編集部
2025年、フィッシング詐欺の手口はますます巧妙化しています。りそな銀行や国税庁をかたるフィッシングメールが増加し、個人情報や企業データが狙われる事例が後を絶ちません。これに対して、日本政府はDMARC(ドメインベース認証)やパスキー技術の普及を推進しています。
特に、AppleやGoogleが提供するパスキー技術は、従来のパスワードを使わない新しい認証方法として注目されています。さらに、NTTドコモなど国内企業も、スミッシング対策を強化し、利用者への警告表示を導入しています。
本記事では、ビジネスを守るために知っておきたい最新のフィッシング防止技術と、導入すべき具体的な対策について詳しく解説します。
フィッシングの現状:りそな銀行や国税庁をかたる詐欺が増加中
近年、フィッシング詐欺の手口はますます多様化し、特に日本国内でも深刻な問題となっています。2024年には、りそな銀行や国税庁を装ったフィッシングメールが急増し、多くのユーザーが被害に遭っています。これらのフィッシングメールは、本物と見分けがつかないような巧妙なデザインや言い回しで、受信者に個人情報や銀行口座のログイン情報を入力させようとします。
たとえば、りそな銀行を騙るフィッシングメールでは、「口座に不審なアクセスがありました」という緊急性の高いメッセージを送信し、受信者が偽のログインページに情報を入力してしまうケースが報告されています。また、国税庁を装ったフィッシング詐欺では、「税金還付の手続きが必要」というメッセージで、銀行口座情報や個人番号を盗む手口が多発しています。これらの詐欺手口は、多くのビジネスパーソンが日常的にやり取りする金融機関や行政機関を装っているため、特に注意が必要です。
さらに、フィッシング対策協議会の報告によると、2024年4月から7月にかけて、Mastercardや東京ガスを騙るフィッシングサイトも急増しており、これに伴う被害額も増加傾向にあります。このようなフィッシング詐欺の増加を背景に、企業は従業員向けのセキュリティ教育や認証技術の見直しを進めています。特にビジネスメール詐欺(BEC)を狙った攻撃では、大企業だけでなく中小企業も標的となることが多く、万が一の被害を防ぐための対策が急務です。
2025年に注目すべきフィッシング防止技術トップ3
フィッシング詐欺の増加に対応するため、2025年に注目すべき防止技術がいくつか登場しています。これらの技術は、フィッシング対策をより高度にし、企業と個人のデータを守るために不可欠です。まず、最も注目されているのが「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」です。
DMARCは、なりすましメールの検出と防止を目的とした認証プロトコルであり、Yahoo! JAPANやNTTドコモなど多くの企業が採用しています。DMARCの導入により、正規のドメインを利用しているメールかどうかを簡単に識別でき、なりすましを防ぐ効果が期待されています。
次に、AppleやGoogleが推進する「パスキー(Passkeys)」も注目の技術です。パスキーは、生体認証やデバイス認証を利用して、従来のパスワードを不要にする新しい認証方式です。パスワード入力の際に狙われがちなフィッシング攻撃を根本から防ぐことができ、セキュリティの向上とユーザーの利便性を両立します。特にAppleは、iOSやmacOSにおいてパスキーの普及を積極的に進めており、2025年にはさらに多くのサービスで導入が進むと見込まれています。
さらに、AIと機械学習を活用した「リアルタイムフィッシング検出」も進化しています。クラウドセキュリティ企業のCrowdStrikeやPalo Alto Networksが提供するこれらの技術は、メール内容や送信者の過去の履歴を分析し、フィッシングのリスクを自動的に評価します。リアルタイムでフィッシングを検出し、警告を出すことで、企業のメールシステム全体を守ることが可能になります。
これらの技術は、ビジネス環境のセキュリティレベルを大きく引き上げ、フィッシング詐欺の被害を最小限に抑えるための重要な鍵となるでしょう。
DMARCの導入でなりすましメールを撃退する方法
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、フィッシング対策において重要な認証技術です。このプロトコルは、送信メールのドメインを認証し、なりすましメールの受信を未然に防ぎます。DMARCはSPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という2つの認証技術を組み合わせており、正規の送信者以外がドメインを使用した場合にメールを拒否したり、受信者に警告を出したりする仕組みです。
2024年には、日本政府がDMARCの導入を推進し、官公庁や主要企業の多くが対応を強化しました。例えば、NTTドコモはDMARCを用いて、なりすましメールに警告を表示する仕組みを導入し、顧客に安心して利用してもらうための対策を講じています。また、Yahoo! JAPANも自社のメールサービスでDMARCを採用しており、ユーザーがフィッシングメールにだまされるリスクを低減しています。
DMARCの効果的な運用には、ポリシー設定とレポート分析が重要です。ポリシー設定では、「none」「quarantine」「reject」の3つのモードがあり、企業は段階的に厳格な設定に移行できます。レポート機能を活用することで、なりすましの試行回数や送信元のドメインを把握し、フィッシング攻撃のトレンドを見極めることが可能です。これにより、企業はフィッシングの脅威に迅速に対応し、より強固なメールセキュリティを構築できます。
パスキーとは?AppleやGoogleが推進する新しい認証技術
パスキー(Passkeys)は、従来のパスワードに代わる新しい認証技術で、フィッシング対策に革新をもたらしています。AppleとGoogleが主導して推進しているこの技術は、生体認証やデバイスのPINコードを使い、安全かつユーザーにとって簡単な認証を提供します。パスキーを利用することで、ユーザーはパスワードを入力する必要がなく、詐欺サイトに誘導されるリスクが大幅に減少します。
パスキーの仕組みは、デバイスに保存された暗号鍵を使用して認証を行うというものです。ユーザーはデバイス上で顔認証や指紋認証を行うと、バックグラウンドで暗号鍵が利用され、認証が完了します。この技術は、FIDOアライアンスの標準に基づいており、セキュリティの高いデバイス間での認証を実現します。Appleは2023年からiOSとmacOSにパスキーを標準搭載し、GoogleもAndroidやChromeブラウザでの対応を進めています。
このパスキー技術は、従来のパスワードに依存しないため、フィッシングの標的になるリスクを排除します。特に企業にとっては、従業員がパスワードを誤って入力してしまうリスクを低減できるため、セキュリティ強化と運用コストの削減が期待されています。2025年には、国内外の多くの企業がパスキー対応を進め、ビジネスシーンでの普及が進むと見込まれています。
NTTドコモと国内企業のスミッシング対策事例
NTTドコモは、スミッシング(SMSを利用したフィッシング)対策を強化するために、独自の取り組みを進めています。2024年7月から、ドコモは「意図せぬ迷惑メッセージ送信に関するお知らせ」を提供し、利用者が不審なメッセージを受け取った際に警告を表示する仕組みを導入しました。この対策により、ユーザーはフィッシングメッセージを受け取った際に注意を喚起されるようになり、詐欺被害を未然に防ぐ効果が期待されています。
また、NTTドコモは2024年10月から、ドコモメールにおいて「なりすましメール」の自動検出機能を強化しました。この機能では、DMARCやSPFの認証結果を基に、なりすましの可能性が高いメールに対して警告表示を行い、利用者が不正なメールを簡単に識別できるようになっています。さらに、AIを活用した分析により、怪しい送信元や不審なリンクを検出し、ユーザーのセキュリティを高める取り組みが進められています。
国内の他の企業も、スミッシング対策に力を入れています。例えば、三菱UFJ銀行は、フィッシング対策協議会と連携し、詐欺の手口や最新情報を利用者に提供することで、被害防止に努めています。これにより、利用者はフィッシング詐欺の手口を事前に知ることができ、騙されるリスクを減らすことが可能です。企業と協会が連携することで、フィッシング詐欺に対する社会全体の防御力を高める効果が期待されています。
AIとクラウドセキュリティがもたらすフィッシング検出の未来
AIとクラウドセキュリティの技術は、フィッシングメールやスミッシングをリアルタイムで検出する新たな手法として注目されています。クラウドセキュリティ企業のCrowdStrikeやPalo Alto Networksは、AIを活用した高度なメール解析サービスを提供しており、企業のメールシステムにフィッシングメールが届く前に検出・ブロックする仕組みを整えています。この技術は、メールの内容、送信元の過去の履歴、リンクの信頼性などを自動的に分析し、不審なメールを即座に特定します。
CrowdStrikeの「Falcon」プラットフォームやPalo Alto Networksの「Prisma Cloud」は、こうした高度な分析機能を備えており、企業のIT担当者がフィッシング攻撃に迅速に対応できるよう支援します。これにより、フィッシング攻撃の早期発見が可能となり、被害が広がる前に対策を講じることができます。また、これらのクラウドベースのセキュリティソリューションは、オンプレミスのシステムに比べてスケーラビリティが高く、中小企業にも導入しやすい点が魅力です。
さらに、AI技術は進化を続けており、異常検知モデルを用いたフィッシングの兆候検出も可能となっています。AIが企業の通常の通信パターンを学習し、異常な通信を検出することで、フィッシングメールの発生を未然に防ぐことができます。このように、AIとクラウドセキュリティの融合は、フィッシング対策の未来を切り開き、2025年以降のビジネスシーンにおいて不可欠な要素となるでしょう。
企業が取るべきフィッシング対策の具体的ステップ
フィッシング攻撃から企業を守るためには、適切な対策を講じることが不可欠です。まず、最初に実施すべきステップはDMARCやSPF、DKIMの設定です。これらの認証技術を用いることで、なりすましメールを自動的にブロックすることが可能になります。日本国内でも、Yahoo! JAPANやNTTドコモを始めとする企業が積極的に導入しており、これにより正規のメールとフィッシングメールを識別できるようになっています。
次に、従業員教育は重要なステップです。多くのフィッシング攻撃は、従業員がリンクをクリックしたり、偽のログインページに情報を入力することから被害が始まります。そのため、フィッシングメールの見分け方や、怪しいメールへの対応方法を定期的に研修することが有効です。例えば、三菱UFJ銀行では、フィッシング対策協議会と連携して、従業員向けに最新の詐欺手口に関する教育を実施しています。
また、クラウドセキュリティサービスの導入も効果的です。CrowdStrikeの「Falcon」やPalo Alto Networksの「Prisma Cloud」など、AIを活用したフィッシング検出サービスは、企業のメールシステムにフィルタリング機能を追加し、疑わしいメールを自動でブロックします。これにより、IT管理者の手間を軽減し、フィッシングメールの流入を抑えることが可能です。これらのステップを踏むことで、企業はフィッシング攻撃のリスクを大幅に減らすことができます。