なりすまし・フィッシング系の攻撃と対策
攻撃視点の分類 → セキュリティ脅威マップ / レイヤーA「人をだます・物理に触れる」
人の判断をだまして、本人になりすます/本人にうっかり操作させる 攻撃の総称。技術的な侵入より先に「人」を突破口にするため、最も件数が多く、最初の入口になりやすい。一度メールやアカウントを乗っ取られると、そこを足がかりに他のサービスへ連鎖的に被害が広がる。
このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。
1. このジャンルの攻撃とは
「正規のだれか(会社・取引先・上司・銀行・配送業者・IT管理者)になりすまし」、偽メール・偽SMS・偽サイト・偽電話で、
- 認証情報(ID/パスワード/ワンタイムコード)を入力させる
- 不正な送金・振込先変更をさせる
- 添付ファイルやリンクからマルウェアを実行させる
ことを狙う。攻撃の本体は技術ではなく 「急がせる・怖がらせる・信頼させる」心理操作(ソーシャルエンジニアリング)。
2. 主な手口
| 手口 | 経路 | 典型例 |
|---|---|---|
| フィッシング | メール/偽サイト | 「アカウントがロックされました」→ 偽ログイン画面で認証情報を窃取 |
| スミッシング | SMS(ショートメール) | 「荷物のお届けに伺いましたが不在でした」→ 偽の再配達リンク |
| ビッシング | 電話・留守電 | 「カードの不正利用を検知」→ 折返し電話で口頭聞き取り/遠隔操作 |
| クイッシング | QRコード | 店頭・請求書・チラシのQRに 偽シールを上貼り → 偽サイトへ誘導(読み取り先のドメインを要確認) |
| BEC(ビジネスメール詐欺) | なりすましメール | 取引先・経営者になりすまし「振込先が変わった」と送金させる |
| 標的型攻撃メール | 業務を装ったメール | 実在の取引・人物を調べ込み、自然な文面+悪性の添付/リンク |
| AiTM(中間者)フィッシング | リバースプロキシ | 偽サイトが正規サイトを中継し、ワンタイムコードやセッションごと窃取(後述、応用) |
🟢 なぜ「メール」を取られると致命的か(鍵束問題)
多くのサービスは 「パスワードを忘れた」→ 登録メールに再設定リンクを送る 仕組み。 つまり メールアカウント=あらゆるサービスの合鍵。メールを乗っ取られると、攻撃者は各サービスでパスワード再発行を繰り返し、被害が芋づる式に広がる。
→ だからこそ メール(と主要アカウント)には多要素認証(MFA)が必須。詳しくはコミュニケーション基盤系ページでも扱う。
3. 実例・典型シナリオ
- 配送業者を装うSMS(スミッシング): 「お届け物が…」→ リンク先の偽サイトでキャリア決済情報やApple/Google IDを窃取。
- 経営者なりすまし(BEC): 「至急、いつもと違う口座に振り込んで。後で説明する」と経理担当へ。CEOの名前・口調を真似て、急かす。
- 標的型攻撃メール: 採用応募・請求書・議事録を装ったWord/PDF/ZIPを開かせ、マクロやショートカットでマルウェアを実行。
- MFA突破(AiTM): 本物そっくりの中継サイトで、ID・パスワードに加え ワンタイムコード入力後のセッションCookieまで奪い、MFAを実質回避する。
4. 対策
🟢 基礎(全員がやること)
- リンクは踏む前に確認(ドメインを見る) — 送信元アドレス・URLのドメインをよく見る。英字に見えても、別言語のそっくりな文字(例:キリル文字の「а」)を混ぜた偽ドメインのこともある。少しでも違和感があれば公式アプリ/ブックマークから入り直す。
- 検索結果や広告を鵜呑みにしない — 検索の 上位表示や広告枠が公式とは限らない。広告経由や検索汚染(SEOポイズニング)で、偽サイトが本物より上に出ることがある。銀行・配送・ログインは ブックマークか公式アプリ から開く。
- QRコードも疑う — 店頭・請求書・チラシ・ポスターのQRは、上から偽のQRシールを貼られていることがある。読み取った先のURL(ドメイン)を確認し、そこで パスワードや決済情報を入力しない。
- 「急がせる」連絡を疑う — 「今すぐ」「アカウント停止」「至急振込」は典型的な誘導文句。一拍おく。
- パスワードやコードを入力する前に立ち止まる — メール/SMSのリンク先で認証情報を入れない。
- 送金・振込先変更は別経路で確認 — メールだけで判断せず、電話など 登録済みの番号 でコールバック。
- MFA(多要素認証)を有効化 — 特にメール・社内SSO・金融。
- おかしいと思ったら即報告 — 「踏んでしまったかも」を責めない文化が、被害最小化のカギ。
🔧 応用(エンジニア・運用)
- メール認証の3点セットを正しく設定 — SPF / DKIM / DMARC。DMARCは
p=quarantine→p=rejectへ段階的に強化し、自社ドメインのなりすまし送信を拒否させる。 - フィッシング耐性のあるMFAへ — SMS OTPやアプリOTPは AiTM/SIMスワップで突破され得る。FIDO2 / WebAuthn / パスキー は偽サイトでは成立せず、フィッシング耐性が高い。重要アカウントから移行。
- メールゲートウェイ/添付・URL検査 — サンドボックス展開、URL書き換え(time-of-click検査)、外部メールバナー表示。
- 条件付きアクセス&セッション保護 — デバイス準拠・地理/不審検知、トークン有効期間短縮、異常時の再認証・セッション失効。
- 継続的な訓練と指標化 — 標的型攻撃メール訓練を定期実施。報告率(クリック率だけでなく報告率)を重視。
- インシデント手順を用意 — 「踏んだ後」の初動(パスワード変更、セッション失効、MFA再登録、影響範囲調査)を明文化。
5. IPA等の解説動画(実在確認済み)
いずれもIPA(情報処理推進機構)公式。サムネイルをクリックするとYouTubeで再生(社内研修向けに動画ファイル配布もあり)。
そのメール本当に信用してもいいんですか? ~標的型サイバー攻撃メールの手口と対策~(約10分)
あなたの組織が狙われている! ~標的型攻撃 その脅威と対策~(約10分)
What’s BEC ? ~ビジネスメール詐欺 手口と対策~【日本語字幕版】(約12分)
あなたのパスワードは大丈夫? ~インターネットサービスの不正ログイン対策~(約10分)
6. チェックリスト
🟢 全員
- メール・主要アカウントでMFAを有効にした
- 「急かす」「リンクで認証」「振込先変更」を疑う癖がついている
- 送金・口座変更は別経路でコールバック確認する
- 検索結果の広告枠・上位表示や、QRコードの読み取り先を鵜呑みにしない
- 英字そっくりの別言語文字を使った偽ドメインに注意している
- 踏んだ/入力した疑いがあれば即報告する先を知っている
🔧 エンジニア・運用
- 自社ドメインで SPF / DKIM / DMARC を設定済み(DMARCは reject を目標)
- 重要アカウントをフィッシング耐性MFA(パスキー/FIDO2)へ移行中
- メールゲートウェイでURL/添付検査・外部バナーを有効化
- 標的型攻撃メール訓練を定期実施し、報告率を計測
- アカウント侵害時の初動手順(失効・調査)が文書化されている
7. 関連ジャンル・出典
関連ジャンル
- セキュリティ脅威マップ(分類ハブ)
- コミュニケーション基盤系 — メール/Slack乗っ取り、再認証悪用、MFA
- マルウェア系 — 添付/リンクからの感染、ランサムウェア
- 物理・アナログ系 — 覗き見・ソーシャルエンジニアリングの物理面
出典(一次情報)
- IPA「映像で知る情報セキュリティ」 — https://www.ipa.go.jp/security/videos/index.html / 一覧 https://www.ipa.go.jp/security/videos/list.html
- IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/
- JPCERT/CC(フィッシング・なりすまし注意喚起)
- OWASP / NIST(MFA・認証のベストプラクティス)



