2025年:AIがフィッシングを激変させた

フィッシングといえば「日本語がおかしいメール」というイメージがありましたが、それはもう過去の話です。

生成AIの普及により、2025年時点で フィッシングメールの83%がAI生成 と推定されています(KnowBe4調査)。AIが生成するコンテンツは文法的に完璧で、受信者の名前・役職・最近の行動に合わせて個別カスタマイズされます。

警告

2024年のグローバルフィッシング被害:推定174億ドル(前年比+45%)

ある香港の企業では、ディープフェイク技術で生成された「CFOを含む役員陣」とのビデオ会議に従業員が参加し、2,500万ドル(約38億円)を送金させられる詐欺被害が発生しました(2024年2月)。

現代のフィッシング手法カタログ

1. スピアフィッシング(標的型フィッシング)

不特定多数への一斉送信ではなく、特定の個人・組織 を狙って精密にカスタマイズされたフィッシングです。

攻撃者はあらかじめ以下の情報を収集します:

  • LinkedIn から:役職、所属プロジェクト、同僚の名前
  • SNS から:最近の旅行、購入品、趣味
  • 会社サイトから:取引先企業名、プレスリリース

これらを組み合わせ、「取引先の〇〇部長から」見えるメールを作成します。

2. ヴィッシング(Voice Phishing / AI音声詐欺)

AI音声クローニング技術により、本物の家族・上司・銀行員の声を模倣した音声通話 が可能になっています。

事例: 2024年、ある経営者の「息子から」の緊急電話。「交通事故を起こして示談金が必要、振込先はここ」という電話でしたが、AIが息子の声を完璧に再現したディープフェイク音声でした。

注意

電話で緊急の送金・振込を求められた場合は、必ず一度電話を切り、自分が知っている番号(連絡先に登録済みの番号)にかけ直して確認 してください。相手が本人であれば問題ありません。

3. クイッシング(QRコードフィッシング)

メールフィルターを回避するため、URLの代わりに QRコードを画像として添付 する手法です。メールセキュリティツールは画像内のURLを解析しにくいため、検出率が低い傾向があります。

公共の場所に貼られた偽のQRコードも問題になっています。駐車場の料金支払いQRコードを偽物に差し替えるケースが海外で多数報告されています。

4. スミッシング(SMS フィッシング)

SMS・LINEで届くフィッシングメッセージです。宅配便の不在通知、銀行のセキュリティ警告、公共料金の督促などを装います。

AI生成コンテンツの見分け方(2025年版)

テキストの特徴

AI生成テキストには特定のパターンがあります。ただし、AIの進化により判別は年々困難になっています。

  • 文章が過度に丁寧・礼儀正しい
  • 具体的な数値や固有名詞が少ない
  • 曖昧な表現が多い(「適切な対応をお願いします」など)
  • 箇条書きが多く、感情的な揺れがない

ただし: AI検出ツールでも精度は70〜80%程度。「AI生成かどうか」で判断するのではなく、送信元・内容の整合性・緊急性 で判断することが重要です。

フィッシングURL の特徴

本物: https://www.paypal.com/account/login 偽物: https://paypa1.com/account/login ← 1がl(小文字L) 偽物: https://paypal.com.malicious.net/… ← ドットの後が本物ではない 偽物: https://secure-paypal-login.com/… ← それらしいが別ドメイン 偽物: https://xn—pypl-7na.com/… ← ピュニコード(国際化ドメイン)

ドメインの確認方法: URLの https:// の直後から最初のスラッシュまでがドメイン。最後の . の直前の単語が「2ndレベルドメイン」です。

https://subdomain.example.com/path
                    ^^^^^^^^^ ここが本物かどうか確認する

実践的な防御チェックリスト

メール受信時

  • 送信者のメールアドレスのドメイン部分を確認(表示名ではなく実際のアドレス)
  • 添付ファイルを開く前に拡張子を確認(.exe.vbs.lnk などは特に危険)
  • URLにカーソルを合わせてリンク先を確認(クリック前に)
  • 緊急性を煽る文言(「今すぐ」「期限切れ」「アカウント停止」)に注意
  • 不審なメールは企業の公式サイトを別途開いてアクセスする(メールのリンクは使わない)

SMS・電話受信時

  • 見知らぬ番号からの「宅配不在通知」URLは開かない
  • 銀行や公共機関からと名乗る電話で個人情報・暗証番号を求められても答えない
  • 緊急の送金要求は電話を切り、登録済みの番号に自分からかけ直して確認

一般的な対策

  • パスワードマネージャーを使う(本物のサイトを登録済みなら偽サイトでは自動入力されない)
  • FIDO2 / パスキーを使う(フィッシングサイトでは使用できない仕様)
  • ブラウザのセーフブラウジング機能を有効にする(Google・Microsoft のフィッシングDB参照)
ヒント

パスワードマネージャーはフィッシング検出の副産物的な効果があります。 登録されているドメインと現在のURLが一致しない場合、パスワードが自動入力されません。本物サイトのパスワードが偽サイトで入力されないため、フィッシングに気づくきっかけになります。

フィッシング被害に遭ってしまったら

もしフィッシングサイトにパスワードを入力してしまった場合、速やかに以下を実行します:

  1. 即座にパスワードを変更 — 被害サービスと同じパスワードを使い回しているサービスも全て変更
  2. MFAを設定 — まだの場合は今すぐ設定
  3. アクセスログを確認 — 不審なログインがないか確認して、見覚えのないセッションをすべて無効化
  4. クレジットカード情報を入力した場合 — カード会社に連絡して利用停止・カード再発行を依頼
  5. 勤務先・家族に報告 — 同じ情報を知っている関係者へのスピアフィッシングが行われる可能性があるため
ポイント

フィッシングの被害報告は 警察庁のサイバー犯罪相談窓口フィッシング対策協議会(antiphishing.jp) に報告することで、他の被害者防止に貢献できます。

理解度チェック

フィッシングメールのURLを確認する際、最も重要な確認ポイントはどれですか?

理解度チェック

AI音声を使った詐欺電話に対して最も効果的な対策はどれですか?