この記事は、サイバーセキュリティ基礎講座の第1回です。
前回は、【第0回】サイバーセキュリティとは何か|攻撃の仕組みと防御の基本をわかりやすく解説で、サイバー攻撃が情報、お金、信用、生活、社会インフラに関わる問題であることを整理しました。
今回は、もっとも身近な入口であるフィッシング詐欺を扱います。
シリーズ全体は、【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶからご覧ください。
「アカウントが停止されます。」
「不正利用を検知しました。」
「荷物をお届けできませんでした。」
「支払い情報を更新してください。」
突然ですが、こんなメールやSMSを見たことはありませんか?
一瞬、少し不安になるかもしれません。
「本当に何か問題が起きたのかな?」
「今すぐ確認した方がいいのかな?」
「放置したら困ることになるのかな?」
そう思って、リンクを押したくなる。
その心理を狙うのが、フィッシング詐欺です。
フィッシング詐欺とは、実在する企業やサービスを装い、あなたを偽サイトへ誘導し、ID、パスワード、クレジットカード情報、暗証番号などを盗み取ろうとする手口です。
フィッシング対策協議会も、フィッシングを「実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取すること」と説明しています。(アンチフィッシング.jp)
ここで大切なのは、フィッシング詐欺は「判断力が弱い人だけがだまされるもの」ではないということです。
- 忙しいとき
- 疲れているとき
- 焦っているとき
- 不安になっているとき
- 本物そっくりの画面を見たとき
人は、ふだんなら気づける違和感を見落とすことがあります。
今回は、「フィッシング詐欺とは何か」を見ていきます。
「なぜだまされるのか?」
「どんな情報が狙われるのか?」
「どこを確認すればよいのか?」
「もし入力してしまったら、何をすればよいのか?」
攻撃の手順ではなく、被害を減らすための構造と防御を整理していきましょう。
第1章 フィッシング詐欺とは何か
フィッシング詐欺とは、実在する企業、金融機関、通販サイト、配送会社、行政機関などを装い、あなたの情報を盗み取ろうとする詐欺です。
よく狙われる情報は、次のようなものです。
- ログインID
- パスワード
- クレジットカード番号
- 銀行口座情報
- 暗証番号
- 認証コード
- 住所や電話番号
- 本人確認情報
攻撃者は、こうした情報を直接聞き出すとは限りません。
多くの場合、メールやSMSにリンクを入れます。
そのリンクを押すと、本物そっくりの偽サイトが表示されます。
あなたがそこにIDやパスワードを入力すると、その情報が攻撃者に渡ってしまいます。
つまり、フィッシング詐欺はこういう流れです。
実在する企業やサービスを装う
↓
不安や焦りを刺激する
↓
偽サイトへ誘導する
↓
ログイン情報やカード情報を入力させる
↓
盗んだ情報を悪用する
CISA(サイバーセキュリティー・インフラセキュリティー庁)も、フィッシングについて、犯罪者が有害なリンク、メール、添付ファイルを開かせ、個人情報を求めたり端末を感染させたりするものだと説明しています。(CISA)
フィッシング詐欺は、技術だけの攻撃ではありません。
人の判断を急がせる攻撃なのです。
第2章 なぜフィッシング詐欺にだまされてしまうのか
フィッシング詐欺で狙われるのは、パソコンやスマホだけではありません。
人間の心理も狙われます。
よく使われる感情は、次のようなものです。
- 焦り
- 不安
- 恐怖
- 損をしたくない気持ち
- 得をしたい気持ち
- 権威への信頼
- いつものサービスへの慣れ
たとえば、次のような文面です。
「アカウントが停止されます。」
「本人確認が必要です。」
「支払いに失敗しました。」
「荷物を保管しています。」
「不正ログインを検知しました。」
「期限内に手続きしてください。」
こうした言葉を見ると、人は確認する前に動きたくなります。
「まずい。」
「早くしなきゃ。」
「自分のアカウントかもしれない。」
そう感じた瞬間に、人間は焦ってしまい判断を間違えることがあります。
攻撃者は、そこを狙うのです。
フィッシング詐欺の本質は、偽サイトを作ることだけではありません。
あなたに「確認する前に行動させる」ことです。
そのため、フィッシング対策で最も大切なのは、怪しいメッセージを見たときに、一度止まることです。
- すぐ押さない
- すぐ入力しない
- すぐ返信しない
- まず止まる
このように一息置くことで、被害を防ぐ最初の一歩につながるのです。
第3章 フィッシング詐欺はどこから来るのか
フィッシング詐欺は、メールだけではありません。
今はさまざまな入口があります。
- メール
- SMS
- SNSのDM
- 偽広告
- 検索結果
- QRコード
- 偽アプリ
- チャットツール
特にSMSで届くフィッシングは、スミッシングと呼ばれます。
スマホに届く短いメッセージは、メールよりも反射的に開いてしまうことがあります。
- 配送会社を装うSMS
- 電力会社を装うSMS
- 銀行を装うSMS
- 通販サイトを装うSMS
- 行政機関を装うSMS
このような形で届くことがあります。
フィッシング対策協議会の2026年3月の月次報告では、フィッシング報告件数は122,381件、フィッシングサイトURL件数は69,936件、悪用されたブランド件数は123件とされています。
また、SMSから誘導されるスミッシングの報告も増えており、Amazon、東京電力、PayPayを装った文面の報告が多いとされています。(アンチフィッシング.jp)
ここから見えるのは、フィッシング詐欺が一部の特殊な人だけに届くものではないということです。
- 大量に送られる
- さまざまなブランドが使われる
- 本物のサービスに似せてくる
つまり、いつあなたに届いても不思議ではないのです。
第4章 本物そっくりでも、信用してよいとは限らない
昔のフィッシング詐欺は、日本語が不自然だったり、見た目が粗かったりすることがありました。
ですが、今は見分けにくくなっています。
- 本物そっくりのロゴ
- 本物に似たメール文面
- 本物に近い色やデザイン
- 本物らしいURL
- 本物の通知に似たタイミング
こうした形で届くことがあります。
そのため、次の考え方が大切です。
- 見た目が本物らしい
- それだけでは信じない
- 送信元を確認する
- リンク先を確認する
- 公式アプリやブックマークから開く
特に注意したいのは、リンクです。
メールやSMSのリンクからログインするのではなく、普段使っている公式アプリやブックマークから開きます。
- 銀行なら銀行アプリから開く
- 通販サイトなら公式アプリから開く。
- 配送会社なら公式サイトや公式アプリから確認する
警察庁も、フィッシング対策として、迷惑メッセージブロック機能の活用や、ID・パスワードの使い回しをしないことなどを呼びかけています。(警察庁)
大切なのは、「届いたリンクを信じる」のではなく、「自分で公式の入口へ行く」ことです。
入口を自分で選ぶことが、フィッシング対策の基本なのです。
第5章 フィッシング詐欺で起きる被害
フィッシング詐欺で盗まれた情報は、さまざまな被害につながります。
- ログイン情報が盗まれると、アカウントが乗っ取られる可能性がある
- クレジットカード情報が盗まれると、不正利用される可能性がある
- 銀行情報が盗まれると、不正送金につながる可能性がある
- SNSアカウントが乗っ取られると、友人や家族に詐欺メッセージが送られることがある
- 会社のアカウントが盗まれると、社内システムや取引先にも影響が広がることがある
つまり、フィッシング詐欺は「自分だけの問題」で終わらないことがあります。
自分の情報が盗まれる
↓
アカウントが乗っ取られる
↓
お金が不正利用される
↓
家族や友人に詐欺が広がる
↓
会社や取引先に影響する
↓
信用が傷つく
フィッシングは、サイバー攻撃の入口になることもあります。
- 一つのパスワード
- 一つの認証情報
- 一つのクリック
そこから被害が広がることがあります。
些細な行動が、大きな被害につながる。
ここがフィッシング詐欺の怖さなのです。
第6章 見抜くよりも、だまされにくい行動を作る
フィッシング対策というと、「怪しいメールを見抜く力」が大切だと思うかもしれません。
もちろん、見抜く力は大切です。
ただし、見抜くことだけに頼るのは危険です。
なぜなら、偽メールや偽サイトは巧妙になるからです。
- 疲れている日もある
- 忙しい日もある
- スマホの小さな画面で見ていることもある
つい一瞬で判断してしまうこともあります。
そのため、見抜く力だけではなく、だまされにくい行動を習慣にすることが重要です。
- メールやSMSのリンクからログインしない
- 公式アプリやブックマークから開く
- パスワードを使い回さない
- 多要素認証を設定する
- 認証コードを他人に教えない
- 急がせる文面ほど一度止まる
- 少しでも不安なら公式窓口で確認する
特に重要なのは、パスワードの使い回しをやめることです。
一つのサービスで漏れたIDとパスワードが、別のサービスで試されることがあります。
もう一つ重要なのが、多要素認証です。
パスワードが盗まれても、追加の認証があることで被害を防ぎやすくなります。
ただし、SMS認証コードやワンタイムパスワードを入力させる偽サイトもあります。
そのため、「認証コードを求められたら本物」とは考えない方が安全です。
大切なのは、リンク先で判断するのではなく、入口で判断することです。
- 公式アプリから入る
- ブックマークから入る
- 自分で検索する場合も、広告枠や偽サイトに注意する
フィッシング対策とは、見抜く力だけではなく、だまされにくい流れを作ることなのです。
第7章 もし入力してしまったら、何をするべきか
フィッシングサイトに情報を入力してしまったら、早めに対応することが大切です。
「やってしまった」と思うと、焦ります。
ですが、焦って別のリンクを押したり、怪しいサポートに連絡したりすると、被害が広がることがあります。
まずは落ち着いて、被害の拡大を止めます。
- パスワードを変更する
- 同じパスワードを使っている他のサービスも変更する
- 多要素認証を設定する
- クレジットカード会社や金融機関に連絡する
- 不審な利用履歴を確認する
- 公式サポートへ連絡する
- 必要に応じて警察や相談窓口へ相談する
フィッシング対策協議会では、フィッシングと思われるメールやSMSが来た場合、リンクをクリックせずに報告する方法を案内しています。
SMSの場合はスクリーンショットを取得し、メールに添付して送る方法も示されています。(アンチフィッシング.jp)
- クレジットカード情報を入力した場合は、カード会社へ連絡する
- 銀行情報を入力した場合は、金融機関へ連絡する
- SNSやメールのパスワードを入力した場合は、すぐに公式サイトや公式アプリからパスワードを変更する
- 会社のアカウントを入力した場合は、個人判断で済ませず、社内の情報システム担当や上司に連絡する
被害を小さくするには、早い対応が重要なのです。
第8章 フィッシング詐欺を見る5つの問い
フィッシング詐欺を見たときは、次の5つの問いを持つと整理しやすくなります。
「誰を装っているのか?」
「何を急がせているのか?」
「どの情報を入力させようとしているのか?」
「公式アプリやブックマークから確認できるか?」
「もし入力してしまったら、どこへ連絡するべきか?」
たとえば、配送会社を装ったSMSならこうです。
- 誰を装っているのか?
→配送会社
- 何を急がせているのか?
→荷物の受け取りや再配達
- どの情報を入力させようとしているのか?
→住所、電話番号、ログイン情報、カード情報など
- 公式アプリやブックマークから確認できるか?
→できるなら、SMSのリンクを押さずに公式ルートで確認する
- もし入力してしまったら、どこへ連絡するべきか?
→カード会社、金融機関、配送会社の公式窓口、必要に応じて警察や相談窓口
このように考えると、フィッシング詐欺は「怪しいかどうか」だけでなく、「どんな構造で動かそうとしているのか」が見えてきます。
攻撃名ではなく、構造で見る。
これが、フィッシング詐欺を防ぐ第一歩なのです。
まとめ フィッシング詐欺とは、人の判断を急がせる攻撃である
フィッシング詐欺とは、実在する企業やサービスを装い、あなたを偽サイトへ誘導し、ログイン情報やクレジットカード情報などを盗み取ろうとする手口です。
- メール
- SMS
- SNSのDM
- 偽広告
- 検索結果
- 偽サイト
こうした入口から、あなたを本物そっくりの画面へ誘導します。
フィッシング詐欺で狙われるのは、情報だけではありません。
- 焦り
- 不安
- 恐怖
- 損をしたくない気持ち
- 権威への信頼
- いつものサービスへの慣れ
こうした心理も狙われます。
そのため、フィッシング対策で大切なのは、見抜く力だけではありません。
- 怪しいリンクからログインしない
- 公式アプリやブックマークから確認する
- パスワードを使い回さない
- 多要素認証を設定する
- 認証コードを他人に教えない
- 入力してしまったら早く対応する
こうした行動を作ることです。
フィッシング詐欺は、判断力が弱い人だけがだまされるものではありません。
誰でも、忙しいときや不安なときには見落とすことがあります。
だからこそ、その見落としした自分を責めるのではなく、仕組みを整えることが大切なのです。
次回は、「マルウェアとは何か」を扱います。
「マルウェアとは、ただのウイルスのことなのか?」
「感染すると、何が起きるのか?」
「なぜメールや偽サイトから入り込むのか?」
「私たちは何をすれば感染リスクを下げられるのか?」
こうした問いを、攻撃の構造と防御の視点から見ていきます。
次回の【第2回】マルウェアとは何か|ウイルスとの違いと感染を防ぐ基本をわかりやすく解説、シリーズ全体の【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶもあわせてご覧ください。
ここまでお読みいただきありがとうございました。
Veritas Labでは、国際情勢・歴史・科学・心理学・サイバーセキュリティを横断しながら、複雑な世界の構造を読み解いています。
このブログの考え方や、初めての方におすすめの記事は「Veritas Labの歩き方」にまとめています。
もしご興味あればお読みいただけると嬉しいです。
あわせて読みたい本
フィッシング詐欺は、技術だけでなく人間の心理を狙います。
「なぜ人は急がされると判断を誤るのか」
「なぜ権威ある名前を出されると信じやすくなるのか」
「なぜ得をしたい気持ちや不安が行動につながるのか」
こうした心理を学べる本は、フィッシング詐欺を防ぐ視点にもつながります。
この記事では、フィッシング詐欺をサイバーセキュリティの入口として整理しました。
より深く理解したい場合は、影響力、認知バイアス、詐欺心理を扱った本をあわせて読むと、人がだまされる構造が見えやすくなります。
※一部リンクにはアフィリエイトを利用しています。
あなたの負担が増えることはありません。
いただいた収益は、ブログ運営や書籍購入などの学習費に充てています。
- ロバート・B・チャルディーニ, 社会行動研究会『影響力の武器[新版] 人を動かす七つの原理』
- ダニエル カーネマン, 村井 章子『ファスト&スロー』
参考情報・出典候補
- フィッシング対策協議会「フィッシングの報告」
- フィッシングの定義や、フィッシングメール・SMSを受け取った場合の報告方法を確認できます。(アンチフィッシング.jp)
- フィッシング対策協議会「2026/03 フィッシング報告状況」
- 2026年3月のフィッシング報告件数、URL件数、悪用されたブランド件数、スミッシングの傾向などを確認できます。(アンチフィッシング.jp)
- 警察庁「フィッシング対策」
- フィッシング被害を防ぐための基本的な対策を確認できます。(警察庁)
- CISA「Recognize and Report Phishing」
- フィッシングを認識し、報告するための基本的な考え方を確認できます。(CISA)
