>
>
最終更新日
フィッシングサイトによる被害は、AI技術の悪用や手口の巧妙化によって急増しており、もはや個人の見分け方だけでは防ぎきれません。本記事では、2026年最新のフィッシングサイトの仕組みや具体的な詐欺実例に加え、aguseなどの検知ツールの使い方・信頼性、パスキー(FIDO2)などの有効な対策を解説します。個人の防衛策から企業のDMARC対応まで、実務に即して整理しました。
フィッシングサイトとは?仕組みと被害の実態
フィッシングサイトとは、実在する企業を精巧に偽装し、ユーザーから機密情報を窃取する悪意あるWebサイトのことです。
この記事でわかること
フィッシングサイトの仕組みと、被害が急増している背景
AiTM(中間者攻撃)・クイッシング・生成AI悪用など2026年最新の手口
検知ツール「aguse」の使い方・信頼性と、目視チェックの限界
パスキー(FIDO2)導入やDMARC設定など、個人・企業が取るべき対策
被害に遭ってしまった場合の緊急対応フロー
フィッシングサイトの仕組み
アタッカーは正規のクレジットカード会社や金融機関、ECサイトなどを装ったメールやSMSを送信し、本物そっくりに構築した偽のWebサイトへ誘導します。ユーザーが本物だと誤認してID、パスワードなどを入力すると、攻撃者のデータベースに情報が直接送信されます。盗まれた情報は即座に悪用されるか、ダークウェブで販売されるため、被害の拡大スピードが非常に速いのが特徴です。
爆発的に増加する被害の実態
フィッシング対策協議会および警察庁の報告によると、国内のフィッシング報告件数は2024年に171万件超(累計1,718,036件)、2025年には245万件超(累計2,454,297件)と急増を続けています(出典:フィッシング対策協議会)。さらに、Proofpoint社の2025年4月の調査では、世界の詐欺メールの83.6%が日本人を標的としたものと報告されており(出典:Proofpoint)、AI技術の発展によって「日本語の壁」が崩壊したことが主な要因と分析されています。
【2026年最新】フィッシングサイトの巧妙な手口と実例
現代のフィッシング攻撃は、従来の偽メールに加えて、QRコードや中間者攻撃を用いたオムニチャネル型へと進化しています。
リアルタイムフィッシングとAiTM(中間者攻撃)
現在の最も深刻な脅威は、AiTM(Adversary-in-the-Middle)による多要素認証(MFA)の突破です。攻撃者が正規サイトとユーザーの間にリバースプロキシとして偽サイトを設置し、ユーザーが入力したワンタイムパスワード(OTP)などをリアルタイムで中継することで、認証後のセッションCookieを丸ごと乗っ取ります。これにより「MFAを設定していれば安全」という前提が崩れ去りました。
クイッシング(QRコード)とスミッシング
企業のメールフィルタリングをすり抜けるため、メール本文や物理的な請求書に不正なQRコードを貼り付ける「クイッシング」が横行しています。また、宅配業者やインフラ企業を装うSMS(スミッシング)は開封率が高く、無防備なスマートフォンから直接偽サイトへ誘導されるため警戒が必要です。
生成AIを悪用した精密な偽装とディープフェイク
偽メールは生成AIによって流暢かつ自然な日本語で作成されるようになり、言語的な不自然さでの判別は不可能です。役員のSNS投稿などを学習したAIが独自の口調を模倣するビジネスメール詐欺(BEC)や、音声クローンを用いたディープフェイク攻撃も急増しています。
最新の詐欺実例(U-NEXT、セゾンカード、じぶん銀行等)
2026年現在、セゾンカードやじぶん銀行などの金融機関、U-NEXTなどのエンターテインメントサービスを装い、「アカウントが一時停止されました」「月額料金の未払いがあります」と不安を煽る手口が頻発しています。これらは各社が公式に注意喚起している事象であり、企業側のセキュリティの落ち度ではなく、サービス名と知名度が攻撃者に勝手に悪用されているものです。実際に筆者が受信したU-NEXTを装うフィッシングメールを分析したところ、送信元ドメインは「u-next-info.com」のような正規ドメインとは無関係の文字列で、本文中のリンク先URLも「un-ext.net」など微妙に異なる偽ドメインが使われていました。正規サービスのメールアドレス(@u-next.com)と見比べなければ気づきにくい巧妙な偽装であり、生成AIで整形された自然な日本語と組み合わされると、一見しただけでは判別がほぼ不可能な水準に達しています。
証券口座の乗っ取りと相場操縦
2025年春、日本の大手証券会社(楽天証券、SBI証券など)の顧客アカウントがフィッシングにより乗っ取られ、犯人グループが事前に仕込んだ小型株を高値で買わされる「相場操縦」の手口が発覚しました。金融庁の発表(2025年1月〜2026年3月累計)によれば、不正アクセスによる売買額は約8,005億円(売却約4,262億円・買付約3,743億円)に達しており、甚大な経済的損失を引き起こしています(出典:金融庁)。
▲ AiTM(中間者攻撃)による多要素認証突破の仕組み
フィッシングサイトの見分け方と検知ツール「aguse」
目視による見分け方には限界があるため、aguseなどの検知ツールを補助的に活用することが有効です。
目視での見分け方が限界を迎えている理由
かつては「URLの鍵マーク(SSLサーバー証明書)の有無」や「日本語の不自然さ」が目安とされていました。しかし、現在では大半のフィッシングサイトが無料のSSL証明書を導入しており、鍵マークがあるからといって安全とは限りません。生成AIによる自然な日本語と相まって、人間が目視でフィッシングサイトを見分けることはほぼ不可能になっています。
検知ツール「aguse」の使い方と信頼性
不審なURLを受信した際は、アクセスする前にセキュリティチェックツール「aguse(アグス)」などでURLを検査することが推奨されます。aguseは、対象URLのマルウェア感染状況やドメイン取得日、サーバーの設置場所などを安全に確認できる無料ツールです。ただし、新しく作られたばかりのフィッシングサイトはデータベースに未登録の場合があり、ツールの判定結果が「安全」であっても100%の安全性を保証するものではありません。判定の限界を理解した上で、あくまで補助ツールとして活用してください。
最低限確認すべきチェックポイント
ツールと併用して以下の点を確認し、総合的に判断します。
URLの文字列: 正規ドメインと微妙に異なる(例: example.co、exanple.com など)点がないか確認します。
ドメインの作成日: Whois情報検索を利用し、大手企業のサイトにもかかわらずドメイン作成日が数日前であれば危険です。
送信元の情報: 正規企業のドメインか確認しますが、送信元メールアドレスは偽装可能である点に注意が必要です。
個人情報の要求: 正規サービスがメールから直接パスワードやクレジットカード番号の全桁入力を促すことはありません。
フィッシングサイトにアクセスしてしまった場合の対応
万が一情報を入力してしまった場合は、即座にネットワークを切断し、安全な端末から無効化の手続きを行います。
パスワードやIDを入力した場合
速やかに正規の公式サイトからログインし、パスワードを変更してください。他のサービスで同じIDとパスワードの組み合わせを使い回している場合、リスト型攻撃によって被害が連鎖する恐れがあるため、該当するすべてのサービスのパスワードを推測されにくい複雑なものに変更する必要があります。
クレジットカード情報を入力した場合
直ちにクレジットカードの裏面に記載された連絡先に電話し、カード会社に利用停止と再発行の手続きを依頼してください。早期に報告すれば、カード会社の補償制度が適用されて金銭的な被害を防げるケースが大半です。決して放置せず、カード裏面の番号にすぐ電話してください。
▲ フィッシングサイトに情報を入力してしまった場合の緊急対応フロー
フィッシング被害を未然に防ぐための対策
パスキー(FIDO2)の導入と、正規ルートからのアクセス習慣の徹底が現時点で最も有効な対策です。
パスキー(FIDO2)の導入
AiTM(中間者攻撃)によるMFA突破を防ぐ根本的な解決策として、パスキー(FIDO2)が注目されています。これは指紋や顔認証を用いたパスワードレス認証であり、ユーザーの端末と正規サーバー間のみで公開鍵暗号に基づく認証を行うため、偽サイトに入力情報を横取りされるリスクが物理的に存在しません。利用可能なサービスでは積極的にパスキーを設定しましょう。
従来型セキュリティ対策の徹底
パソコンやスマートフォンに信頼できる総合セキュリティソフトを導入し、OSやブラウザを常に最新の状態に保つことは引き続き必須です。また、金融機関やECサイトへは、メールのリンクからではなく、公式アプリや登録済みのブックマークからアクセスする習慣を徹底してください。
【実用】フィッシング対策・自己判断フロー
不審な連絡を受けた際は、以下のフローに沿って行動することで被害を未然に防げます。
メールやSMSで「緊急」「アカウント停止」「未払い」などの通知を受信
【判断】記載されたリンクは絶対に押さず、公式アプリや検索エンジンから本サイトへアクセスする
【確認】本サイトのマイページやメッセージボックスに、該当のお知らせが来ているか確認する
【対応】お知らせがなければ詐欺メールと判断して直ちに破棄する
▲ 不審なメッセージを受信した際の安全な確認ステップ
Webサイト運営者・企業側に求められる対策
企業は自社ブランドの悪用を防ぐため、以下の技術的対策を講じておく必要があります。
DMARC(送信ドメイン認証)の導入
企業のドメインを騙るなりすましメールを防ぐため、SPF/DKIMに加えてDMARCの導入が必須です。GoogleやYahooのガイドライン変更に伴い、DMARCポリシーを「quarantine(隔離)」や「reject(拒否)」に設定し、偽装メールが顧客の受信トレイに届かないようにブロックする仕組みの構築が強く求められています。
パスキーの提供と多要素認証の強化
サービス提供者側は、ユーザーをリアルタイムフィッシングから保護するためにパスキーによる認証オプションを提供すべきです。証券口座乗っ取り事件を教訓として、多くの金融機関が全チャネルへのパスキー導入を進めており、安全性の高い認証基盤の提供は顧客の信頼獲得に直結します。
テイクダウン体制の整備
自社を騙るフィッシングサイトを発見した場合、ドメインレジストラやホスティング事業者に対して即座にサイト閉鎖(テイクダウン)を要請する体制を構築しておく必要があります。自社での対応が難しい場合は、専門の脅威インテリジェンスやテイクダウン代行サービスを利用することが有効な選択肢です。
フィッシングサイトを発見した場合の報告先
被害の拡大を防ぐため、フィッシングサイトを発見した場合は速やかに専門機関や警察へ情報提供を行います。
フィッシング対策協議会
フィッシング対策協議会は、フィッシング詐欺に関する情報収集と注意喚起を行う専門機関です。ウェブサイト上の報告フォームから、発見した偽サイトのURLや、誘導に使われたメールの情報などを簡単に報告することができます。個人の報告がデータベースをアップデートし、社会全体のセキュリティ向上に貢献します。
警察(サイバー犯罪相談窓口)
実際に金銭的な被害に遭ったり、重要な個人情報を入力してしまったりした場合は、速やかに最寄りの警察署や都道府県警のサイバー犯罪相談窓口に相談してください。相談する際は、フィッシングサイトのURL、メールの文面、被害の状況などがわかるスクリーンショットを証拠として保存しておくことが重要です。
よくある質問
フィッシングサイトに関するよくある疑問について、実践的な観点から回答します。
Q:aguseなどの検知ツールの信頼性と限界は?
A:aguseはマルウェア感染や不審なサーバー情報を安全に確認できる有用なツールです。ただし、立ち上げられたばかりの新しいフィッシングサイトはデータベースに未登録の場合があります。結果が「安全」でも100%の安全性を保証するものではないため、URLの文字列確認やドメイン作成日の確認など、複数の方法と組み合わせて使うことを推奨します。
Q:スマホでフィッシングサイトを確認する簡単な方法は?
A:SMSやメールのリンクは直接タップせず、まずは検索エンジンから公式サイトを検索するか公式アプリを起動し、マイページ内に該当の通知や警告が届いているかを確認するのが最も簡単で確実な方法です。
Q:リンクを開いただけでも被害に遭いますか?
A:原則として、リンク先のサイトを開いただけで直ちに個人情報が盗まれることはありません。しかし、ブラウザの脆弱性を突かれてマルウェアに感染するリスクがあるため、誤って開いてしまった場合は速やかにブラウザを閉じ、セキュリティソフトでスキャンを実行してください。
まとめ
フィッシングサイトの手口は年々高度化しており、生成AIによる精密ななりすましや、中間者攻撃(AiTM)による多要素認証の突破など、目視の警戒だけでは対応しきれない次元に突入しています。被害を防ぐには、公式アプリやブックマークからアクセスする基本習慣の徹底に加え、aguseなどの検知ツールの補助的な活用、そしてパスキー(FIDO2)などフィッシング耐性の高い認証手段の利用が求められます。
また、企業側にもDMARCの導入やテイクダウン体制の整備など、自社ブランドを守る社会的責任が求められています。パスキーとDMARCの導入を起点に、段階的に対策を固めていくことを推奨します。
✅ 今日からできるアクションチェックリスト
✅ 公式アプリ・ブックマークからのアクセス習慣を徹底する
✅ aguseで不審URLを事前確認する習慣をつける
✅ 利用中のサービスにパスキーを設定する
✅ 同じパスワードの使い回しをやめ、パスワードマネージャーを導入する
✅ 企業担当者はDMARC設定をrejectまたはquarantineに変更する
✅ 自社を騙るフィッシングサイト発見時のテイクダウン手順を整備する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
