フィッシングの説明:これらの欺瞞的な電子メール攻撃を特定して回避する

フィッシング攻撃の被害に遭うと、短期的には損害が発生し、その後もさらなる詐欺や個人情報の盗難の危険にさらされる可能性があります。そして、新しいテクノロジーが絶えず出現する中、詐欺師はより多くの人を騙すことができる、ますます効果的なアプローチを開発しています。

2024 年の調査では、完全に自動化された AI フィッシング メールは、従来のフィッシング メールよりも被害者に偽のリンクをクリックさせる点で 350% 優れており、専門家が開発したフィッシング メールと同等のパフォーマンスを示していることがわかりました。つまり、平均的な詐欺師でもプロの詐欺師と同じくらい高度な攻撃を仕掛けることができるということです。

この文脈では、フィッシング攻撃を特定する方法を学ぶことがこれまで以上に重要になっています。さまざまな種類のフィッシング、AI が状況をどのように変えるか、データと苦労して稼いだお金を守るために何ができるかについて学び続けてください。

フィッシング攻撃とは何ですか?

フィッシングは、ソーシャル エンジニアリング戦術を伴うサイバー攻撃の一種であり、詐欺師が信頼できる個人または組織になりすましてユーザーを騙し、パスワード、クレジット カード番号、個人識別情報 (PII) などの機密データを漏洩させます。騙されると、詐欺師はあなたのアカウントをハッキングしたり、お金を盗んだり、さらには個人情報の窃盗を行ったりする可能性があります。

電子メール、テキスト メッセージ、電話、欺瞞的な QR コードなどの一般的な方法の視覚的なアイコンを含む、フィッシング攻撃の説明。

フィッシング攻撃は、さまざまな戦略を使用してユーザーを騙す可能性があります。テクニカル サポート詐欺など、詐欺師が突然電話をかけてきて、デバイスに関する緊急の問題を解決する必要があるサポート エージェントであると主張するものもあります。また、マルウェアのダウンロードを引き起こす危険なリンクを含む、説得力のある偽メールに依存する人もいます。

この種のサイバー攻撃は継続的な脅威であり、フィッシング対策ワーキング グループ (APWG) は、2025 年の第 1 四半期だけで 100 万件を超えるフィッシング攻撃を報告しており、2023 年以降の単一四半期としては最高記録をマークしています。

フィッシングの仕組み

フィッシング攻撃は、ユーザーの信頼を操作し、緊急戦術を使用して個人データを喜んで引き渡させます。詐欺師は、さまざまな口実、連絡方法、ソーシャル エンジニアリング戦略を使用して、被害者に自分が偽りであると信じ込ませます。

典型的なフィッシング攻撃を説明する 4 つの基本的な手順は次のとおりです。

<オル>

設定:まず、詐欺師はあなたの個人情報を必要とします。その個人情報は、公開の人物検索サイトやデータ侵害で見つかる可能性があります。その後、偽の賞品、アカウントへの警告、直接的な脅しなど、あなたに連絡するための説得力のある口実を作成し、場合によってはあなたをターゲットにするためにカスタマイズされます。

おとり:詐欺師は、IRS サポート エージェント、正規の企業、IT ヘルプ デスク アシスタントなどの信頼できる人になりすまして、テキスト、電子メール、ソーシャル メディア メッセージ、または電話であなたに連絡します。多くの場合、アプローチが現実的であるように見せるために、説得力のあるブランディングを使用します。

キャプチャ:メール内のフィッシング リンクをクリックしたり、偽の添付ファイルをダウンロードしたり、詐欺師に進んで詳細を提供したりすると、詐欺師は財務データやパスワードなどの機密情報をキャプチャできる可能性があり、その後は連絡を遮断されます。

悪用:最後に、詐欺師は、ダークウェブで販売したり、銀行口座から直接盗むために使用したり、個人名盗難や詐欺 (あなたの名前で新しいクレジット カードを開くなど) を行ったりして、盗んだ情報を個人的な利益のために使用する可能性があります。

詐欺師はさまざまな戦略を使って、ユーザーを騙して機密情報を提供させます。彼らが要求する可能性のある戦術には次のようなものがあります。

• ソーシャル エンジニアリング:犯罪者が人の感情や信頼感を操作することです。
• ハイパーリンクの操作:サイバー犯罪者は、正規に見える URL の背後にフィッシング ウェブサイトを隠すことがよくあります。
• グラフィック レンダリング:攻撃者は、フィッシング スキャンやフィルタを回避するために、電子メールを画像として送信する可能性があります。
• サイトのリダイレクト:犯罪者は、正規のサイトにリダイレクトする前に、フィッシング サイトに誘導する可能性があります。
• リンクの短縮:サイバー犯罪者は、危険なウェブサイトの URL を縮小して偽装する可能性があります。
• タイポスクワッティング:攻撃者は、URL をタイプミスして一般的なウェブサイトを模倣し、文字を数字に置き換えるなどします。
• AI 音声ジェネレーター:AI テクノロジーにより、詐欺師は自分の声を別人のように偽装したり、信頼できる人の真似をしたりすることができます。
• チャットボット:サイバー犯罪者は AI チャットボットを使用して、高度にパーソナライズされたエラーのないフィッシング メッセージを大規模に作成する可能性があります。

本物のリンクとフィッシング リンクの例。

フィッシング攻撃の種類

フィッシング詐欺にはさまざまな形があります。詐欺師が使用する攻撃の種類は、詐欺師の好み、ターゲットについての知識、選択した通信プラットフォーム、および最終目標によって異なります。

ここでは、最も一般的なタイプのフィッシング攻撃のいくつかの概要を示します。

メールフィッシング

サイバーセキュリティ・インフラセキュリティ庁 (CISA) によると、成功するサイバー攻撃の 90% 以上はフィッシングメールから始まります。詐欺師は、正規の企業 (多くの場合、銀行やクレジット カード プロバイダー) になりすましてフィッシング メールを送信します。

フィッシングメールの例は、サイバー犯罪者が被害者を騙して、知らずにマルウェアをダウンロードさせたり、個人情報を自発的に入力するよう求められる危険なウェブサイトに誘導したりすることで、どのように被害者をだまして機密情報を提供させようとするかを示しています。

悪意のあるリンクを含む PayPal フィッシングメールのスクリーンショット。

スミッシング (SMS フィッシング)

テキスト メッセージによって配信されるフィッシング攻撃はスミッシングと呼ばれます。詐欺師は、銀行、小売店、USPS などの配送会社などの正規の情報源から送信されたかのように見せかけたテキストを送信します。ただし、メッセージには通常、偽のログイン ページに誘導したり、マルウェアのダウンロードをトリガーしたりするリンクが含まれています。

2024 年と 2025 年に、料金詐欺の形でスミッシング攻撃の大規模な波が発生しました。詐欺テキストでは、被害者が通行料金を未払いで罰金や停職の危険があると主張し、支払い情報が不正に収集された Web サイトへのリンクが記載されていました。この背後にいるグループは、お金とクレジット カード情報を盗むことに成功したため、現在 Google が訴訟を起こしています。

ビッシング (ボイスフィッシング)

ビッシング攻撃では、詐欺師が被害者に電話をかけ、通常は法執行官、政府機関、または銀行の代表者を装って、社会保障番号、パスワード、銀行口座の詳細などの個人情報を暴露させます。

彼らは、発信者 ID のスプーフィングや AI 音声クローンなどの戦術を使用して、通話をより信じられるように見せ、被害者が批判的に考えるのを防ぐために電話で緊迫感を与えようとします。 FBIですら偽装攻撃が行われており、FBIは詐欺師が米国高官を装っていることを発見して警告を発している。

スピアフィッシング

スピア フィッシング攻撃は、より広範囲に網を張るのではなく、特定の個人、企業、または組織をターゲットにします。通常、スピア フィッシング詐欺師は、ターゲットを調査し、信頼できるペルソナを構築するために多大な時間と労力を投資します。これにより、選択した被害者をうまく騙す可能性が高くなる、よりパーソナライズされたアプローチを作成することができます。

たとえば、最近ユタ州で発生したスピア フィッシング攻撃では、詐欺師が教授を装い、教授主導のプロジェクトに参加する機会を与えて学生をターゲットにし、最終的に 3,000 ドルのうち 1 人の学生を搾取しました。

捕鯨

捕鯨攻撃はスピア フィッシング攻撃に似ていますが、特に企業の最高経営責任者 (CEO)、最高執行責任者 (COO)、またはその他の上級幹部をターゲットにしています。捕鯨攻撃の目的は、権力者をだまして、詐欺や恐喝に利用できる企業機密データを譲渡させることです。

これらの攻撃は一般的なフィッシング攻撃よりも洗練されていることが多く、詐欺師による広範な調査が必要です。通常、企業内の信頼できるソース、または外部の正規のベンダーや代理店から送信されたように見える偽メールに依存します。

クローン フィッシング

クローン フィッシング攻撃では、詐欺師は被害者がすでに受信した電子メールとほぼ同じバージョンを作成します。クローンされたメールは、メッセージの元の送信者が使用したメール アドレスとよく似たメール アドレスから送信されます。唯一の違いは、新しい添付ファイルまたはリンクです。

クローン フィッシング メールは、被害者を混乱させて、間違ったバージョンのメッセージをクリックさせようとします。そして、被害者がリンクをたどったり、偽バージョンの添付ファイルをダウンロードしたりすると、悪意のあるウェブサイトに誘導されたり、知らず知らずのうちにデバイスがデータを盗むマルウェアに感染したりすることになります。

ポップアップフィッシング

ポップアップ広告フィッシング詐欺は、恐怖戦略を利用して人々を騙し、さまざまな種類のマルウェアをデバイスにインストールさせます。一般的なポップアップ フィッシングの例には、偽のウイルス アラートがポップアップ表示され、デバイスが感染していることをターゲットに警告します。

iPhone 上のフィッシング詐欺による偽のウイルス警告のスクリーンショット。

この警告は、ウイルスを除去する唯一の方法はウイルス対策ソフトウェアをインストールすることであると主張するかもしれませんが、実際には、インストールされているとデータを盗む偽のバージョンが被害者に向けられることになります。人気ブランドは模倣されることが多く、たとえば、Microsoft や Norton のウイルス対策詐欺では、詐欺師が信頼できる名前を利用してターゲットを騙します。

ビジネスメール侵害 (BEC)

ビジネス電子メール侵害攻撃には、サイバー犯罪者が人事担当者、CEO、オーナーなどの企業内の信頼できる人物を装い、従業員を操作して送金や貴重なデータの共有をさせることが含まれます。これらの攻撃は、正当に見せかけることでビジネス スパム フィルターを回避するように設計されており、多くの場合、中小企業の経営者に大きな打撃を与えます。

たとえば、詐欺師が給与計算チームのメンバーになりすまして、別の従業員の銀行口座の詳細を更新するように求めるリクエストを年下の従業員に送信する可能性があります。成功すると、代わりに被害者の給与が詐欺師の口座に送金されます。 2025 年、いわゆる給与不正行為が BEC を利用して複数の大学の Workday アカウントにアクセスし、給与を乗っ取ることに成功しました。

アングラーまたはソーシャルメディアフィッシング

アングラー フィッシングは、Facebook や X などのプラットフォームで発生するソーシャル メディア詐欺です。詐欺師はターゲットが企業ページに質問や苦情を投稿するのを待ち、サポート チームになりすまして個人情報を提供するか悪意のあるリンクをクリックするよう説得します。

たとえば、アメリカン航空の Facebook ページに苦情を投稿したとします。カスタマー サポートを装った詐欺師が応答し、予約の詳細と支払い情報を尋ねる可能性があります。あなたがそれに引っかかると、彼らはあなたの詳細を使用して別のウェブサイトで支払いを行うことができます。

QR コードフィッシング (キッシング)

キッシング詐欺師は、QR コードに偽のリンクまたは詐欺的なリンクを埋め込み、電子メールまたはテキスト メッセージで送信します。これをスキャンすると、ユーザー名、パスワード、財務情報などの機密情報を取得することを目的とした詐欺サイトにリダイレクトされます。多くのセキュリティ システムは画像に埋め込まれた URL の分析に苦労しており、QR コードではリンク プレビューが提供されていないため、クイッシング攻撃はスパム フィルターを完全にバイパスすることがよくあります。

Quishing 詐欺師は、特にパーキング メーターやレストランのテーブルなど、人々が目にすると予想される場所で、現実世界の有効な QR コードの上に QR コード ステッカーを物理的に貼り付けることさえ知られています。

AI を利用したフィッシング

ディープフェイク、自動化、パーソナライゼーションを通じて、AI を活用したツールは、より欺瞞的な、そして残念ながらより成功率の高い新しい攻撃を生み出しています。現在、フィッシング攻撃の推定 67.4% が何らかの形で AI を使用しています。

AI はオンライン行動を分析し、ターゲットを絞った、カスタマイズされた、エラーのないフィッシングメールを自動的に生成します。また、本物のように見える偽のウェブサイトや、説得力のある音声や動画のディープフェイクを作成することもできます。

幸いなことに、AI の進歩はあなたを守るのにも役立ちます。最近の Gen Threat Report では、同社の AI が AI によって生成された 140,000 を超えるウェブサイトを検出し、ブロックすることに成功したことが明らかになりました。

リンクをクリックする前にフィッシング攻撃を特定する方法

最近では、進化するテクノロジーのおかげで、フィッシング詐欺師はターゲットを騙し、誘い込むことがはるかに巧みになっています。それでも、問題になる前にフィッシング攻撃を発見する方法がいくつかあります。探してください:

• 信じられないようなセール:非常に安い商品やサービスを提案するメールには注意してください。うますぎると思われる場合は、おそらくそのとおりです。
• 個人情報の要求:銀行などの正当な機関がメールで口座の詳細を尋ねることは決してありません。また、一方的なメールへの返信として機密情報を共有することもありません。
• スペルおよび文法エラー:フィッシング メールやテキスト メッセージでは、タイプミスやぎこちない言い回しが散見されるメールがよく見られます。ただし、詐欺師が AI を使用してエラーのないテキストを生成できるようになった現在、この兆候はあまり一般的ではなくなりました。
• 一般的な挨拶:フィッシング詐欺師は、ただ広範囲に網を張り、できるだけ多くの人を捕まえたいだけなので、通常、メールをパーソナライズすることを気にしません。 「こんにちは」や「アカウント所有者様」などの一般的な挨拶を含むメールが届く場合があります。
• 緊急の文言:フィッシング詐欺師は、ユーザーにリンクをクリックさせるよう緊迫感を与えることを目的としています。プレッシャーを感じないでください。メールを読んで返信するときは、時間をかけてください。
• 不明な送信者:何もクリックせずに、不明な送信者からのメールを削除します。これは、送信者の身元を確認できない場合に特に重要です。
• よく知っている送信者:一見よく知っているメール アドレスであっても、偽のメール アドレスである可能性があります。口調、コミュニケーション チャネル、コンテンツに違和感がある場合は、テキスト メッセージ、電話、メッセージングなどの別のコミュニケーション手段を使用して連絡し、本人確認を試みます。
• 不審なリンクと添付ファイル:リンクをクリックする前、または添付ファイルをダウンロードする前に、リンクにカーソルを合わせて、文字の代わりに数字が表示されるなど、URL が偽物である可能性がある兆候がないかどうかを検査してください。

フィッシング リンクをクリックしたかどうかを確認するにはどうすればよいですか?

危険信号が表示されるまでに時間がかかる場合があるため、フィッシング リンクをクリックしたことにすぐには気づかない場合があります。ただし、だまされたことを示す主な警告サインには、まったく正しくないと思われる Web サイトにアクセスしたり、ブラウザでダウンロードが開始されたことに気づいたり、機密情報に対する不適切な要求が表示されたりすることが含まれます。

リンクをクリックし、その正当性を疑う理由がある場合は、次の点に注意してください。

• 不審なリダイレクト:リンクをクリックすると、最初にクリックした URL と一致しない URL にリダイレクトされる場合は、悪意のあるウェブサイトにリダイレクトされた可能性があります。
• 偽の Web サイト URL:リンク先の Web サイトが正規バージョンのように見えない場合、それは偽のフィッシング Web サイトである可能性があります。 Google で本物のウェブサイトを検索して、偽のサイトにいるかどうかを確認します。
• 個人情報のリクエスト:一見正当な理由もなく、社会保障番号やアカウント情報などの機密情報をリクエストするフォームはありますか?その場合、詐欺師があなたの情報を入手しようとしている可能性があります。
• 真実とは思えないほどの特典:リンクの向こう側にあるウェブサイトで、無料休暇がもらえたり、高額な給料で簡単な仕事に就けると宣伝されている場合は、だまされている危険信号です。
• 高圧的な表現:メッセージ、ウェブサイトのコピー、ポップアップ内の緊急を要する表現は、リンクをクリックしたり、何も考えずに情報を入力したりすることを奨励する試みである可能性があります。
• 文法上の間違い:メールに文法上の間違いがない場合でも、リンクから奇妙な文法やスペルの間違いが含まれるウェブページやダウンロードに誘導される場合は、注意してください。
• マルウェア感染:リンクをクリックした後、ブラウザまたはコンピュータにすぐにダウンロード通知またはマルウェア感染警告が表示される場合は、リンクに悪意がある可能性があります。

フィッシングリンクをクリックした場合の対処

フィッシング詐欺に誘われて悪意のあるリンクをクリックさせられた場合は、被害を最小限に抑えるために迅速に行動することが重要です。まず、すべてのやり取りを停止します。攻撃者との通信を停止し、アクティブなダウンロードをキャンセルし、URL によって偽装 Web サイトにアクセスした場合はその Web サイトを閉じます。次に、デバイスを保護し、クレジットやその他のアカウントに不正行為の兆候がないか監視するプロセスを開始します。

以下は、フィッシング リンクをクリックしたことに気付いた場合の対処方法を説明した簡単なステップバイステップ ガイドです。

<オル>

やり取りを停止する:詐欺師への応答を直ちに停止し、アクティブなダウンロードなどの進行中のアクションをすべてキャンセルします。電話、メール、メッセージをスパムとして報告し、送信者をブロックします。

インターネットを切断する:インターネットから切断すると、進行中のデータ転送が強制的に停止され、マルウェアの拡散が制限され、問題を解決する時間が得られます。

デバイスのマルウェアをスキャンする:ノートン 360 デラックスなどのウイルス対策ソフトウェアを使用して、デバイスに残留するマルウェアをスキャンして削除し、プライバシーを回復します。

パスワードを変更する:新しい安全なパスワードを使用して、侵害された可能性のあるアカウントのパスワードを更新します。

2 要素認証（2FA）を有効にする:2 要素認証に必要な追加の検証手順により、最も機密性の高いアカウントをより安全に保ちます。

クレジット カード プロバイダに連絡し、明細を確認してください。クレジット カード情報をフィッシング詐欺師と共有したり、クレジット カード情報を盗む可能性のあるマルウェアをダウンロードした場合は、クレジット カード発行会社に連絡してカードを凍結し、不正な購入を停止してください。

信用調査機関に警告する:機密情報を詐欺師に渡した場合、または情報が盗まれたのではないかと心配な場合は、犯罪者が新しいクレジット アカウントを開設したり、あなたの名前でローンを組んだりするのを阻止するために、クレジットを凍結またはロックしてください。

信用報告書を確認する:個人情報の盗難や詐欺の兆候がないか、信用報告書を定期的に確認してください。これらはフィッシング攻撃から数か月後に発生する可能性があるため、継続的な補償のために信用モニタリングを設定することを検討してください。

フィッシング攻撃を報告する:フィッシング攻撃を当局および FTC、IC3、APWG などのサイバー犯罪対策グループに報告します。

2024 年に APWG は 370 万件を超えるフィッシング攻撃を報告しました。これは 1 日あたり約 10,174 件の攻撃に相当します。したがって、自分がターゲットになっている場合は、決して孤独ではないことを知ってください。重要なのは、さらなる被害を防ぎ、将来のリスクを最小限に抑えるためにより良い防御を構築するための措置を講じることです。

ノートンでフィッシング攻撃を防御

サイバー犯罪者がフィッシングや詐欺の戦略を進化させ続ける中、高度なセキュリティ ソフトウェアが防御の強化に役立ちます。ノートン 360 デラックスは、フィッシングの試みをブロックし、悪意のあるリンクをクリックしたときに詐欺師がデータを盗むのを防ぐ AI を活用した詐欺検出により、デバイスを保護し、より安全にウェブを閲覧できるようにします。

さらに、強力なマルウェアおよびウイルス保護により、フィッシング攻撃を通じてデバイスに侵入した悪意のあるソフトウェアを特定して削除する効果的な方法が得られます。

よくある質問

フィッシング攻撃のターゲットとなるのは誰ですか?

誰でもフィッシング攻撃の標的になる可能性があります。成功の可能性を高めるために、フィッシング詐欺師は多くの場合、できるだけ多くのメール アドレスや電話番号をターゲットにします。

ドライブバイダウンロードで詐欺に遭うことはありますか?

はい、ドライブバイ ダウンロードとは、ユーザーの知らないうちに、または同意なしに、Web サイトまたはアプリが悪意のあるソフトウェアをデバイスにダウンロードすることです。これは、フィッシング メッセージ内のリンクをクリックしたことによって発生する可能性があり、パスワード、個人情報、財務情報が悪者の手に渡るリスクが高まる可能性があります。

フィッシング リンクをクリックした場合、携帯電話をリセットする必要がありますか?

ほとんどの場合、フィッシングリンクをクリックした後に携帯電話をリセットしてもあまり役に立ちません。例外として、携帯電話を工場出荷時設定にリセットすると、フィッシング攻撃中にインストールされたスパイウェアやウイルスを駆除できます。ただし、バックアップを作成しない限り、デバイスに保存されているデータも失われるため、これは最後の手段として扱う必要があります。

テキスト メッセージを開くと詐欺に遭うことはありますか?

いいえ、詐欺テキスト メッセージを開くこと自体は危険ではありません。ただし、テキスト メッセージ内のリンクをクリックしたり、添付ファイルをダウンロードしたり、返信したりすると、マルウェアに感染したり、だまされて個人情報が漏洩したりする可能性があります。