フィッシング攻撃の手口が高度化しています。2025年から2026年にかけて、AI技術の悪用とPhaas(Phishing as a Service)と呼ばれるサービス型の攻撃基盤の普及が重なり、被害件数は過去最高を更新しました。しかし、正しい知識を持っていれば被害を防ぐことは可能です。
フィッシング攻撃が急増している背景
フィッシング攻撃が増えている最大の理由は、攻撃のハードルが下がったことです。従来は専門的な技術知識が必要でしたが、PhaaS(Phishing as a Service)の登場により、技術のない犯罪者でもフィッシングサイトを簡単に構築できるようになりました。
さらに、生成AIの悪用が問題を深刻化させています。以前のフィッシングメールは不自然な日本語や明らかな誤字があり、見分けやすいものでした。一方、AIを使えば自然で説得力のある文章を大量に生成できます。つまり、「怪しいメールは日本語が変」という従来の見分け方が通用しなくなっているわけです。
2026年に目立つフィッシングの新しい手口
- AIディープフェイク音声:上司や取引先の声をAIで模倣し、電話で送金指示を出す。実際に数億円規模の被害が報告されています
- QRコードフィッシング(クイッシング):メールやチラシにQRコードを掲載し、偽サイトに誘導。URLを直接確認しにくいため、見破りにくいのが特徴です
- 多段階攻撃:最初は正規のサービスを装ったメールで信頼を得てから、後日フィッシングメールを送る手法。段階を踏むことで警戒心を解きます
- SNSを使った攻撃:XやInstagramのDMでフィッシングリンクを送信。メールフィルターを回避できるため増加傾向にあります
個人でできるフィッシング対策
対策として、まずパスワードマネージャーの利用を強くおすすめします。パスワードマネージャーはURLをチェックして自動入力するため、偽サイトではパスワードが入力されません。これだけでフィッシングの被害リスクは大幅に下がります。
加えて、多要素認証(MFA)の設定も重要です。仮にパスワードが漏れても、ワンタイムパスワードやセキュリティキーがなければログインできないため、被害を防げます。可能であれば、SMSではなく認証アプリやFIDO2キーの利用が安全です。
企業が取るべきセキュリティ対策
企業側では、社員向けのセキュリティ研修を定期的に実施することが基本です。ただし、座学だけでは効果が限定的です。したがって、模擬フィッシングメールを送って実際のリアクションを測定するシミュレーション訓練が効果的とされています。
技術的には、DMARC・DKIM・SPFといったメール認証技術の導入が重要です。これらを正しく設定することで、自社ドメインを騙ったフィッシングメールの到達を防ぐことができます。
まとめ
フィッシング攻撃は今後もAIの進化とともに巧妙化していくでしょう。しかし、パスワードマネージャー・多要素認証・メール認証技術の3つを組み合わせることで、ほとんどの攻撃を防ぐことができます。セキュリティ対策は「やるかやらないか」で大きな差がつきます。まだ対策していない方は、今日から始めてみてください。