企業を狙うフィッシング詐欺の実態と対策ガイド|被害を防ぐために今すぐできること

FOR BUSINESS

課題解決のためのノウハウ

フィッシング詐欺は、もはや個人だけの問題ではありません。実在する企業になりすましたメールやSMSによって、従業員のIDやパスワードが盗まれる被害が企業でも急増しています。被害に遭えば情報漏洩や金銭的な損失だけでなく、企業の信頼失墜にもなりかねません。本記事では、企業がフィッシング詐欺から企業と顧客を守るために取るべき具体的な対策を解説します。企業のIT担当者の方は、ぜひ参考にしてください。

フィッシング詐欺とは?企業が標的になる理由

近年、フィッシング詐欺は企業を狙った手口が高度化しており、「個人向けの問題」とは言い切れない状況です。ここでは、企業のセキュリティ対策を考えるうえで、まずはフィッシング詐欺の現状、企業が注意すべき手口を解説します。

急増するフィッシング被害の現状

フィッシング対策協議会によると、2026年1月のフィッシング報告件数は20万件を超え、前月比で約6%増加しています。また2025年の年間累計件数は約245万件に達し、6年前に比べ約44倍という急増ぶりです。警視庁の統計では、2025年上半期のネットバンキングにおける不正送金被害は2,593件・被害総額約42億円に上っています。そのうち約9割がフィッシングによって取得された情報を悪用したものです。

IPAが毎年発表する「情報セキュリティ10大脅威2026(組織編)」では、「ビジネスメール詐欺(BEC)」が10位にランクインしています。また5位の「機密情報を狙った標的型攻撃」でも、標的型攻撃メールによるマルウェア感染が主要な手口として挙げられています。メールを介した脅威が上位を占める現状は、企業がメールセキュリティに優先的に取り組む必要性を示すものです。

参考:2026/01 フィッシング報告状況|フィッシング対策協議会
   令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について|警視庁サイバー警察局

企業が特に注意すべき手口

企業を対象とする攻撃でもっとも一般的な手口は、有名企業や金融機関を装ったなりすましメールで偽サイトに誘導するものです。また、近年はSMSを使った「スミッシング」も急増しています。そして企業にとってより深刻なのが「ビジネスメール詐欺(BEC)」で、経営幹部や取引先になりすまして送金指示を行う手口です。

独立行政法人情報処理推進機構(IPA)によれば、BECは会話の流れに自然に割り込む精巧なものもあり、発覚が遅れやすいという特徴があります。他にも、不特定多数ではなく特定企業を狙い撃ちにする「スピアフィッシング」も増加しています。これは、部署名・担当者名を盛り込んだリアルなメールで添付ファイルを開かせてマルウェアを感染させる手口です。

参考:ビジネスメール詐欺(BEC)対策|独立行政法人情報処理推進機構(IPA)

サイバー攻撃の種類やリスクについて詳しく知りたい方は「サイバー攻撃とは?さまざまなリスクから自社を守るための対策を解説」も併せてご覧ください。また、不正アクセスの手口や実際の被害事例をもとに対策を学びたい方は、「不正アクセスとは?実際の被害事例を用いて対策を詳しく解説」も併せてご覧ください。

関連記事

サイバー攻撃とは?
さまざまなリスクから自社を守るための対策を解説
関連記事

不正アクセスとは?
実際の被害事例を用いて対策を詳しく解説

企業が取るべきフィッシング対策【技術編】

フィッシング詐欺への対策は、「技術的対策」「企業的対策」「従業員教育」の3層で考えることが基本です。まずは技術面から取り組める対策を確認しましょう。

送信ドメイン認証の導入(SPF・DKIM・DMARC)

自社ドメインがなりすましに使われないようにするうえで欠かせないのは、送信ドメイン認証の導入です。具体的には、SPF(送信サーバー認証)とDKIM(電子署名による認証)により、メールが正規のサーバーから送信されたことを確認します。

DMARC(ドメイン認証・報告・適合性)は、この2つを統合したうえで認証に失敗したメールの扱いをポリシーとして設定し、悪用状況をレポートで確認する仕組みです。

Googleは2024年2月からGmailへの大量送信にDMARC対応を必須要件とするなど、対応の加速が求められています。日経225企業(東証プライム上場の主要225社)では2024年時点でDMARC導入率が91.6%に達しており、企業規模を問わず優先すべき対策のひとつです。

多要素認証(MFA)の導入

フィッシングによってIDとパスワードが盗まれても、多要素認証(MFA)が導入されていれば不正ログインの防止が可能です。

具体的にはスマートフォンへのプッシュ通知・ワンタイムパスワード・生体認証などの組み合わせにより、認証情報だけではログインできない状態が実現します。社内システムへのアクセスはもちろん、クラウドサービスやVPN接続にも多要素認証の適用が欠かせません。

メール・Webフィルタリングの活用と脆弱性診断

メールフィルタリングは迷惑メールや不審な添付ファイルを受信前に遮断し、従業員がフィッシングメールを目にする機会の大幅な削減が可能です。

Webフィルタリングは万が一不審なリンクがクリックされた際のアクセス自体をブロックする「最後の砦」として機能します。また、自社のWebサイトやシステムの脆弱性の定期的な診断により、フィッシングの踏み台にされるリスクも低減できます。

メールフィルタリングツールを選ぶ際は、AIや機械学習を活用した未知の脅威への対応力、クラウド型か自社設置型かの運用形態、既存のメール環境との親和性の確認が欠かせません。Webフィルタリングについては、URLカテゴリのデータベース更新頻度や、SSL通信の可視化対応があるかどうかも選定の目安になります。

脆弱性診断は、自社のWebサイトやVPNなどのリモートアクセス環境を定期的にスキャンし、発見した脆弱性を優先度に沿って対処していくサイクルを確立しましょう。

ネットワークセキュリティのリスクと対策を把握したい方は「ネットワークセキュリティとは?企業が直面するリスクと対策の全貌を解説!」も併せてご覧ください。また、セキュリティ診断によるリスク回避の具体的な方法を知りたい方は「脆弱性診断(セキュリティ診断)で実現するリスク回避!診断ツールの選定ポイントも紹介」も併せてご覧ください。

関連記事

ネットワークセキュリティとは?
企業が直面するリスクと対策の全貌を解説!
関連記事

脆弱性診断(セキュリティ診断)で実現するリスク回避!診断ツールの選定ポイントも紹介

企業が取るべきフィッシング対策【企業・人的対策編】

企業がとるべきフィッシング対策は、技術的な対策と並行して、企業としての体制と従業員の意識統一が重要です。人の隙を突くのがフィッシング詐欺の本質である以上、「使う人」への取り組みが技術対策と同等、あるいはそれ以上の効果をもたらします。

従業員へのセキュリティ教育と標的型メール訓練

セキュリティ教育で重要なポイントは、定期的な実施により、フィッシングメールの特徴(不自然な日本語、送信元ドメインの微妙な相違、不審なURLなど)を見分ける目を養うことです。

また、近年は生成AIを悪用した高度なフィッシングメールも増加しています。自然な日本語で書かれたメールや、実在の担当者の文体を模倣したものも登場しており、「不自然な文章だから疑う」という従来の判断基準だけでは見抜けないケースも少なくありません。そのため、教育内容は定期的に見直し、最新の手口を反映させる必要があります。

さらに効果的なのが、実際のフィッシングメールに近い形式の訓練メールを社内に配信し、クリックした従業員にフィードバックを行う「標的型メール訓練」です。訓練を繰り返すことで、自分事として対策を考える意識が醸成されます。

インシデント対応フローの整備

どれだけ訓練を実施しても、人間のミスを100%防ぐのは困難です。そこで、フィッシングメールを受け取った場合や、誤ってリンクをクリックしてしまった場合の対策も事前に検討しておかなければなりません。従業員が即座に取れる行動フローをあらかじめ策定しておくことが被害拡大の防止につながります。

「怪しいメールはすぐにシステム管理部門へ報告」「パスワードを入力した場合は即座に変更して多要素認証を有効化」といったフローを明文化し、全社で共有しておきましょう。

また、フィッシングサイトを発見した際には、フィッシング対策協議会やコンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCへの報告も活用してください。

クラウド設定の定期的な棚卸し

クラウドサービスの設定ミスは、意図せず外部からアクセスできる状態を生み出し、フィッシング攻撃の踏み台になるリスクがあります。総務省が2024年4月に公表した「クラウドの設定ミス対策ガイドブック」では、アクセス権限の管理と設定変更時のチェック体制整備が重要とされています。

利用しているクラウドサービスのアクセス権限を定期的に見直し、退職者のアカウントや過剰な権限が残っていないか確認する習慣を企業として持つことが大切です。

参考:クラウドの設定ミス対策ガイドブック|総務省

クラウドセキュリティの主要なリスクと実践的な対策方法を確認したい方は「IT担当者必見!クラウドセキュリティの8大リスクと実践対策」も併せてご覧ください。

関連記事

IT担当者必見!
クラウドセキュリティの8大リスクと実践対策

クラウド・データセンター活用でセキュリティ基盤を強化する

フィッシング対策をそれぞれ独立した施策の積み重ねで終わらせず、企業のセキュリティ基盤そのものを強化する視点も欠かせません。万が一被害に遭った場合でも業務継続できる体制の整備が、企業としての真のリスク管理につながります。

セキュリティが担保されたクラウド環境の選定

社内システムをクラウドに移行・活用する際は、セキュリティ要件を満たしたサービスを選ぶことが重要です。多要素認証・データ暗号化・アクセスログの記録といった機能が標準で備わっているか、ISO27001のようなセキュリティ認証を取得しているかを確認しましょう。

適切に管理されたクラウド環境であれば、フィッシングによってアカウント情報が漏洩した場合でも被害の範囲を限定しやすくなります。

近年注目されているのが、「信頼しない・常に検証する」を原則とするゼロトラストの考え方です。社内ネットワーク内にいれば安全という前提を排し、アクセスのたびにユーザーやデバイスの正当性を検証します。フィッシングによる認証情報の漏洩を起点とした侵害を最小化するうえで、ゼロトラスト型のアーキテクチャは有効な方向性のひとつです。クラウド移行を機に、自社のアクセス管理方針を見直す価値があります。

データセンター活用でBCP・DR対策を強化する

フィッシングを起点としたランサムウェア感染やシステム障害が発生した場合でも、遠隔地にあるデータセンターへのバックアップと迅速なシステム復旧体制があれば業務継続が可能です。

バックアップ設計では、復旧目標時間(RTO)と復旧目標時点(RPO)をあらかじめ定めておくことが重要になります。日次・週次のバックアップスケジュールを業務重要度に合わせて設定し、定期的なリストア訓練で実際に復旧できるかどうかを確かめましょう。また、ランサムウェア対策として、バックアップデータを本番環境とは切り離したオフライン/エアギャップ環境に保管することも有効な手法です。セキュリティ対策はツールの導入だけでなく、インフラ全体で考えるようにしましょう。

BCP策定とデータセンター選びのポイントについて詳しく知りたい方は「BCPとは?企業の災害対策に重要なデータセンター選び」も併せてご覧ください。また、DR対策とシステム迅速復旧の方法を知りたい方は「DR対策とは?BCPに欠かせないサーバーやシステム復旧を迅速に行うための方法を解説」も併せてご覧ください。

関連記事

BCPとは?
企業の災害対策に重要なデータセンター選び
関連記事

DR対策とは?BCPに欠かせないサーバーやシステム復旧を迅速に行うための方法を解説

多層防御とインフラ強化でフィッシングに備える

フィッシング詐欺により、企業が被害を受けた場合の損失は情報漏洩・金銭的損失・信頼失墜と多岐にわたります。これを防ぐには、技術、企業・人的、インフラの3つの層での対策が必須です。まず、技術面では、SPF・DKIM・DMARCによる送信ドメイン認証の導入、多要素認証の適用、メール・Webフィルタリングの整備、そして定期的な脆弱性診断が柱となります。

ついで企業・人的側面では、従業員へのセキュリティ教育と標的型メール訓練の実施、インシデント対応フローの策定と共有、クラウド設定の定期的な棚卸しが欠かせません。そして、インフラ面では、セキュリティ要件を満たしたクラウド環境の選定と、データセンターを活用したBCP・DR体制の整備が求められます。

これらを組み合わせた多層防御こそが、フィッシング詐欺をはじめとするサイバー攻撃から企業を守るもっとも有効なアプローチです。

STNetでは「インターネットセキュリティサービス(メールウイルス・迷惑メールブロック・Webフィルタリング)」を提供し、フィッシングメールを受信前にブロックするとともに、「標的型メール訓練サービス」を通じて、従業員のセキュリティ意識向上を後押ししています。「インターネットセキュリティサービス」はクラウド上のセキュリティサーバーでチェックするためサーバー運用の負担を抑えられ、「標的型メール訓練サービス」は訓練実施から事後教育まで一貫して提供しています。フィッシング対策を含む自社のセキュリティ体制を見直したい方は、ぜひSTNetへご相談ください。

この記事で紹介しているサービス

インターネットセキュリティ

Webサイトの閲覧や電子メールの送受信などのインターネット利用におけるセキュリティを高めることができるサービスです。

標的型メール訓練サービス

お客さまに擬似攻撃メールを送信し、実際に体験していただくことで、標的型攻撃メールに対する免疫力や対応力をアップし、セキュリティ意識の向上を実現します。

よくあるご質問

Q. フィッシング詐欺と通常の迷惑メールはどう違うのですか?

A. 迷惑メール(スパム)は広告や出会い系など多様な目的で大量送信される一般的な不審メールを指します。これに対しフィッシング詐欺は実在する企業・機関になりすまし、受信者に「本物だ」と信じさせ、偽サイトへ誘導してIDやパスワード・クレジットカード情報を詐取することを目的とします。手口が巧妙なため、通常のスパムフィルターで検出されないケースもあります。送信元のドメインやURLを慎重に確認する習慣をつけることが重要です。

詳しくは「フィッシング詐欺とは?企業が標的になる理由」をご覧ください。

Q. 中小企業でもDMARCを導入する必要はありますか?

A. はい、規模を問わず導入が推奨されます。自社ドメインが第三者になりすましに利用された場合、取引先や顧客への被害はもちろん、自社ブランドへの信頼毀損につながります。DMARCはドメインを持ち自社でメール送信を行うすべての企業に有効な対策です。まずSPF・DKIMの整備から始め、段階的にDMARCポリシーを強化していくアプローチが現実的といえます。導入に際しては専門ベンダーへの相談も選択肢のひとつです。

詳しくは「送信ドメイン認証の導入(SPF・DKIM・DMARC)」をご覧ください。

Q. 従業員が誤ってフィッシングサイトにIDとパスワードを入力してしまった場合はどうすればいいですか?

A. 発覚次第、以下を速やかに実施してください。①該当サービスのパスワードを即座に変更する。②同じパスワードを使い回しているサービスもすべて変更する。③多要素認証が設定できる場合は直ちに有効化する。④社内のシステム管理部門に報告し、不審なアクセスがないかログを確認する。被害が拡大している場合は、フィッシング対策協議会やJPCERT/CCへの報告も検討してください。事後対応を迅速に行うために、インシデント対応フローをあらかじめ策定・共有しておくことが大切です。

詳しくは「インシデント対応フローの整備」をご覧ください。

Q. フィッシング対策としてクラウドやデータセンターを活用するメリットは何ですか?

A. フィッシングを起点としたランサムウェア感染やシステム侵害が発生した場合、オンプレミス環境のみでは復旧に多大な時間とコストがかかります。セキュリティ要件を満たしたクラウド環境は多要素認証・アクセス制御・暗号化が標準で備わっているケースが多く、被害の局所化が図れます。また、遠隔地にあるデータセンターへのバックアップを組み合わせることで、被害を受けても迅速に業務を再開できるBCP体制が整います。

詳しくは「クラウド・データセンター活用でセキュリティ基盤を強化する」をご覧ください。

Q. STNetのサービスでフィッシング対策に活用できるものはどれですか?

A. STNetでは多層的なセキュリティサービスを提供しています。メール・Webのフィルタリングには「インターネットセキュリティサービス(迷惑メールブロック・メールウイルス・Webフィルタリング等)」、脆弱性の把握には「セキュリティ診断サービス」、不審な通信の早期検知には「NetStare(ネットステア)」、従業員の意識向上には「標的型メール訓練サービス」が有効です。詳細はSTNetのセキュリティサービスページをご確認いただくか、お気軽にお問い合わせください。

STNetのセキュリティサービス:https://www.stnet.co.jp/business/service/security/

関連記事