず生成結果に対する人のチェック(一種のHuman in the Loop)はプロセスとして欠かさないことが望まれます。

    関連記事:
    AIコーディング入門 第1回:Vibeコーディングとプロンプトエンジニアリングの基礎」(https://www.sqat.jp/kawaraban/38067/

    正規リポジトリの乗っ取りという最大の脅威

    2025年7月、npmの開発者をターゲットにしたフィッシングが報告されました。この後、複数のパッケージの乗っ取りが報告されています。

    npm開発者を狙ったフィッシング事例

    オープンソースソフトウェア(OSS)経由のサプライチェーン攻撃

    ここまででお気付きの方も多いと思いますが、今回取り上げた様々な攻撃手法はすべてオープンソースソフトウェア経由のサプライチェーン攻撃として、1つにまとめることができます。プログラミング言語の多く、そしてWebサイトの構築に用いられるJavaScriptのフレームワークの多くはオープンソースソフトウェアとして流通しています。プログラミング言語やJavaScriptのフレームワークは実際に利用するにあたって利便性を向上させる目的で多くのパッケージやモジュール、ライブラリなどがオープンソースとして開発・公開されています。これらのオープンソースソフトウェアは現在では多くが多数のコントリビューターとメンテナーによってGitHub上で公開され、開発が行われています。GitHubからnpmなどのパッケージ管理システムへの公開も一貫して行うことができるため、非常に利便性が高い反面、今までに挙げたような攻撃を仕掛けるための利便性も高くなっています。また、オープンソースソフトウェアは相互に依存性を持つことが多いことから、人気のあるモジュール・パッケージへの攻撃が多数のモジュール・パッケージやシステムへ影響を及ぼすことができます。これが、オープンソースソフトウェアへのサプライチェーン攻撃における最大の特徴ともいえるかもしれません。オープンソースソフトウェアを利用する以上、こういったリスクがあることは十分理解したうえで利用する必要があります。

    オープンソースソフトウェアの利用の条件としてセキュリティ面でかなりハードルが高いのは事実ですが、一方で利便性・柔軟性・モダンなシステムの構築といった観点からオープンソースソフトウェアを全く利用しない(プロプライエタリソフトウェアだけで構築する)というのは難しいという現状に鑑みるとやむを得ない選択であるとも言えます。

    開発者がとるべき対策

    こういったケースに対応するには依存関係のチェックや追跡、SBOMによる管理が必要になります。依存関係のチェックや追跡にはGitHubを使用している場合ならばDependabotの利用、その他のコードレポジトリを対象とする場合は各種の依存関係トラックツールを使用する必要があります。SBOMで自身のコードのコンポーネントと依存関係の管理を合わせて行うことで、システム全体としての管理を行うことが求められます。

    まとめ ― AI時代のオープンソースソフトウェア利用に求められる視点

    タイプミスを悪用した Typosquatting、AIのハルシネーションに便乗する Slopsquatting、さらには正規リポジトリの乗っ取りといった攻撃は、いずれもオープンソースソフトウェアを媒介とするサプライチェーン攻撃として位置づけられます。これらは利便性と引き換えに大きなリスクを伴い、暗号資産の窃取やシステム侵害といった深刻な被害へとつながりかねません。OSSの依存関係は複雑で、人気パッケージが狙われることで広範囲に影響が及ぶことも少なくありません。そのため、参照パッケージを限定する運用、人による確認(Human in the Loop)、Dependabotなどの依存関係管理ツールの活用、SBOMによる包括的なコンポーネント管理 といった対策が不可欠です。AIを活用したコーディングが普及する中でも、「便利だから任せる」のではなく、常に検証と疑問を持ち続ける姿勢 が求められます。セキュリティと利便性の両立こそが、これからのOSS利用とAI開発における鍵といえるでしょう。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年9月24日(水)12:50~14:00
    製造業・自動車業界のためのサプライチェーン対策 -攻撃事例から学ぶ企業を守るセキュリティ強化のポイント-
  • 2025年10月1日(水)13:00~14:00
    2025年10月Windows10サポート終了へ 今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年10月8日(水)14:00~15:00
    「ソースコード診断で実現する安全な開発とは?脆弱性対策とDevSecOps実践」
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    AIを悪用するフィッシング攻撃の脅威

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    AI技術の急速な進化により、フィッシング攻撃がかつてない脅威へと変貌しています。自然な文章生成や高度なカスタマイズにより、巧妙な詐欺メールが急増。PhaaS(Phishing as a Service)などの攻撃手法も拡大し、被害は企業・個人問わず深刻化しています。本記事では、AIを悪用したフィッシングの最新動向と、その対策について解説します。

    第一章:進化するフィッシング攻撃の現実

    AIによって進化するフィッシングの特徴

    大規模言語モデル(LLM:Large language Models)などの生成AIの登場により、フィッシング攻撃は新たな局面に突入しています。かつては不自然な日本語や文法ミスから容易に見抜くことができた詐欺メールが、AIによって劇的に変貌を遂げているのです。攻撃者はAIを活用することで、非常に自然な文体で説得力のあるメッセージを短時間かつ大量に作成できるようになり、より省コストで、大規模に個人や組織に向けて一斉に攻撃を仕掛けることが可能となりました。このことが被害の急増につながっています。また、攻撃者が受信者の業種や役職、使用しているサービスなどに合わせた「カスタマイズされた」フィッシングメールを自動生成することができるようになっている点、過去の成果を上げたフィッシングメールをAIに学習させることで、より洗練された文章を生成できるようになっている点も注目に値します。

    従来、こうしたフィッシングメールへの防御策は、スパムフィルターやブラックリストベースの検出に依存していましたが、生成AIによって生み出されるフィッシングメールは、これらの検出を回避する表現力と柔軟性を備えており、組織にとって新たな脅威となっています。

    AIによるフィッシング攻撃は成功率が高い

    生成AIによって作成されたフィッシングメールの危険性は、目を見張るものがあります。実際の調査では、AIが生成したフィッシングメール内にあるリンクのクリック率が50%を超えるケースも報告されています。これは従来のフィッシングメールと比較して、極めて高い成功率です。AIによって自然な文章が生成されることで、受信者は「本物らしさ」を信じてしまい、疑いなくリンクをクリックしてしまいます。攻撃者にとっては、より多くの被害者を効率よく騙す手段として、AIの活用は極めて有効かつ妥当であり、今後もこの傾向はますます拡大すると予想されます。

    フィッシング対策協議会「フィッシングレポート2025」

    フィッシング対策協議会が発行した「フィッシングレポート2025」によると、国内の2024年のフィッシングURL数は前年比で約10万件増加し、報告件数は依然として高水準のままで推移しています。この増加傾向の背景には、生成AIの台頭やPhaaS(Phishing as a Service)といったサービス型攻撃の拡大があるとされており、単に件数の増加に着目するだけでなく、攻撃の質も高度化していることを理解する必要があります。そのため、企業や組織は、AI時代に対応した新しい視点での対策が求められているのです。

    図 1-1 国内のフィッシング情報の届け出件数
    出典:フィッシング対策協議会「フィッシングレポート2025

    第二章:AI時代にアップデートされるフィッシングの脅威

    フィッシングとは

    フィッシングとは、本物に見せかけたメールやWebページを使って、ユーザから機密情報を不正に取得する詐欺手法です。標的となるのは、クレジットカード番号やログインID・パスワード、社内システムの重要情報といった、機密性の高いデータです。この種の攻撃は、単に「個人の問題」にとどまらず、企業全体に深刻な影響を与える可能性があります。従業員がフィッシングメールに騙されてアカウント情報を入力してしまえば、攻撃者は企業ネットワークに侵入する足がかりを得てしまいます。これにより、内部情報の漏えい、金銭的損失、業務の停止、ブランド価値の毀損といったリスクに繋がる危険性があります。特に、クラウドサービスの利用が進んだ昨今では、従業員の判断ミスひとつが甚大な被害に直結するケースが増えており、改めて「フィッシングとは何か」を経営層も含めて正しく理解し、組織として備える必要があります。

    AIで生成したフィッシングメールの実例

    AI技術の導入により、フィッシングメールの文面は劇的に洗練されつつあります。以下に紹介する実例は、生成AIを用いて作成されたとみられるもので、見た目・構成ともに極めて完成度が高く、詐欺であることを文面から見破るのは非常に困難です。

    「●●証券」から送信されたとされる二要素認証の案内メールは、緊急性と不安を巧みに演出し、受け取った人にクリックを促す構成になっています。しかも、文法的な破綻や不自然な日本語表現は一切見られず、いかにも“それらしく”見える表現で構成されています。

    さらにこのメールをソーシャル・エンジニアリング的目線で見ると、ソーシャル・エンジニアリングフレームワークの権威であるクリストファー・ハドナジー氏が提唱するところの心理誘導テクニック──「権威」「言質と一貫性」「希少性」など──が緻密に盛り込まれており、クリックさせることに特化した設計が施されていることがわかります。生成AIは、こうした心理的トリガーを大量に組み合わせた文章を容易に生み出し、単なる誤認ではなく“心理的にクリックしてしまいやすい”状況を作り出すのです。

    Phishing-as-a-Service(PhaaS)とは

    フィッシング攻撃が増加傾向にある状況を生み出している要因の一つが、「Phishing-as-a-Service(PhaaS)」です。PhaaSとは、フィッシング攻撃を「サービス」として提供するビジネスモデルです。PhaaSを利用すれば、攻撃者自身が高度な技術や知識を持っていなくても、容易に本格的なフィッシング攻撃を実行できるようになります。

    たとえば、近年注目を集めているのが、「Darcula Suite」と呼ばれるAI搭載型のフィッシング支援ツールです。Darcula Suiteは、Telegram上で操作可能なPhaaS型のツールで、生成AIを活用することで、フィッシングページの自動生成や、複数ブランドの模倣、さらには複数チャネルへの同時展開が可能になっています。特筆すべきは、こうしたPhaaSが、生成AIを利用して自然な文章を瞬時に作成する機能を有しており、言語面の完成度を飛躍的に高めている点です。これにより、フィッシング攻撃の“敷居”が著しく低下すると同時に、フィッシングがより広範に、効率的に、高品質に展開されることにつながっています。

    第三章:フィッシング攻撃への対策

    組織側の基本対策

    AIを悪用したフィッシング攻撃の脅威に対抗するためには、組織としての技術的・運用的な備えが欠かせません。ここでは、フィッシング対策協議会のガイドラインや、最近のフィッシング攻撃の傾向にもとづき、企業が取るべき具体的な対策を整理します。

    多要素認証(MFA)の導入

    IDとパスワードだけに依存せず、物理的なデバイスや生体認証などを組み合わせることで、不正アクセスのリスクを大幅に軽減できます。特に、FIDO2やWebAuthnに対応したパスワードレス認証方式の採用は、フィッシング耐性の高い選択肢として注目されています。

    送信ドメイン認証技術(SPF、DKIM、DMARC)の導入と運用

    これらは、メールの正当性を検証し、なりすましメールを排除するための基本的な仕組みです。たとえば、DMARCはSPFやDKIMの結果にもとづき、認証に失敗したメールを破棄・隔離するポリシーを設定できます。大手企業では導入率が8割を超えていますが、ポリシー設定が「none(監視のみ)」のままであるケースも少なくありません。今後は、段階的に「quarantine(隔離)」や「reject(拒否)」への移行を進める必要があります。

    URLフィルタリングやブランド偽装への対策も

    自社ブランドが悪用されるリスクを下げるため、使用していないドメイン・サブドメインの維持管理や、廃止予定ドメインの防衛的保有などを検討すべきです。ドロップキャッチ(廃止ドメインの悪用)によるなりすましを防ぐためには、ブランドドメインを「資産」として捉え、組織的に管理する視点が求められます。

    受信チャネルごとの監視とログ分析の体制整備

    メールやWebだけでなく、SMSやメッセンジャー、SNSといった多様なチャネルに対応したセキュリティ監視が不可欠となっています。

    AIを用いたフィッシング攻撃は、単に「文面が巧妙」というだけでなく、規模・速度・多様性という点で従来型攻撃を凌駕しています。組織が対抗するには、技術・体制の両面から「AI時代の防御モデル」へのアップデートが求められているのです。

    フィッシング対策ガイドライン重要5項目

    フィッシング対策協議会のガイドラインには重要5項目が掲げられています。

    重要項目[1] 利用者に送信するメールでは送信者を確認できるような送信ドメイン認証技術等を利用すること
    重要項目[2] 利用者に送信する SMS においては、国内の携帯キャリアに直接接続される送信サービスを利用し、事前に発信者番号等を Web サイトなどで告知すること
    重要項目[3] 多要素認証を要求すること
    重要項目[4] ドメイン名は自己ブランドと認識して管理し、利用者に周知すること
    重要項目[5] フィッシングについて利用者に注意喚起すること

    利用者側の基本対策

    フィッシング被害を防ぐうえでは、システム的な対策と並行して、従業員一人ひとりの行動変容も不可欠です。以下に、利用者が日常業務で実践すべき基本的な対策を紹介します。

    セキュリティ対策製品(メールフィルタ、ウイルス対策ソフト、URLチェック機能付きブラウザ等)の導入・活用

    「見覚えのないメールのリンクを直接クリックしない」といったような、基本姿勢の徹底が重要です。正規のログインページをブックマークし、メール内のリンクを使わずにアクセスする習慣を身につけるだけでも、多くの被害を未然に防ぐことができます。

    社員へのセキュリティ教育・定期的な訓練

    実際のフィッシングメールを模した「模擬訓練(フィッシングシミュレーション)」を通じて、従業員が経験を得ることは非常に効果的です。こうした訓練を定期的に実施することで、判断力が鍛えられ、攻撃への耐性が強化されます。

    フィッシング攻撃は巧妙化し続けており、「注意していれば引っかからない」という従来の感覚はすでに通用しません。企業は、利用者のリテラシー強化も含めて、組織全体で「守る力」を底上げしていく必要があります。

    最後に

    生成AIの進化により、国内のフィッシング被害は急増していますが、その背景には「言語の壁が崩れたこと」と、「危険に対する認識のアップデート不足」があると感じます。運営側も利用者側も、古い知識や信頼性の低い情報に頼らず、まずはフィッシング対策協議会が示すガイドラインに正しく向き合うことが重要です。ネット上のよくわからない情報やSNSの“有識者”の意見を鵜呑みにせず、信頼できる情報源にもとづいて、地に足のついた対策を進めていきましょう。

    BBSecでは

    標的型攻撃メール訓練サービス

    https://www.bbsec.co.jp/service/training_information/mail-practice.html
    ※外部サイトへリンクします。

    ペネトレーションテストサービス

    ペネトレーションテストバナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年7月30日(水)13:00~13:50
    Webサイトの脆弱性はこう狙われる!OWASP Top 10で読み解く攻撃と対策
  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    フィッシングとは?巧妙化する手口とその対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    フィッシング攻撃は、信頼できる存在を装い、個人情報や機密データを詐取しようとするサイバー攻撃の一種です。フィッシング攻撃は年々巧妙化・多様化しており、本物そっくりのサイト、もっともらしい文面のメール、もっともらしい名前のファイルを用いた手口もあるなど、被害を受けるリスクが高まっています。本記事では、フィッシング攻撃の脅威動向を踏まえながら、フィッシング攻撃への対策方法を解説します。

    過去のウェビナーの再配信予定にご関心のある方はこちらからお問い合わせください。


    フィッシングとは

    フィッシングとは、電子通信において、信頼できる存在になりすまして、ユーザ名やパスワード、クレジットカード情報などの機密情報やデータを入手する詐欺的な行動のことを指すとされています。信頼できる存在になりすます点で、ソーシャルエンジニアリングのひとつです。魚釣りの「Fishing」の「F」を「Ph」にした「Phishing」と表記され、語源には諸説あります。

    なお、日本では、「フィッシング詐欺」という言い方が使われることが多いです。「フィッシング」という言葉自体にすでに「詐欺」の意味が含まれているため厳密には重ね言葉なのですが、カタカナのみの語句よりも直感的な分かりやすさはあるといえるでしょう。

    フィッシング詐欺とは

    フィッシング詐欺とは、偽サイトを作ってオンラインバンキングなどのIDとパスワードを盗み不正送金等を行うものです。ユーザは騙されないように正しいURLかどうかを検証したり、メールの日本語に不自然な点はないかを慎重に確認することが求められます。

    フィッシングの目的とは

    サイバー攻撃の包括的フレームワークとして知られるMITRE ATT&CKでは、「フィッシング」は、メールの添付ファイル、メールのリンクのほか、ソーシャルメディア等のサードパーティサービスを用いて実行されると記載されています。また、その主な目的は、標的のシステム上で悪意のあるコードを実行すること、または、有効なアカウントを利用するためのクレデンシャル(身元識別に用いられるID、パスワードなどの情報)を収集すること、とされています。

    フィッシングの手法と手口

    フィッシングでは、攻撃者は「信頼できる」とみなされる存在を何らかの形で装い、標的を罠にかけます。たとえば、本物そっくりのサイト、もっともらしい文面のメール、もっともらしい名前のファイルなどがそうです。

    なお、フィッシングの中でも、特定の企業や個人を狙ったものは「スピアフィッシング」と呼ばれており、攻撃側は、目的を達成するために、標的を徹底的に研究し、特定の相手にとって不自然さを感じさせないメールやフォームを作りこみます。なお、スピアフィッシングにおいて、上級管理職など、組織の重要人物を狙った攻撃は「ホエーリング(「捕鯨」の意)」と呼ばれます。

    関連した手法として、DNSの設定を書き換えて偽サイトに誘導する「ファーミング」、電話などの音声通話を用いた「ヴィッシング」、SMSを使う「スミッシング」どもあり、その手口はさまざまです。

    フィッシング攻撃の脅威動向と報告件数

    2024年6月にフィッシング対策協議会が公開した「フィッシングレポート2024」によると、2023年にフィッシング対策協議会に寄せられた国内のフィッシングの報告件数は1,196,390件と、年々増加傾向にあり、フィッシング攻撃の脅威が高まっています。

    フィッシング攻撃の脅威動向と報告件数画像
    出典:フィッシング対策協議会 技術・制度検討ワーキンググループ「フィッシングレポート 2024」図 1-1 国内のフィッシング情報の届け出件数

    企業にとっての2つのフィッシング脅威

    企業にとってのフィッシングの脅威は、大きく2つに分けられるといえます。ひとつは、自社の従業員がフィッシングの餌食になってしまうこと、もうひとつは、自社ブランドをかたるフィッシングサイトが、世界のどこかの国のサーバに立ち上げられてしまうことです。前者においても大きな被害が発生する可能性はありますが、後者の場合は、自分たちのブランド名のもと多くのユーザが被害にあってしまうという点で、次元の違うインパクトを引き起こしかねません。

    もし自社のフィッシングサイトが立ち上げられてしまった場合、本物のサイトを運営する自分たちに過失があったか否かにかかわらず、社会的信頼の失墜や、ユーザ離れなどが生じる可能性があります。

    自社がフィッシングの標的になってしまった場合の緊急対応

    もしフィッシングサイトを立ち上げられてしまった場合、そのサイトを閉鎖するためのアクションを早急に行う必要があります。このアクションのことを「テイクダウン」と言いますが、実は、それに無料で対応してくれる機関があります。一般社団法人JPCERTコーディネーションセンターです。同センターでは、「インシデント対応依頼」という窓口を設けており、企業に代わって、サイト管理者へフィッシングサイトが公開されていることを連絡しフィッシングサイトの停止を依頼してくれます。フィッシングサイト以外にも、複数のインシデントへの対応依頼が可能ですので、ぜひ一度チェックしてみてはいかがでしょうか。

    SQAT緊急対応バナー

    企業にとってのフィッシング対策

    自社がフィッシングの標的となった場合に被害を未然に食い止め、もしフィッシングサイトが作られてしまったとしてもその被害を最小に食い止める――これは、Webサイトを持つすべての企業が取り組むべきセキュリティ課題といえるでしょう。では、具体的にどうすればよいのか。フィッシング対策協議会「フィッシング対策ガイドライン」の重要5項目をご紹介しましょう。

    1.利用者に送信するメールには「なりすましメール対策」を施すこと
    2.複数要素認証を要求すること
    3.ドメインは自己ブランドと認識して管理し、利用者に周知すること
    4.すべてのページにサーバ証明書を導入すること
    5.フィッシング詐欺対応に必要な組織編制とすること

    あなたの会社の取り組みは、いかがでしょうか?もし、どこから手を付けてよいのかわからない、ということであれば、セキュリティ専門企業に相談されることをおすすめします。

    フィッシング攻撃のサービス化

    2022年9月、米国のResecurity社はダークウェブにおいて二要素認証を回避する新たなPhaaS(Phishing-as-a-Service)が登場したと発表しました。攻撃の母数が増えると、フィッシングメールやフィッシングメッセージを目にする機会が増え、結果的に攻撃を受ける人が多くなります。二要素認証を使用したときにスマホやPCに届くメッセージは、本当に自分が認証を行おうとしている正規のサイトから届いたメッセージでしょうか。もしかすると、攻撃者によって巧みに誘導させられていて、対応するとアカウントを侵害されるなどの被害にあってしまうかもしれません。

    フィッシング攻撃への対策として第一に考えられるのは「教育」です。情報セキュリティ研修、メール訓練により、受け取ったメッセージを「疑う・確認する」ことを教育するとともに、二要素認証のなかでもより安全性の高いものを採用するなど、正しく攻撃に備えることで、実際に攻撃を受けたときの被害を抑えることができるでしょう。

    関連リンク:「IPA 情報セキュリティ10大脅威からみる― 注目が高まる犯罪のビジネス化 ―

    もしフィッシングの被害にあったら

    それでは、自社の従業員がフィッシングの被害にあうことを防ぐにはどうすればいいでしょうか。

    いわく「メールの送信元を確認する」「メールやSMSの文面に違和感がないかチェックする」「正しいURLか確認する」等々…。冒頭でも述べましたが、検索上位に並ぶこうした対策は、一昔前から変化がありません。もちろん、いずれも間違ってはおらず、こうした基本的啓発活動の重要さは今後も変わることはないのですが、攻撃者の技術力は日進月歩です。たとえば今日、偽メール文を見て日本語の不自然さをみじんも感じない、というケースは少なくありません。

    基本対策を実践するのはまず当然として、今後は、「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提での対策も考える必要があります。BBSecでも、この認識のもと、「もしフィッシングにひっかかってしまった場合、どこまで企業の資産に被害が及ぶのか、その結果、どれだけビジネスインパクトがあるのか」を検証するサービスを提供しています。

    まとめ

    • フィッシングとは、信頼できる存在を装って、守秘性の高いデータの取得を図るサイバー攻撃です。
    • 自社ブランドのフィッシングサイトが立ち上げられてしまった場合、専門機関を介して閉鎖依頼をかけることができます。
    • フィッシングの手口は巧妙化・多様化しています。「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提で対策をとることが必要です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像