最近、私のスマホのメール受信箱に、知らないアドレスからのフィッシングメールが届くようになってきました。さらに事業用メールにも、海外や国内からの不審なメールが時々届きます。中には、「社長からの緊急送金指示」を装ったメールまでありました。これは、最近、急増しているフィッシング攻撃の典型例です。本日は、最新の状況を整理しつつ、皆さまへの注意喚起としてまとめてみたいと思います。
1.最新のトレンド
2026年に入り、国内で検知されるフィッシングメールは急増しています。そのトレンドは、以下のとおりです。
〇 AI生成による自然な日本語で作られたフィッシング文面が増加
〇 Microsoft 365 や Google Drive の正規通知を悪用した手口が増加
〇 e-Tax やインボイス制度を騙る偽メールが急増
〇 海外サーバー経由の攻撃が増加し、差出人の特定が困難
従来のような「日本語が変」「怪しいアドレス」という分かりやすい特徴が消えつつあり、見分けがつきにくい時代になっています。
2.特に注意すべき手口
最近のフィッシングメールは、もっともらしい内容で届きます。
〇 Amazon・Apple のアカウント停止通知
〇 銀行・カード会社の本人確認要求
〇 宅配業者の再配達通知
〇 国税庁(e-Tax)を装った偽メール
〇 Microsoft 365 の共有通知を悪用した偽ファイル共有
〇 AIが生成した請求書・支払督促メール
〇 社長や上司を装った緊急送金指示(BEC攻撃)
特に最後の「社長からの緊急送金指示」は、企業を狙った攻撃として世界的に急増しています。
3.「社長からの緊急送金指示」メールの特徴
事業用メールに届くこの手口は、次のような特徴があります。
〇 差出人名は社長の名前だが、メールアドレスが微妙に違う
〇 「緊急」「誰にも言わずに」「今すぐ対応」など緊急性を強調
〇 金額や振込先が具体的に書かれている
〇 返信を促し、やり取りの中で情報を引き出す
〇 実際の社長のメール署名を模倣している
これはビジネスメール詐欺(BEC:Business Email Compromise)と呼ばれ、 世界的に被害が拡大している攻撃です。
4.見分け方
最近のフィッシングメールは、生成AIにより「自然で違和感のない日本語」で作られており、従来のような不自然さが消えています。最新の見分け方は次の通りです。
〇 緊急性を煽る文面は要注意(真に緊急ならメール指示しない)
〇 リンク先が正規ドメインに見えても油断しない
〇 添付ファイルが自然なPDFでも開かない
〇 メール署名が本物そっくりでも信用しない
〇 日本語が自然でも安心しない(AI生成のため)
特に、正規のクラウド通知を悪用した攻撃は、URLフィルターをすり抜けるため、企業でも被害が増えています。
5.クリックしてしまった場合の緊急対処
もし、誤ってリンクを開いてしまった場合は、次の対応が必要です。
〇 パスワードを即時変更
〇 同じパスワードを使っているサービスもすべて変更
〇 カード会社・銀行に連絡
〇 端末のウイルススキャンを実施
〇 メールアカウントのログイン履歴を確認
〇 二段階認証を必ず設定する
特にメールアカウントの乗っ取りは、事業者にとって致命的な被害につながります。一定規模の企業であれば、社内のシステム担当部署や担当者へ、即時に連絡し、専門家によるアドバイスが必要です。
6.企業として最低限やるべき対策
代理店を含む事業者は、次の対策が必須です。
〇 二段階認証の徹底
〇 社員への定期的な注意喚起
〇 不審メールの共有ルールをつくる
〇 送金依頼は、メールで完結させないルールの徹底
〇 クラウドサービスの通知を過信しない
特に、送金依頼は必ず電話で確認するというルールは、BEC対策として非常に有効です。
<まとめ>
メールは、疑ってから開く時代へ入りました。フィッシングメールは、今や誰にでも届く日常的な脅威になりました。しかも最近は、AI生成の自然な日本語や、正規通知を悪用した手口が増え、見分けがつきにくくなっています。
〇 不審なメールは開かない
〇 リンクを押さない
〇 添付ファイルを開かない
〇 送金依頼は必ず確認する
この4つを徹底するだけでも、被害は大きく減らせます。皆さまの大切な情報と組織を守るために、本日の内容が少しでも参考になれば嬉しく思います。
コメント