フィッシング攻撃対策に関する総合ガイド

なりすまし対策の決定版！DMARC等による最新防御策を徹底解説

2025年6月2日
著者: Milena Baghdasaryan
翻訳: 古川 綾乃

この記事はPowerDMARCのブログ記事 Comprehensive Guide to Anti-Phishing Measuresの翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

フィッシングとは、犯罪者が信頼できる組織になりすまして、情報やデータを盗み取るサイバー攻撃です。
こうした攻撃は年々巧妙化しており、企業に大きな金銭的損失を与えています。
2024年版のVerizon Data Breach Investigations Report（DBIR）によると、フィッシングはデータ侵害の36％を占めています。

またIBMは、フィッシング攻撃による平均損失額を4,490万ドルと見積もっています。
フィッシング攻撃による被害は、サイバー犯罪の中でも特に被害額が大きい手口の一つです。
さらに、メールサービス事業者や規制当局は、フィッシング対策や高度な防御策の強化を求める動きが強まっています。

例えば、Payment Card Industry Data Security Standard（PCI DSS）v4.0には、フィッシング対策に関する要件が盛り込まれています。
これは、決済セキュリティにおける世界的に重視される領域が変化していることを示しています。
あわせて、グローバルに顧客の信頼とデータ保護を強化するためのKYC規制の強化とも密接に関係しています。

主なポイント

1. PCI DSS v4.0などの規制・基準で、フィッシング対策は必須になりつつあります。
2. 対策を強化すれば、金銭・評判・規制リスクを抑えられます。
3. 具体策は、従業員教育／技術対策／メール認証が中心です。
4. AIは検知・防御の中核技術になりつつあります。

フィッシングの理解

フィッシングとは、攻撃者が被害者を欺いて機密情報を入力させるサイバー攻撃です。
攻撃者は、メール、テキストメッセージ、電話などの通信手段を用いて情報をだまし取ります。

一般的なフィッシング手法

一般的なフィッシング手法には、メールフィッシング、偽のWebサイトの利用、SMSフィッシング、音声フィッシングなどがあります。

メールフィッシング

多くのフィッシング攻撃はメールを通じて行われます。
メールフィッシングでは、攻撃者は信頼できる組織が使用している公式ドメインによく似た偽ドメインを登録することがあります。
文字の置き換えや見た目が似ているドメイン名の使用、あるいは正規ドメインになりすますことで、受信者を欺きます。

偽のWebサイト

もう一つの一般的な手法は、偽のWebサイトを利用する方法です。
攻撃者は、正規サイトに見せかけたページへ誘導し、ログイン認証情報を盗み取ります。
正規の送信元を装ったドメインからメールを送り、その中に悪意のあるリンクを含めます。
被害者がリンクをクリックするとログインページに誘導され、ログイン情報やパスワードなどの機密情報の入力を求められます。

SMSフィッシング

SMSフィッシング（スミッシングとも呼ばれます）は、攻撃者が偽のテキストメッセージを送信し、受信者にマルウェアをダウンロードさせたり、送金させたり、機密情報を入力させたりする代表的なソーシャルエンジニアリング手法です。

音声フィッシング

音声フィッシング（ビッシングとも呼ばれます）は、攻撃者が電話を利用して機密情報を取得する手法です。
ビッシングは、会話のやり取りの中で情報を引き出す点が特徴です。

フィッシング対策とは

フィッシング対策とは、ユーザーをフィッシング攻撃から保護することを目的とした、方針・運用・技術的な取り組みの総称です。
これらの取り組みは、さまざまな種類のフィッシングを検知し、遮断し、被害を抑えるようにするためのものです。
あわせて、IT担当者だけでなく一般の従業員も含め、組織全体のセキュリティ意識を高めることを目的とします。

近年のフィッシングの傾向

フィッシングは、犯罪者がログイン認証情報、支払い情報、個人情報などの機密情報を入手するために用いる代表的なサイバー攻撃手法です。
主な攻撃の種類には、以下があります。

メールフィッシング

信頼できるブランドを装った偽メールを用いる手法

スピアフィッシング

個人情報などを悪用した標的型の攻撃

スミッシング／ビッシング

SMS（テキストメッセージ）や電話を用いる手法

クローンフィッシング

正規のメールを複製し、悪意のあるリンクに差し替える手法

フィッシングは、Eコマース企業にとって世界的な課題となっています。
英国の Information Commissioner’s Office（ICO）によると、昨年は79％の企業がフィッシング攻撃を経験したと報告しており、サイバーセキュリティ意識向上の必要性が強く示されています。

また、企業が国境を越えて事業を拡大する中で、グローバルなKYC規制への準拠は不可欠です。
フィッシング攻撃は、コンプライアンス対応に支障をきたし、企業を金銭的リスクにさらす可能性があります。

なぜフィッシング対策はますます重要になっているのか。

フィッシング対策は、いまや「やるかどうか」ではなく、実施が前提となる対策になりつつあります。
たとえばPCI DSS v4.0の要件5.4では、フィッシングの検知と対応体制の整備が求められています。
これは、技術面の対策とユーザー教育の両方で、決済システムを守る必要があることを意味します。

フィッシング対策が重要である理由は、以下のとおりです。

金銭的リスク

ランサムウェアの平均支払額は150万ドルであり、その多くがフィッシングをきっかけに発生しています。（Sophos、2024年）。

評判上の損害

データ侵害後、60％以上の顧客が企業への信頼を失う可能性があります。

規制対応の要求

GDPR、HIPAA、ならびにグローバルKYCなどのコンプライアンス要件は、より強固なフィッシング対策を求めています。

近年、従来型銀行に加え、Wiseのような送金サービスや各種フィンテック・プラットフォームの利用が広がっています。
そのため、強力なフィッシング対策は、顧客の信頼を守り、決済データを保護するために欠かせません。
このような要件の強化により、企業はコンプライアンスチェックリストにフィッシング対策を組み込み、潜在的なデータ損失やサイバー攻撃を抑えるための適切な保護措置を導入することが求められています。

中核的なフィッシング対策

企業は、技術的な対策、従業員の行動改善、組織的なルール整備を組み合わせて、フィッシング対策を講じることが重要です。
以下は、検討すべき代表的な対策です。

技術的手法

技術的手法には、メールフィルタリング、DNSフィルタリング、メール認証などが含まれます。

1. 技術的保護策

自動化されたセキュリティシステムを導入することで、フィッシング攻撃がユーザーの受信トレイや社内システムに届く前に、多くの攻撃を遮断できます。

メールフィルタリング

AIを活用したメールセキュリティ機能により、不審なメッセージを検知し隔離します。

多要素認証（MFA）

アプリベース（Google Authenticatorなど）やハードウェアトークン（YubiKeyなど）を用い、機密性の高いシステムへのアクセスにはMFAを必須とします。

パッチ管理

緊急度の高い脆弱性から優先的に対応し、システムを最新の状態に保つことで攻撃リスクを低減します。

2. メール認証プロトコル

なりすましを防ぎ、送信元の正当性を確認するために、以下の標準を実装します。

SPF（Sender Policy Framework）

そのドメインからの送信が許可された送信元IPアドレスかどうかを検証します。

DKIM（DomainKeys Identified Mail）

暗号署名を付与し、メールが改ざんされていないことを確認します。

DMARC（Domain-based Message Authentication, Reporting & Conformance）

SPFとDKIMの結果を組み合わせ、認証に失敗したメールを拒否・隔離する方針を適用できます。

行動的手法

行動的手法には、従業員トレーニングや報告プロトコルの整備などが含まれます。

1. 従業員トレーニングおよび意識向上

フィッシングは人の判断を狙う攻撃であるため、従業員は「最初の防御線」としての役割を理解する必要があります。

フィッシングテストの実施

KnowBe4やProofpointなどのプラットフォームを利用し、四半期ごとにシミュレーションを実施します。

ワークショップ

業務環境で見落としやすい警告サイン（不自然な文面、不審なリンク、なりすましアドレスなど）を見分ける方法を教育します。

検証と報告の徹底

予期しない連絡が届いた場合は、すぐに対応せず、確認する習慣を促します。
あわせて、Outlookの「Report Phishing」ボタンなど、信頼できる報告ツールを利用します。

2. 報告プロトコル（例：Outlookの「Report Phishing」ボタン）

GmailやOutlookなど多くのメールサービスには、フィッシングを簡単に報告できる機能が組み込まれています。
これにより、被害が広がる前に攻撃メールを検知し、組織全体で対応しやすくなります。

具体的には、Outlookの「Report Phishing」ボタンを利用する、または不審なパターンや挙動を組織のITチームへ共有する、といったシンプルな方法で運用できます。
また、フィッシングシミュレーションやワークショップへの参加は、従業員が実務に直結するセキュリティスキルを身につけるうえでも有効です。

AIを統合した高度な検出

攻撃手法が高度化する中で、防御策もそれに対応して進化させる必要があります。
近年では、AIや機械学習、リアルタイム検知を活用したツールにより、フィッシングの試みをより迅速かつ正確に特定し、遮断できるようになっています。

機械学習および行動分析

Darktraceのようなプラットフォームは、ユーザーの行動を継続的に分析し、通常とは異なるログイン時間や不審なメール転送といった異常な挙動を検出します。

リアルタイム検出

GoogleのTensorFlowなどの機械学習技術は、Gmailが毎日処理する数十億通のメールを分析し、悪意のあるリンクや添付ファイルを数秒以内に検知する仕組みを支えています。

視覚的およびメタデータフォレンジック

• メールヘッダ分析：「From」アドレスと返信先の不一致、リダイレクトの経路などを確認します。
• ユーザー行動監視：不正なダウンロードや急激なファイル移動など、不審なパターンを検出します。
  これらはアカウント侵害の兆候となる可能性があります。

脅威インテリジェンスの共有

ISAC（Information Sharing and Analysis Centers）やMISPといった情報共有プラットフォームに参加することで、最新のフィッシング指標（IOC）に関する情報を入手し、防御体制を強化できます。

ケーススタディ：MGM Resorts（2023年）

2023年、MGM Resortsはフィッシングを起点とする大規模な侵害を受けました。
攻撃者はソーシャルエンジニアリングを用いて内部システムへのアクセスを取得し、その後ランサムウェアを展開しました。
その結果、同社は約1週間にわたりシステム停止やサービス障害に見舞われ、約1億ドル規模の損失が発生したと報じられています。

得られた教訓

• 従業員トレーニングやMFAの徹底が不十分であれば、人的・技術的な弱点が悪用される可能性があります。
• DMARCの導入や継続的な監視体制が整っていれば、悪意のある活動をより早期に検知できた可能性があります。
• 包括的なフィッシング対策が導入されていれば、初期侵害の段階で被害を抑えられた可能性があります。

最後に

フィッシングは単なる迷惑メールではなく、財務情報、企業の評判、そして規制遵守に重大な影響を及ぼす高度な脅威です。
PCI DSS v4.0をはじめとするグローバルなコンプライアンス要件にフィッシング対策が組み込まれたことは、企業が継続的かつ主体的にセキュリティ対策を強化する必要性を示しています。

従業員教育、技術的な防御策、そして脅威インテリジェンスの活用を組み合わせることで、企業はコンプライアンス基準を満たすと同時に、安全な決済基盤を構築できます。
フィッシング手法が高度化し続ける中で、継続的な警戒と柔軟な対応こそが、被害を防ぐために不可欠です。