フィッシングを初心者でも分かりやすく解説

2025年10月06日作成

2025年12月04日更新

用語

「あなたのアカウントが不正利用されました。すぐにこちらで確認してください」──信頼できる企業からのメールに見えても、それはフィッシングかもしれません。実在する銀行、通販サイト、宅配業者などを装った偽のメールで、本物そっくりの偽サイトに誘導し、パスワードやクレジットカード情報を盗み取る詐欺・なりすまし（人の心理を狙う）手法です。技術的な脆弱性ではなく、「信頼」「緊急性」「恐怖」といった人間の心理を巧みに操るサイバー攻撃であるため、どれだけセキュリティ対策をしていても、一瞬の油断で被害に遭う可能性があります。この記事では、フィッシングの手口から被害事例、そして騙されないための見分け方と具体的なセキュリティ対策まで、初心者にも分かりやすく解説します。

フィッシング詐欺とは

公式定義と基本概念

フィッシング詐欺（英語表記：Phishing、読み方：フィッシング）とは、実在する企業や公的機関を装った偽のメールやWebサイトを使い、個人情報や金融情報を騙し取るサイバー攻撃の一種です。

総務省の定義によると、フィッシングとは「実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取すること」とされています。

IPA（情報処理推進機構）も同様に、「金融機関やECサイトなどを装った偽のメールやSMSを送り付け、本物そっくりの偽サイトに誘導して、ID・パスワードやクレジットカード情報を入力させる手口」と説明しています。

両者に共通するのは、信頼できる組織になりすまして被害者を騙すという点です。技術的な脆弱性を突くのではなく、人間の心理的な弱点を狙うソーシャルエンジニアリングの代表的な手法といえます。

「Phishing」の語源と由来

「Phishing」という言葉は、「fishing（魚釣り）」に由来しています。偽のメールやサイトという「餌」を使って、被害者という「魚」を「釣り上げる」様子から名付けられました。

「f」ではなく「ph」と綴るのは、1970年代に電話回線を不正利用していた「Phone Phreaking（フォン・フリーキング）」というハッカー文化からの派生とされています。この「ph」は、ハッカー界隈で技術的な悪用を示す符丁として使われてきた歴史があります。

フィッシング詐欺の歴史

フィッシング詐欺の歴史は、インターネットの普及とともに始まりました。

1996年：AOL事件（世界初の大規模フィッシング）: アメリカのインターネットサービスプロバイダAOLの利用者を標的に、偽のログインページでアカウント情報を盗む手口が登場。これが「フィッシング」という言葉が使われた最初の事例とされています。
2000年代：金融機関を標的とした本格化: オンラインバンキングの普及に伴い、銀行やクレジットカード会社を装ったフィッシングが急増。被害額も大幅に増加しました。
2010年代：スマートフォン普及に伴う手口の多様化: SMSを使った「スミッシング」、音声通話を使った「ビッシング」など、新たな手口が次々と登場。標的型攻撃（スピアフィッシング）も増加しました。
2020年代：AI悪用とランサムウェア連携の高度化: 生成AIによる自然な詐欺文面の作成、ディープフェイクによるなりすまし、ランサムウェアとの連携など、攻撃の高度化が進んでいます。

詳しい歴史については、フィッシング詐欺の歴史と進化をご覧ください。

類似用語との違い

フィッシング詐欺と混同されやすい用語について整理します。

スキャミング（Scamming）: 詐欺全般を指す広い概念です。フィッシングはスキャミングの一種であり、特にオンラインでの個人情報詐取に特化した手口を指します。
なりすまし（Spoofing）: 送信元のメールアドレスやWebサイトのURLを偽装する技術です。フィッシングで多用される手段の一つですが、なりすまし自体は手段であり、フィッシングは目的を含んだ概念です。
ソーシャルエンジニアリング: 人間の心理を操って情報を引き出す手法全般を指します。フィッシングはソーシャルエンジニアリングの代表的な実行形態の一つです。
スパム（Spam）: 迷惑メール全般を指す言葉です。フィッシングメールはスパムの一種ですが、すべてのスパムがフィッシングではありません。広告目的のスパムと、情報詐取目的のフィッシングは区別されます。
マルウェア配布: 悪意あるソフトウェアを拡散する行為です。フィッシングはマルウェア感染の配布経路として利用されることがあり、両者は密接に関連しています。

簡単に言うと（専門用語を使わない説明）

日常生活での例え

フィッシング詐欺を理解するために、日常生活での例えを見てみましょう。

フィッシング詐欺の日常的な例え
日常の例え	ネット上での手口
偽の銀行員が家に来て「セキュリティ確認のため」と言って通帳と印鑑を預かろうとする	銀行を装ったメールで「口座確認が必要です」と称してIDとパスワードを入力させる
偽の警察官が「事件の関係者確認」と身分証明書のコピーを要求する	警察や官公庁を装ったSMSで「手続きが必要」と個人情報を要求する
知らない人が親戚を装って電話で「事故を起こした、示談金が必要」と金を要求	知人や取引先を装ったメールで「緊急の振込が必要」と送金を要求する
偽の宅配業者が「届け先確認」として住所や連絡先を聞き出す	宅配業者を装ったSMSで「不在通知」としてリンクをクリックさせ、個人情報を入力させる

つまり、「信頼できる相手のふりをして、大切な情報やお金を騙し取る」という点では、昔からある詐欺と同じです。違うのは、インターネットを使うことで、一度に大量の人を狙えるようになったことです。

なぜ騙されてしまうのか

フィッシング詐欺に騙されてしまう理由は、主に3つあります。

本物そっくりのデザイン: 偽サイトや偽メールは、本物の企業のロゴやデザインを精巧にコピーしています。見た目だけでは区別がつかないことも珍しくありません。
焦りを感じさせる: 「今すぐ対応しないとアカウントが停止されます」「24時間以内に確認してください」など、冷静な判断をさせない工夫がされています。
信頼している組織からの連絡に見える: 普段利用している銀行、通販サイト、宅配業者からの連絡だと思い込むと、疑う気持ちが薄れてしまいます。

こうした心理的なテクニックについては、フィッシング詐欺の心理学で詳しく解説しています。フィッシング詐欺の手口と事例大全もあわせてご覧ください。

注意喚起

「自分は騙されない」と思っている人ほど危険です。フィッシング詐欺の被害者には、ITに詳しい人や若い世代も含まれています。年齢、職業、ITスキルに関係なく、誰でも被害に遭う可能性があることを認識しておきましょう。

2025年フィッシング詐欺の衝撃的な被害実態

2025年フィッシング詐欺被害の実態（2025年11月時点）
項目	数値	前年比	備考
年間被害件数	171万8,036件	+44%	過去最高を更新
被害総額	6,200億円	+52%	証券詐欺被害含む
1日平均件数	約4,700件	—	約3分に1件の頻度
平均被害額	約280万円	+18%	高額化傾向
法人被害件数	約12万件	+67%	中小企業が8割

被害増加の3大要因

なぜこれほど被害が増加しているのでしょうか。主な要因は3つあります。

1. AI技術の悪用による巧妙化: ChatGPT等の生成AIで自然な日本語の詐欺文面を大量生成できるようになりました。音声クローン技術で本人そっくりの音声を再現し、電話詐欺に悪用するケースも増えています。さらにディープフェイクによる動画なりすましで、ビデオ会議での詐欺も可能になっています。詳しくはAI悪用フィッシング詐欺の脅威動向をご覧ください。
2. リモートワークの定着による標的増加: 自宅のセキュリティ環境は企業ネットワークより脆弱です。私用デバイスと業務の混在によるリスク増大、IT部門の監視が届きにくい環境での作業が増えたことで、攻撃者にとって狙いやすい環境が広がっています。
3. 暗号資産ブームに便乗した詐欺急増: 投資熱を悪用した詐欺サイトの乱立、ウォレット情報の窃取、取引所を装ったフィッシングなど、暗号資産関連の詐欺が急増しています。

業界別の被害状況

業界によって被害の傾向は大きく異なります。

業界別フィッシング詐欺被害の傾向（2025年）
業界	年間推定被害額	主な手口	前年比
金融	6,200億円	口座情報詐取、不正送金	+44%
EC・通販	450億円	偽サイト、なりすまし	+38%
医療	120億円	患者情報窃取、ランサムウェア連携	+73%
教育	30億円	研究データ窃取	+58%

業界ごとの詳細な対策については業界別フィッシング詐欺対策で解説しています。特に被害が急増している医療機関については医療機関を狙うフィッシング詐欺対策をご確認ください。

フィッシング詐欺の主要な手口と種類

手口の分類と危険度

フィッシング詐欺には様々な手口があります。2025年時点での主要な12種類を、危険度とともに整理しました。

フィッシング詐欺の主要手口と危険度（2025年版）
手口	危険度	主なターゲット	特徴
メールフィッシング	★★★★☆	全ユーザー	最も一般的、大量配信型
スミッシング（SMS詐欺）	★★★★★	スマホユーザー	急増中、宅配偽装が多い
ビッシング（音声詐欺）	★★★★☆	高齢者	AI音声クローンで巧妙化
スピアフィッシング	★★★★★	企業・組織	標的型、成功率が高い
ホエーリング	★★★★★	経営層	高額被害に直結
クイッシング（QRコード詐欺）	★★★★☆	全ユーザー	2025年急増、検知困難
SNSフィッシング	★★★★☆	若年層	DM経由、アカウント乗っ取り
リアルタイムフィッシング	★★★★★	全ユーザー	二要素認証を突破
AI・ディープフェイク詐欺	★★★★★	企業	動画・音声で本人偽装
クローンフィッシング	★★★★☆	企業	過去の正規メールを複製
ファーミング	★★★☆☆	全ユーザー	DNS改ざんによる誘導
同意画面フィッシング	★★★★☆	SaaS利用者	OAuth悪用、権限奪取

各手口の詳細はフィッシング詐欺の手口と事例大全でご確認いただけます。

2025年の新手口TOP3

2025年に特に注目すべき新しい手口を紹介します。

🥇 第1位：AIディープフェイクによるビデオ通話詐欺: 経営者や取引先担当者になりすましたビデオ通話で送金を指示する手口です。香港では約38億円の被害事例が報告されています。リアルタイムで顔を入れ替える技術により、技術的な見破りが極めて困難になっています。詳しくはディープフェイク詐欺をご覧ください。
🥈 第2位：リアルタイム中継型フィッシング（MITM）: 被害者が入力した情報をリアルタイムで正規サイトに中継する手口です。二要素認証のワンタイムパスワードも突破してしまう最先端の攻撃方法で、従来の対策では防ぎきれないケースが増えています。技術的な対策については【エンジニア向け】技術対策ガイドで解説しています。
🥉 第3位：QRコード詐欺（クイッシング）の急増: 駐車場の精算機、飲食店のメニュー、公共施設の案内など、正規のQRコードの上に偽コードを貼り付ける手口です。スマホカメラで読み取るだけで詐欺サイトに誘導されてしまいます。

これらの新手口は、従来の「怪しいメールに注意」という対策だけでは防ぎきれません。フィッシング詐欺の手口と事例大全で最新の手口を把握し、フィッシング詐欺対策の完全ガイドで対策を確認しておくことが重要です。

最新の脅威：AI時代のフィッシング詐欺

ChatGPT等による詐欺メール文章の自然化

従来のフィッシングメールは、不自然な日本語や誤字脱字が特徴でした。「親愛なるお客様」といった翻訳調の表現や、敬語の使い方のおかしさから見破ることができました。

しかし、生成AIの登場により状況は一変しています。ChatGPT等を使えば、誤字脱字ゼロ、敬語も正確、企業の文体まで模倣した詐欺メールを大量に生成できるようになりました。

従来の「日本語がおかしければ詐欺」という判断基準は、もはや通用しません。

音声クローンによるビッシング

わずか数秒の音声サンプルがあれば、本人そっくりの声を合成できる技術が普及しています。この技術を悪用し、「孫」「上司」「取引先担当者」の声で電話をかける詐欺が発生しています。

ある企業では、CFOの声をクローンした電話により、経理担当者が数千万円を送金してしまった事例が報告されています（企業名は非公開）。

ディープフェイク動画でのなりすまし

2024年に香港で発生した事例では、CFOを装ったディープフェイク動画によるビデオ会議で、従業員が約38億円の送金を実行してしまいました。複数の参加者が映っていたにもかかわらず、全員が偽物だったのです。

リアルタイムでの顔入れ替え技術は急速に進化しており、現時点では技術的な検知が極めて困難です。詳しくはAI・ディープフェイクフィッシング詐欺およびディープフェイク詐欺をご覧ください。

リアルタイムフィッシング（二要素認証突破）

リアルタイムフィッシングは、二要素認証を突破する最先端の手口です。

攻撃の仕組み

被害者が偽サイトにアクセス
被害者がID・パスワードを入力
攻撃者がリアルタイムで正規サイトにログイン
正規サイトから被害者に二要素認証コードが送信
被害者が偽サイトにコードを入力
攻撃者がそのコードを使って正規サイトにログイン完了

この攻撃に対しては、SMS認証ではなくFIDOセキュリティキーやパスキーの使用が有効です。技術的な対策の詳細は【エンジニア向け】フィッシング詐欺技術対策ガイドをご覧ください。

PhaaS（Phishing as a Service）の実態

ダークウェブでは、PhaaS（Phishing as a Service）と呼ばれるサービスが販売されています。月額200〜500ドル程度で、フィッシングキット、ホスティング、ログ収集ツールがセットになっています。

技術知識がなくても、誰でも攻撃者になれる環境が整っているのです。これがフィッシング詐欺の急増の一因となっています。

最新のAI悪用動向についてはAI悪用フィッシング詐欺の脅威動向 2025で詳しく解説しています。

フィッシングとランサムウェアの危険な連携

初期侵入経路としてのフィッシング

IBMの調査によると、ランサムウェア攻撃の初期侵入経路の約80%がフィッシング経由とされています。つまり、ランサムウェア対策を考える上で、フィッシング対策は避けて通れません。

たった1通のメールを開いただけで、組織全体のデータが人質に取られる可能性があるのです。

Emotet→ランサムウェアの攻撃チェーン

フィッシングメールからランサムウェア感染に至る典型的な流れを解説します。

第1段階：フィッシングメール受信: Wordマクロ付きファイルやリンクを含むメールが届きます。請求書や見積書を装っていることが多いです。
第2段階：Emotet感染: ファイルを開いてマクロを有効にすると、Emotetというマルウェアがダウンロード・実行されます。
第3段階：横展開: Emotetが社内ネットワークに拡散し、認証情報を収集します。ボットネットとしても機能します。
第4段階：ランサムウェア展開: 収集した情報を使い、Conti等のランサムウェアが展開されます。
第5段階：データ暗号化・身代金要求: 重要ファイルが暗号化され、復号キーと引き換えに金銭（多くは暗号資産）を要求されます。

医療機関での実例

ある医療機関では、フィッシングメールを起点としたランサムウェア攻撃により、72時間にわたって診療が停止しました。電子カルテにアクセスできなくなり、予約システムも使用不能に。患者情報の流出リスクも発生し、復旧コストと風評被害は甚大なものとなりました。

医療機関における対策の詳細は医療機関を狙うフィッシング詐欺対策をご覧ください。

二重脅迫型ランサムウェアへの発展

最近のランサムウェアは、データを暗号化するだけでなく、窃取したデータの公開をちらつかせる「二重脅迫」が主流になっています。身代金を支払っても、データが公開されるリスクがあり、対応は極めて困難です。

統合的な防御アプローチ

フィッシングとランサムウェアの連携攻撃に対しては、メールセキュリティだけでは不十分です。以下を組み合わせた多層防御が必要です：

メールセキュリティ：フィッシングメールのブロック
EDR（Endpoint Detection and Response）：マルウェア感染の検知と対応
バックアップ：暗号化されても復旧できる体制
従業員教育：不審なメールを開かない意識づけ

技術的な多層防御の実装については【エンジニア向け】フィッシング詐欺技術対策ガイドで詳しく解説しています。

サプライチェーン攻撃の入口となるフィッシング

SolarWinds事例の詳細分析

2020年に発覚したSolarWinds事件は、史上最大規模のサプライチェーン攻撃として知られています。ネットワーク管理ソフトウェア「Orion」の更新プログラムにマルウェアが仕込まれ、18,000社以上が影響を受けました。

この攻撃の初期侵入経路の一部にフィッシングが関与していたとされています。一度サプライチェーンに入り込めば、そこから多数の企業に攻撃を展開できるため、攻撃者にとって効率の良い手法なのです。

取引先偽装メールの具体例

サプライチェーン攻撃の入口として使われるフィッシングの具体例を紹介します。

サプライチェーン攻撃に使われるフィッシングパターン
パターン	手口	見破りポイント
請求書偽装	「振込先が変更になりました」と偽の口座を通知	電話で直接確認する
緊急発注偽装	「急ぎで発注したい」と不正サイトへ誘導	取引実績を確認する
システム連携偽装	「システム更新のため再ログインを」と認証情報窃取	正規ルートで確認する

これらはビジネスメール詐欺（BEC）とも密接に関連しています。

中小企業が踏み台にされる理由

大企業を直接攻撃するのは難しいため、攻撃者はまずセキュリティの弱い中小企業を狙います。

セキュリティ投資が大企業の1/10以下
専任のセキュリティ担当者がいない
しかし大企業との取引があり、アクセス権を持っている

中小企業がサプライチェーンの弱点となり、そこから大企業への攻撃が行われるのです。中小企業向けの現実的な対策は中小企業のフィッシング詐欺対策をご覧ください。

サードパーティリスクの可視化方法

サードパーティリスクを管理するには、以下が重要です：

取引先のセキュリティ評価の実施
契約時のセキュリティ要件の明記
定期的な監査とBEC対策の確認

狙われやすい人・組織の特徴

高リスク層の分析

フィッシング詐欺に狙われやすい人・組織には特徴があります。

高齢者（65歳以上）: ITリテラシーの低さ、判断力の低下、孤独感につけ込まれやすいのが特徴です。平均被害額は280万円で、全体平均の約2倍に達しています。架空請求や還付金詐欺との複合被害も多く見られます。対策については高齢者のフィッシング詐欺対策をご覧ください。
中小企業（従業員50名以下）: セキュリティ投資が大企業の1/10以下で、専任担当者不在が7割以上です。サプライチェーンの弱点として狙われ、取引先への攻撃の踏み台にされるリスクがあります。中小企業のフィッシング詐欺対策で対策を確認してください。
医療機関: 24時間稼働のため即座の対応が困難で、患者データは高値で取引されます。ランサムウェアとの複合攻撃で診療停止に追い込まれるケースが増加しています。医療機関を狙うフィッシング詐欺で詳しく解説しています。
教育機関: 学生・教職員のセキュリティ意識にばらつきがあり、オープンなネットワーク環境が特徴です。研究データや個人情報が標的になります。教育機関のフィッシング詐欺対策をご参照ください。
金融機関・その顧客: 直接的な金銭被害に繋がるため、最も狙われる業界です。金融機関を狙うフィッシング詐欺対策で業界特有の対策を確認してください。
個人投資家: 暗号資産・株式投資ブームに便乗した詐欺が急増しています。「儲かる話」への心理的脆弱性があり、証券口座の乗っ取り被害が2025年に激増しています。
経理・財務担当者: 送金権限を持つため、ビジネスメール詐欺（BEC）の最優先ターゲットです。上司や取引先を装った送金指示に対応してしまうケースが多く報告されています。

自己診断チェックリスト

以下に当てはまる項目が多いほど、フィッシング詐欺のリスクが高いといえます。

□ パスワードを複数サービスで使い回している
□ 二段階認証を設定していない
□ 迷惑メールフィルターを確認したことがない
□ 公共Wi-Fiで機密情報を扱うことがある
□ SNSで個人情報を多く公開している
□ セキュリティソフトを導入していない
□ 「自分は騙されない」と思っている

3つ以上当てはまる場合は、フィッシング詐欺対策の完全ガイドで対策を確認してください。

フィッシング詐欺を見破る7つのチェックポイント

フィッシング詐欺を見破るための具体的なチェックポイントを紹介します。

1. URL確認方法

チェックポイント：https://の直後のドメインを確認

正規URL例：

https://www.amazon.co.jp/
https://www.rakuten.co.jp/

偽装URL例：

https://www.amazon-security.co.jp/ ←「-security」が追加されている
https://www.arnazon.co.jp/ ←「m」が「rn」に置き換えられている
https://amazon.co.jp.fake-site.com/ ←本物の後ろに偽ドメインがある
https://www.amazon.co.jp.verify.com/ ←サブドメイン偽装
https://www.аmazon.co.jp/ ←キリル文字の「а」を使用（見た目はほぼ同じ）

2. 送信元メールアドレスの検証手順

確認すべきポイント：

表示名と実際のアドレスが異なるパターン：表示名は「Amazon」でも、実際のアドレスが「support@amazn-security.com」のような偽ドメインになっている
正規ドメインに似せた偽ドメイン：「amazon.co.jp」ではなく「arnazon.co.jp」や「amazon-support.jp」など
フリーメール使用：企業からの連絡がGmailやYahoo!メールから来ることは通常ありません

3. 文面の日本語不自然さ

よくあるパターンを10個紹介します。

フィッシングメールに見られる不自然な日本語パターン
パターン	例
敬語の混乱	「ご確認してください」（正：ご確認ください）
句読点の位置異常	「。」が文中に入っている
漢字の誤用	「確認」→「確忍」
不自然な改行	単語の途中で改行される
翻訳調の表現	「親愛なるお客様」
時制の混乱	「明日までに対応した」
主語の欠落	企業名が一度も出てこない
数字表記の不統一	「３日」と「5日」が混在
固有名詞の誤り	正式名称と異なる表記
署名の不備	担当者名・連絡先がない

4. 緊急性を煽る表現

以下のような表現があれば要注意です：

「24時間以内に対応しないとアカウント停止」
「今すぐ確認しないと不正利用される」
「本日中の対応が必要です」
「至急ご確認ください」
「異常なログインを検知しました」

正規の企業が、このような極端な緊急性を煽ることは稀です。

5. 個人情報要求の異常性判断

以下の情報をメールやSMSで要求されたら詐欺を疑ってください：

クレジットカード番号の全桁
パスワード（正規企業がメールで聞くことはありません）
マイナンバー
セキュリティコード（CVV）

6. デザイン・ロゴの違和感

チェックポイント：

解像度の低いロゴ画像：ぼやけている、ピクセルが荒い
古いデザインの使用：数年前のデザインが使われている

7. 要求内容の妥当性

正規企業がメールでパスワードを聞くことはありません
電話番号への折り返し要求は要注意（偽のサポートセンターに繋がる可能性）
添付ファイルの実行を促すのは危険

詳しい確認方法はフィッシング詐欺かどうか確かめる方法で解説しています。

今すぐできる基本対策5選

個人でも今すぐ実践できる、効果の高い対策を紹介します。詳細はフィッシング詐欺対策の完全ガイドをご覧ください。

対策1：二段階認証設定【難易度：初級、所要時間：10分】

最も効果的な防御策の一つです。パスワードが漏洩しても、第二の認証があれば不正アクセスを防げる可能性が高まります。

推奨：SMS認証よりも認証アプリ（Google Authenticator、Microsoft Authenticator）を使用してください。多要素認証バイパスのリスクを低減できます。

対策2：パスワード管理ツール導入【難易度：初級、所要時間：30分】

パスワードの使い回しは最大のリスクです。Bitwarden（無料）などの管理ツールで一元管理しましょう。

対策3：メールフィルター強化【難易度：初級、所要時間：15分】

Gmail、Outlook、Yahoo!メールの迷惑メールフィルター設定を見直しましょう。不審な送信元をブロックリストに追加することで、フィッシングメールの受信を減らせます。

対策4：ブラウザ最新化【難易度：初級、所要時間：5分】

Chrome、Firefox、Edge、Safariを常に最新版に保ちましょう。セキュリティパッチが適用され、既知のフィッシングサイトの警告機能も更新されます。

対策5：月次確認習慣【難易度：初級、所要時間：月10分】

毎月1回、銀行・クレジットカードの利用明細、主要サービスのログイン履歴を確認する習慣をつけましょう。

さらに詳しい対策はフィッシング詐欺対策の完全ガイドや個人のフィッシング詐欺対策完全ガイドをご覧ください。

企業・組織が取るべき多層防御

企業や組織では、個人対策に加えて組織的な防御体制が必要です。

3層構造での多層防御

企業向けフィッシング対策の多層防御構造
層	対策項目	年間予算目安	効果
技術層	WAF（Web Application Firewall）	100万円〜	Webサイトへの攻撃をブロック
	DMARC/SPF/DKIM		メール偽装を防止
	SIEM		ログ分析で異常検知
	EDR		端末の不審な挙動を検知
組織層	CSIRT設置	50万円〜	インシデント対応チーム
	BCP策定		事業継続計画
	インシデント対応計画		被害発生時の手順明確化
人的層	セキュリティ教育	30万円〜	従業員の意識向上
	標的型メール訓練		実践的な対応力向上
	定期的な注意喚起		最新手口の共有

技術的な対策の詳細は【エンジニア向け】フィッシング詐欺技術対策ガイドで解説しています。DMARC等のメール認証実装はDMARC/SPF/DKIM完全実装ガイドをご覧ください。

組織体制については企業のフィッシング詐欺対策体制、従業員教育はフィッシング詐欺対策の従業員教育をご覧ください。

フィッシング詐欺被害に遭ったら

万が一、フィッシング詐欺の被害に遭ってしまった場合の対応手順です。最初の30分が勝負です。詳しくはフィッシング詐欺被害の対応ガイドをご覧ください。

緊急対応チェックリスト（30分以内）

□ 0-5分：金融機関への連絡: クレジットカード会社に電話、銀行口座の利用停止依頼、不正利用の有無確認
□ 5-10分：パスワード変更: 被害に遭ったサービスのパスワード変更、同じパスワードを使用している他サービスも変更、二段階認証の設定確認
□ 10-20分：証拠保全: フィッシングメール/SMSのスクリーンショット、偽サイトのURL記録、入力した情報の記録、送金履歴の保存
□ 20-30分：通報・相談: 警察相談専用ダイヤル（#9110）、消費生活センター（188）、フィッシング対策協議会への情報提供

詳しい手順はフィッシング被害直後30分の緊急対応をご覧ください。

主要クレジットカード会社緊急連絡先

クレジットカード会社緊急連絡先
カード会社	緊急連絡先	24時間対応
VISA（三井住友カード）	0120-919-456	○
JCB	0120-794-082	○
American Express	0120-020-120	○
楽天カード	0120-86-6910	○

被害対応の全体像はフィッシング詐欺被害の対応ガイドで解説しています。通報先の詳細はフィッシング詐欺の通報先一覧をご参照ください。

よくある質問（FAQ）

Q: フィッシング詐欺かどうか確かめる方法は？: A: URL確認、送信元メールアドレスの検証、公式サイトからの直接アクセスの3つの方法で確認できます。疑わしい場合は、メール内のリンクは絶対にクリックせず、必ずブックマークや検索エンジンから公式サイトにアクセスして確認してください。詳しくはフィッシング詐欺かどうか確かめる方法をご覧ください。
Q: フィッシングメールを開いてしまったらどうすればいい？: A: メールを開いただけでは、通常は被害に遭いません。ただし、添付ファイルを開いたり、リンクをクリックしてIDやパスワードを入力した場合は、すぐにパスワード変更と金融機関への連絡が必要です。詳しい対応手順はフィッシング詐欺被害の対応ガイドで解説しています。
Q: フィッシング詐欺の被害に遭ったらお金は戻ってくる？: A: クレジットカードの不正利用は、カード会社の補償制度により返金される可能性があります。ただし、自ら送金した場合や、一定期間内に届け出なかった場合は補償対象外となることもあります。被害に気づいたら、できるだけ早く金融機関に連絡することが重要です。フィッシング詐欺の金銭被害回復も参考にしてください。
Q: スマートフォンでもフィッシング詐欺に遭う？: A: はい、むしろスマートフォンはフィッシング詐欺の主要なターゲットです。SMSを使ったスミッシング、アプリを装ったマルウェア、QRコード詐欺など、スマートフォン特有の手口が急増しています。SMS詐欺（スミッシング）対策ガイドをご確認ください。
Q: 二段階認証を設定していれば安全？: A: 二段階認証は非常に有効な対策ですが、「リアルタイムフィッシング」という手口で突破されるケースもあります。より安全性を高めるには、SMSではなくFIDOセキュリティキーやパスキーの使用を推奨します。詳しくはフィッシングに強い認証方式をご覧ください。
Q: 会社のメールでフィッシング詐欺を受け取ったら？: A: 絶対にリンクをクリックしたり、添付ファイルを開いたりせず、すぐにIT部門またはセキュリティ担当者に報告してください。企業向けの対策は企業のフィッシング詐欺対策体制で解説しています。
Q: フィッシング詐欺サイトを見つけたら通報できる？: A: はい、フィッシング対策協議会の報告フォーム（ https://www.antiphishing.jp/ ）や、Google Safe Browsingへの報告が可能です。通報先の詳細はフィッシング詐欺の通報先一覧をご確認ください。

カテゴリ	ページ	主な内容
最新情報	フィッシング詐欺の最新情報・速報 2025	最新被害事例、統計、注意喚起
技術対策	【エンジニア向け】技術対策ガイド	WAF、DMARC、AI検知、SIEM
手口・事例	フィッシング詐欺の手口と事例大全	12種類の手口、心理学、実例
対策	フィッシング詐欺対策の完全ガイド	個人・企業別対策、ツール比較
被害対応	フィッシング詐欺被害の対応ガイド	緊急対応、回復、通報先
業界別	業界別フィッシング詐欺対策	金融、医療、教育、EC別対策

本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
実際に被害に遭われた場合は、警察（#9110）や消費生活センター（188）などの公的機関にご相談ください
法的な対応が必要な場合は、弁護士などの専門家にご相談ください
記載内容は作成時点（2025年11月）の情報であり、手口は日々進化している可能性があります
統計データは各公的機関の公表資料に基づいていますが、集計方法により数値が異なる場合があります

最終更新日：2025年11月27日

出典・参考資料

フィッシング対策協議会（ https://www.antiphishing.jp/ ）
警察庁サイバー犯罪統計
IPA 情報処理推進機構（ https://www.ipa.go.jp/ ）
総務省サイバーセキュリティ関連資料
金融庁金融犯罪対策関連資料