なりすまし・フィッシング系の攻撃と対策

攻撃視点の分類 → セキュリティ脅威マップ / レイヤーA「人をだます・物理に触れる」

人の判断をだまして、本人になりすます/本人にうっかり操作させる 攻撃の総称。技術的な侵入より先に「人」を突破口にするため、最も件数が多く、最初の入口になりやすい。一度メールやアカウントを乗っ取られると、そこを足がかりに他のサービスへ連鎖的に被害が広がる。

このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。

1. このジャンルの攻撃とは

「正規のだれか(会社・取引先・上司・銀行・配送業者・IT管理者)になりすまし」、偽メール・偽SMS・偽サイト・偽電話で、

  • 認証情報(ID/パスワード/ワンタイムコード)を入力させる
  • 不正な送金・振込先変更をさせる
  • 添付ファイルやリンクからマルウェアを実行させる

ことを狙う。攻撃の本体は技術ではなく 「急がせる・怖がらせる・信頼させる」心理操作(ソーシャルエンジニアリング)

2. 主な手口

手口 経路 典型例
フィッシング メール/偽サイト 「アカウントがロックされました」→ 偽ログイン画面で認証情報を窃取
スミッシング SMS(ショートメール) 「荷物のお届けに伺いましたが不在でした」→ 偽の再配達リンク
ビッシング 電話・留守電 「カードの不正利用を検知」→ 折返し電話で口頭聞き取り/遠隔操作
クイッシング QRコード 店頭・請求書・チラシのQRに 偽シールを上貼り → 偽サイトへ誘導(読み取り先のドメインを要確認)
BEC(ビジネスメール詐欺) なりすましメール 取引先・経営者になりすまし「振込先が変わった」と送金させる
標的型攻撃メール 業務を装ったメール 実在の取引・人物を調べ込み、自然な文面+悪性の添付/リンク
AiTM(中間者)フィッシング リバースプロキシ 偽サイトが正規サイトを中継し、ワンタイムコードやセッションごと窃取(後述、応用)

🟢 なぜ「メール」を取られると致命的か(鍵束問題)

多くのサービスは 「パスワードを忘れた」→ 登録メールに再設定リンクを送る 仕組み。 つまり メールアカウント=あらゆるサービスの合鍵。メールを乗っ取られると、攻撃者は各サービスでパスワード再発行を繰り返し、被害が芋づる式に広がる。

→ だからこそ メール(と主要アカウント)には多要素認証(MFA)が必須。詳しくはコミュニケーション基盤系ページでも扱う。

3. 実例・典型シナリオ

  • 配送業者を装うSMS(スミッシング): 「お届け物が…」→ リンク先の偽サイトでキャリア決済情報やApple/Google IDを窃取。
  • 経営者なりすまし(BEC): 「至急、いつもと違う口座に振り込んで。後で説明する」と経理担当へ。CEOの名前・口調を真似て、急かす。
  • 標的型攻撃メール: 採用応募・請求書・議事録を装ったWord/PDF/ZIPを開かせ、マクロやショートカットでマルウェアを実行。
  • MFA突破(AiTM): 本物そっくりの中継サイトで、ID・パスワードに加え ワンタイムコード入力後のセッションCookieまで奪い、MFAを実質回避する。

4. 対策

🟢 基礎(全員がやること)

  1. リンクは踏む前に確認(ドメインを見る) — 送信元アドレス・URLのドメインをよく見る。英字に見えても、別言語のそっくりな文字(例:キリル文字の「а」)を混ぜた偽ドメインのこともある。少しでも違和感があれば公式アプリ/ブックマークから入り直す。
  2. 検索結果や広告を鵜呑みにしない — 検索の 上位表示や広告枠が公式とは限らない。広告経由や検索汚染(SEOポイズニング)で、偽サイトが本物より上に出ることがある。銀行・配送・ログインは ブックマークか公式アプリ から開く。
  3. QRコードも疑う — 店頭・請求書・チラシ・ポスターのQRは、上から偽のQRシールを貼られていることがある。読み取った先のURL(ドメイン)を確認し、そこで パスワードや決済情報を入力しない
  4. 「急がせる」連絡を疑う — 「今すぐ」「アカウント停止」「至急振込」は典型的な誘導文句。一拍おく。
  5. パスワードやコードを入力する前に立ち止まる — メール/SMSのリンク先で認証情報を入れない。
  6. 送金・振込先変更は別経路で確認 — メールだけで判断せず、電話など 登録済みの番号 でコールバック。
  7. MFA(多要素認証)を有効化 — 特にメール・社内SSO・金融。
  8. おかしいと思ったら即報告 — 「踏んでしまったかも」を責めない文化が、被害最小化のカギ。

🔧 応用(エンジニア・運用)

  1. メール認証の3点セットを正しく設定SPF / DKIM / DMARC。DMARCは p=quarantinep=reject へ段階的に強化し、自社ドメインのなりすまし送信を拒否させる。
  2. フィッシング耐性のあるMFAへ — SMS OTPやアプリOTPは AiTM/SIMスワップで突破され得る。FIDO2 / WebAuthn / パスキー は偽サイトでは成立せず、フィッシング耐性が高い。重要アカウントから移行。
  3. メールゲートウェイ/添付・URL検査 — サンドボックス展開、URL書き換え(time-of-click検査)、外部メールバナー表示。
  4. 条件付きアクセス&セッション保護 — デバイス準拠・地理/不審検知、トークン有効期間短縮、異常時の再認証・セッション失効。
  5. 継続的な訓練と指標化 — 標的型攻撃メール訓練を定期実施。報告率(クリック率だけでなく報告率)を重視。
  6. インシデント手順を用意 — 「踏んだ後」の初動(パスワード変更、セッション失効、MFA再登録、影響範囲調査)を明文化。

5. IPA等の解説動画(実在確認済み)

いずれもIPA(情報処理推進機構)公式。サムネイルをクリックするとYouTubeで再生(社内研修向けに動画ファイル配布もあり)。

そのメール本当に信用してもいいんですか? ~標的型サイバー攻撃メールの手口と対策~(約10分)

IPA: そのメール本当に信用してもいいんですか?(約10分)

あなたの組織が狙われている! ~標的型攻撃 その脅威と対策~(約10分)

IPA: あなたの組織が狙われている!(約10分)

What’s BEC ? ~ビジネスメール詐欺 手口と対策~【日本語字幕版】(約12分)

IPA: What's BEC? ビジネスメール詐欺(約12分)

あなたのパスワードは大丈夫? ~インターネットサービスの不正ログイン対策~(約10分)

IPA: あなたのパスワードは大丈夫? 不正ログイン対策(約10分)

6. チェックリスト

🟢 全員

  • メール・主要アカウントでMFAを有効にした
  • 「急かす」「リンクで認証」「振込先変更」を疑う癖がついている
  • 送金・口座変更は別経路でコールバック確認する
  • 検索結果の広告枠・上位表示や、QRコードの読み取り先を鵜呑みにしない
  • 英字そっくりの別言語文字を使った偽ドメインに注意している
  • 踏んだ/入力した疑いがあれば即報告する先を知っている

🔧 エンジニア・運用

  • 自社ドメインで SPF / DKIM / DMARC を設定済み(DMARCは reject を目標)
  • 重要アカウントをフィッシング耐性MFA(パスキー/FIDO2)へ移行中
  • メールゲートウェイでURL/添付検査・外部バナーを有効化
  • 標的型攻撃メール訓練を定期実施し、報告率を計測
  • アカウント侵害時の初動手順(失効・調査)が文書化されている

7. 関連ジャンル・出典

関連ジャンル

出典(一次情報)


合わせて読む