業界別フィッシング詐欺被害の実態比較
業界別被害データ(2024年)
| 業界 | 年間推定被害額 | 主な手口 | 狙われる理由 | リスクレベル |
|---|---|---|---|---|
| 金融 | 6,200億円 | 口座情報詐取、不正送金 | 直接的な金銭価値 | ★★★★★ |
| EC・通販 | 450億円 | 偽サイト、なりすまし | 大量の顧客データ・決済情報 | ★★★★★ |
| 医療 | 120億円 | 患者情報窃取、ランサムウェア | 高額で転売可能な医療データ | ★★★★☆ |
| 製造 | 85億円 | 営業秘密窃取、BEC | サプライチェーン攻撃の入口 | ★★★★☆ |
| 公共 | 推定50億円 | 市民情報窃取 | 大量の個人情報 | ★★★☆☆ |
| 教育 | 30億円 | 研究データ窃取 | セキュリティ投資の脆弱さ | ★★★☆☆ |
被害増加率(前年比)
- 医療業界:+73%
- [ランサムウェア](/security/devices/ransomware/)との連携攻撃が急増。フィッシングを入口とした二重脅迫型攻撃が主流に。診療停止による社会的影響も甚大。
- 教育業界:+58%
- BYOD(私物端末の業務利用)の普及により、管理の及ばない端末からの感染が増加。IT予算・人材の不足も深刻。
- 金融業界:+44%
- AIを悪用した巧妙な詐欺メール、ディープフェイクによる音声詐欺が増加。従来の対策をすり抜けるケースが多発。
- EC・通販業界:+38%
- 偽サイトの精巧化、SNS広告を悪用した詐欺が急増。ブランド毀損による間接的被害も大きい。
- 製造業界:+32%
- [ビジネスメール詐欺(BEC)](/security/scams/bec/)による大型被害が増加。[サプライチェーン攻撃](/security/cloud-supply/supply-chain/)の入口としてフィッシングが悪用。
金融業界6,200億円被害の詳細と対策
金融業界が狙われる理由
金融業界は、フィッシング詐欺の被害額で圧倒的な1位です。その理由は明確で、攻撃者にとって最も直接的に金銭を得られる業界だからです。
- 狙われる情報
-
- 銀行口座のログイン情報(ID・パスワード)
- ワンタイムパスワード
- クレジットカード情報
- 証券口座の認証情報
- 暗号資産ウォレットの秘密鍵
- 主な攻撃手口
-
- 偽の銀行サイト:本物と見分けがつかない精巧な偽サイトに誘導
- 緊急を装うメール:「不正アクセスを検知」「口座が凍結される」
- リアルタイムフィッシング:入力情報を即座に正規サイトに中継し、ワンタイムパスワードも突破
- 証券会社偽装:「重要な取引通知」を装い、証券口座を乗っ取り
FISC安全対策基準準拠チェックリスト
金融機関は、FISC(金融情報システムセンター)が策定する「金融機関等コンピュータシステムの安全対策基準・解説書」への準拠が求められます。
- 統制基準(主要項目)
-
- □ 情報セキュリティポリシーの策定と周知
- □ リスク評価の実施(年1回以上)
- □ 内部監査体制の整備
- □ 外部監査の実施
- □ インシデント対応計画の策定
- □ 事業継続計画(BCP)の整備
- □ 従業員教育の実施(年2回以上)
- 実務基準(主要項目)
-
- □ 本人確認の強化(eKYC導入検討)
- □ 取引モニタリングシステムの導入
- □ 不正検知システムの実装(AI活用推奨)
- □ 24時間監視体制の構築
- □ 多要素認証の必須化
- □ セッション管理の厳格化
- □ 振込限度額の設定機能提供
- 設備基準(主要項目)
-
- □ データセンターの物理的セキュリティ
- □ ネットワーク分離(本番環境と開発環境)
- □ バックアップの3世代保管
- □ 災害対策サイトの整備
主要金融機関の対策事例
| 機関種別 | 導入対策 | 投資額 | 効果 |
|---|---|---|---|
| 大手銀行A | AI不正検知システム導入 | 年間3億円 | 被害80%削減 |
| 証券会社B | リアルタイム監視・即時遮断 | 年間1億円 | 即時対応率99% |
| カード会社C | 生体認証導入 | 年間5億円 | 不正利用率0.01% |
| 地方銀行D | 顧客向け啓発強化 | 年間3,000万円 | 被害報告50%減 |
詳細は金融機関を狙うフィッシング詐欺対策および証券会社偽装フィッシング詐欺対策をご覧ください。
医療機関を狙うフィッシング詐欺とランサムウェア
医療業界が狙われる理由
医療データは、クレジットカード情報の10〜20倍の価値で闇市場で取引されると言われています。氏名、生年月日、住所に加え、病歴、処方薬、保険情報など、なりすましや詐欺に悪用できる情報が豊富だからです。
- 狙われる情報
-
- 患者の個人情報(氏名、住所、生年月日)
- 診療記録(病歴、処方薬)
- 保険証情報
- 医療従事者の認証情報
- 医療機器のアクセス権限
- 医療機関特有のリスク
-
- 人命への影響:システム停止が患者の生命に直結
- 24時間稼働:メンテナンス時間の確保が困難
- IT人材不足:専任のセキュリティ担当者がいない
- レガシーシステム:古い医療機器がセキュリティの穴に
ランサムウェアとの危険な連携
医療機関へのサイバー攻撃の73%は、フィッシングメールが入口となっています。そして、その多くがランサムウェア攻撃へと発展します。
- 攻撃の典型的な流れ
-
- フィッシングメールで初期侵入:医療機器メーカーや保健所を装ったメールで認証情報を窃取、またはマルウェア添付
- マルウェア感染・権限昇格:院内ネットワークに侵入し、管理者権限を取得
- 横展開で電子カルテサーバーへ到達:重要システムを特定し、アクセス
- データ暗号化+窃取(二重脅迫):データを暗号化しつつ、外部に持ち出し
- 身代金要求:「支払わなければ患者データを公開する」と脅迫
- 国内被害事例(2024年、匿名化)
-
- X病院(500床規模):診療停止72時間、手術延期15件、復旧費用2億円
- Yクリニック(個人経営):患者データ5,000人分流出、行政指導
- Z医療法人(3施設):完全復旧まで2ヶ月、風評被害で患者数20%減
- 身代金の実態
- 平均要求額は約3,000万円。支払っても復旧できる保証はなく、支払いは推奨されません。
ランサムウェア対策の詳細は、専用ページをご確認ください。
3省2ガイドライン準拠
医療機関は、厚生労働省「医療情報システムの安全管理に関するガイドライン」(通称:3省2ガイドライン)への準拠が求められます。
- 6.1 組織的安全管理措置
-
- 医療情報システム運用責任者の設置
- 運用管理規程の策定
- 定期的な教育(年2回以上推奨)
- 監査実施(年1回以上)
- 6.2 物理的安全管理措置
-
- 入退室管理(ICカード等による認証)
- 機器の盗難防止(施錠管理)
- 覗き見防止(プライバシーフィルター)
- 6.5 技術的安全管理措置
-
- アクセス制御(職種別の権限設定)
- アクセスログ管理(3年以上保存)
- 暗号化(256bit以上の強度)
- 定期的な脆弱性診断
- 6.6 人的安全管理措置
-
- 守秘義務の明確化
- 退職者のアクセス権即時削除
- 外部委託先の管理
小規模クリニック向け現実的対策
大病院のような予算がない小規模クリニックでも、以下のような現実的な対策が可能です。
| 対策 | 月額費用 | 効果 |
|---|---|---|
| クラウド電子カルテ移行 | 3,000円〜 | セキュリティ管理をベンダーに委託 |
| UTM(統合脅威管理) | 5,000円〜 | ファイアウォール、アンチウイルス一括 |
| クラウドバックアップ | 2,000円〜 | ランサムウェア対策の最終防衛線 |
| 従業員教育(年4回) | 約1,000円相当 | 人的リスクの低減 |
詳細は医療機関のフィッシング詐欺対策をご覧ください。
教育機関の脆弱性と対策強化
教育機関特有の脆弱性
教育機関は、セキュリティ投資が企業の1/5程度と言われており、攻撃者にとって「狙いやすい」ターゲットです。
| 課題 | 現状 | リスク | 対策 |
|---|---|---|---|
| IT予算不足 | 企業の1/5程度 | 最新対策の導入困難 | 助成金・補助金の活用 |
| 専任人材不足 | 専任セキュリティ担当0名 | インシデント対応の遅延 | 外部委託、ISAC活用 |
| BYOD | 学生・教職員の私物端末 | マルウェア持ち込み | MDM導入、ネットワーク分離 |
| セキュリティ意識 | 教育実施なし | 被害拡大 | 定期研修の実施 |
| オープンな文化 | 情報共有重視 | 過剰な情報公開 | 公開範囲の見直し |
狙われる情報と攻撃手口
- 狙われる情報
-
- 学生・教職員の個人情報
- 研究データ(特に先端技術、医学研究)
- 知的財産
- 各種システムの認証情報
- 奨学金、授業料に関する情報
- 典型的な攻撃手口
-
- 大学事務局を装うメール:「奨学金の手続き」「成績確認」を装い、学生の認証情報を窃取
- 研究助成金を装うメール:教授を狙い、「助成金申請の確認」で研究データにアクセス
- 就職情報を装うメール:学生を狙い、「内定通知」「選考結果」で個人情報を窃取
- IT部門を装うメール:「パスワード更新」「システムメンテナンス」で認証情報を窃取
文部科学省ガイドライン準拠
教育機関は、文部科学省「教育情報セキュリティポリシーに関するガイドライン」への準拠が求められます。
- 基本方針の策定
- 学校長のリーダーシップの下、情報セキュリティに関する基本方針を策定し、公開する。
- 対策基準の策定
- 基本方針に基づき、具体的な対策基準(何を、どのレベルで守るか)を策定する。
- 実施手順の作成
- 対策基準を実現するための具体的な手順(誰が、いつ、どのように実施するか)を文書化する。
- 監査・見直し
- 年1回以上の監査を実施し、PDCAサイクルを回す。
- 教育・啓発
-
- 教職員研修(年2回以上推奨)
- 児童生徒への情報モラル教育
教育機関向け現実的対策(月額3万円プラン)
| 対策 | 費用 | 効果 |
|---|---|---|
| Google Workspace for Education | 無料 | メールセキュリティ、クラウドストレージ |
| 基本UTM | 月額2万円 | 境界防御 |
| 教職員研修(年4回) | 年間10万円(月額約8,000円相当) | 人的リスク低減 |
| 標的型メール訓練 | 年間5万円(月額約4,000円相当) | 意識向上 |
詳細は教育機関のフィッシング詐欺対策をご覧ください。
EC・通販業界の偽装サイト対策
EC業界が直面する脅威
EC・通販業界は、顧客データと決済情報の両方を保有しているため、攻撃者にとって魅力的なターゲットです。また、ブランドを偽装した詐欺サイトによる間接的被害も深刻です。
- 直接的被害
-
- 顧客アカウントの乗っ取り
- クレジットカード情報の窃取
- 不正注文・不正返品
- ポイントの不正利用
- 間接的被害(ブランド偽装)
-
- 偽サイトによる顧客被害 → ブランドイメージの毀損
- なりすましメールによる信頼低下
- 偽アプリによる被害
- SNS偽広告による詐欺
偽サイト対策フレームワーク
- 1. 検知(Detection)
-
- ブランドモニタリングサービス:自社ブランドを使用した偽サイトを自動検出
- 顧客通報窓口の設置:顧客からの「偽サイトを見つけた」報告を受け付け
- AI画像認識:自社ロゴや商品画像を使用した偽サイトを検出
- フィッシング対策協議会への情報提供依頼:業界全体での情報共有
- 2. 対処(Response)
-
- テイクダウン要請:ホスティング事業者、ドメインレジストラへの削除依頼(平均48時間)
- ドメイン差し押さえ:法的手続きによるドメインの無効化
- Googleセーフブラウジングへの報告:ブラウザでの警告表示
- 顧客への注意喚起:公式サイト、SNS、メールでの告知
- 3. 予防(Prevention)
-
- 商標登録の強化:ブランド名、ロゴの商標登録
- ドメインの防衛的登録:類似ドメインを先に取得
- DMARC/SPF/DKIMの実装:なりすましメール対策
- 顧客教育:正規サイトの見分け方を周知
主要ECサイトの対策事例
- Amazon
-
- 課題:偽装サイト月間1,000件以上
- 対策:AI画像認識による偽サイト検出システム導入
- 効果:検出率90%向上、テイクダウン時間50%短縮
- 楽天
-
- 課題:なりすましメール1日10万件以上
- 対策:DMARC完全導入(p=reject)
- 効果:なりすましメール到達率95%削減
- メルカリ
-
- 課題:偽アプリによる被害
- 対策:App Store/Google Playの監視強化、ブランド保護チーム設置
- 効果:偽アプリ削除までの時間を72時間→24時間に短縮
詳細はEC・通販業界のフィッシング詐欺対策をご覧ください。
製造業界のサプライチェーンリスク
製造業が狙われる理由
製造業は、ビジネスメール詐欺(BEC)やサプライチェーン攻撃の主要ターゲットです。取引先が多く、送金頻度が高いことが狙われる理由です。
- 狙われる情報・資産
-
- 営業秘密(製品設計図、製造プロセス)
- 取引先情報
- サプライチェーンへのアクセス権
- 大型送金の認可権限
- 典型的な攻撃パターン
-
- 取引先偽装BEC:「振込先口座が変わりました」と偽装し、大型送金を詐取
- 経営者偽装BEC:CEOやCFOを装い、経理担当者に緊急送金を指示
- サプライチェーン攻撃の入口:取引先のシステムに侵入し、そこから本丸へ
製造業向け対策
- BEC対策
-
- 送金承認の複数人体制:一定額以上は必ず2名以上で承認
- 振込先変更時の電話確認:メールでの振込先変更依頼は必ず電話で確認
- 緊急依頼への対応ルール:「今すぐ」「内密に」は詐欺の典型
- サプライチェーン対策
-
- 取引先のセキュリティ評価:契約時にセキュリティ要件を明記
- ネットワーク分離:取引先接続用ネットワークを分離
- EDRの導入:侵入後の横展開を検知・阻止
業界横断的なベストプラクティス
ISAC(情報共有組織)の活用
ISAC(Information Sharing and Analysis Center)は、業界ごとにサイバー脅威情報を共有する組織です。単独では得られない脅威情報を、業界全体で共有することで、攻撃を未然に防ぐことができます。
| ISAC名 | 対象業界 | 会員数 | 年会費目安 | 主な活動 |
|---|---|---|---|---|
| 金融ISAC | 金融 | 約400社 | 50万円〜 | 脅威情報共有、インシデント対応支援 |
| ICT-ISAC | 通信・IT | 約60社 | 30万円〜 | インシデント対応、脆弱性情報共有 |
| 電力ISAC | 電力 | 約30社 | 100万円〜 | 重要インフラ防護 |
| J-AUTO-ISAC | 自動車 | 約20社 | 要相談 | コネクテッドカーセキュリティ |
| 医療ISAC | 医療 | 構築中 | - | 2025年設立予定 |
ISAC活用による効果
- 攻撃の予兆察知
- 他社で発生した攻撃情報が共有されることで、平均**48時間前**に攻撃の予兆を察知できます。
- 被害拡大防止
- 同業他社の被害情報から、自社への攻撃を未然に防止。被害拡大を**80%削減**できたという報告も。
- 対策コスト削減
- 脅威情報の収集・分析を共同で行うことで、単独で行う場合と比較して**30%のコスト削減**。
規制・ガイドライン準拠マップ
業界別コンプライアンス要件
| 業界 | 主要規制・ガイドライン | 違反時の罰則 | 対応コスト目安 |
|---|---|---|---|
| 金融 | FISC安全対策基準 | 業務改善命令、業務停止 | 年間500万円〜 |
| 医療 | 3省2ガイドライン | 行政指導、公表 | 年間200万円〜 |
| 教育 | 文科省ガイドライン | 補助金停止 | 年間100万円〜 |
| EC・通販 | 特定商取引法、割賦販売法 | 業務停止、罰金 | 年間50万円〜 |
| 全業界共通 | 個人情報保護法 | 1億円以下の罰金 | 規模による |
| 上場企業 | 会社法、J-SOX | 課徴金、訴訟リスク | 年間300万円〜 |
個人情報保護法への対応
2022年の改正個人情報保護法により、データ漏洩発生時の報告義務が強化されました。フィッシング被害による個人情報漏洩も報告対象となります。
- 報告義務の発生条件
-
- 要配慮個人情報の漏洩
- 財産的被害のおそれがある漏洩
- 不正アクセスによる漏洩
- 1,000人を超える漏洩
- 報告期限
-
- 速報:発覚から3〜5日以内に個人情報保護委員会へ
- 確報:発覚から30日以内(不正アクセスの場合は60日以内)
- 本人通知義務
- 漏洩した個人の本人に対しても、原則として通知が必要。
関連ページ
業界別詳細ガイド
関連する攻撃手法
- フィッシング詐欺とは? - ピラーページ
- ランサムウェア
- ビジネスメール詐欺(BEC)
- サプライチェーン攻撃
- データ漏洩
- 不正アクセス
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する法的助言ではありません
- 記載されている被害額は推定値であり、公式統計とは異なる場合があります
- 規制・ガイドラインの内容は2025年11月時点の情報であり、改定される可能性があります
- 具体的な規制対応については、専門家にご相談ください
最終更新日:2025年11月27日
出典・参考資料
- FISC(金融情報システムセンター)「金融機関等コンピュータシステムの安全対策基準」
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」
- 文部科学省「教育情報セキュリティポリシーに関するガイドライン」
- 個人情報保護委員会
- 警察庁サイバー犯罪統計
- 各業界ISAC公開情報
📍 ナビゲーション
🏠 フィッシング詐欺完全ガイドTOP
現在地: TOP > 業界別対策
📂 主要カテゴリー
- 📰 最新情報・速報
- 🔧 技術者向け対策
- 📋 手口と事例
- 🛡️ 対策・防御方法
- 🚨 被害時の対応
- 🏢 業界別対策 ← 現在のページ
📄 業界別対策の詳細ページ
金融業界
サービス業界
公共・その他
📊 業界別年間被害額(2025年)
- 金融業界:6,200億円
- EC・通販:450億円
- 医療機関:120億円
- その他:230億円
更新履歴
- 初稿公開