フィッシングは、本物に見せかけたメール、SMS、チャット、Webサイトなどを使い、認証情報や個人情報、クレジットカード情報をだまし取る攻撃です。
銀行、ECサイト、クラウドサービス、社内システム、取引先などを装うことが多く、サイバー攻撃の入口として非常に多く使われます。
まず押さえたいポイント
- 本物らしい連絡やログイン画面で利用者をだます
- ID、パスワード、ワンタイムコード、個人情報を狙う
- メールだけでなく、SMS、SNS、チャット、広告でも起きる
- 生成AIにより、自然な文面や個別化された攻撃が作りやすくなっている
どんな場面で使われるか
企業では、Microsoft 365、Google Workspace、VPN、経費精算、請求書、クラウドストレージ、採用連絡などを装ったフィッシングが問題になります。
個人向けでは、銀行、宅配、通販、決済サービス、携帯キャリアを装う例が多いです。
攻撃者は、利用者に偽サイトへログインさせたり、添付ファイルを開かせたり、送金処理を急がせたりします。
認証情報を奪われると、メールボックス、クラウド、社内システムへ侵入され、さらに別の攻撃に使われる可能性があります。
よくある誤解
フィッシングは、不自然な日本語だけを見れば防げるものではありません。
生成AIを使うと、自然な文章、業界に合わせた表現、相手の役職や業務に合わせた依頼文を作りやすくなります。
また、利用者教育だけで完全に防ぐのも難しいです。
疲れているとき、急いでいるとき、業務フローに見えるときは、注意していても引っかかることがあります。
実務で見るポイント
対策は、教育、MFA、パスキー、メール認証、URLフィルタ、添付ファイル検査、送金承認フローを組み合わせます。
特に管理者アカウントや経理・人事・情シスのアカウントは狙われやすいため、認証強化と権限分離が重要です。
AI時代には、文面の違和感ではなく、手続きそのものを確認する運用が大事になります。
「急ぎの送金」「認証コード入力」「ファイル共有の再ログイン」は、別経路で確認する習慣を作ると被害を減らしやすいです。