2025年フィッシング詐欺12の主要手口マップ
手口の全体像
フィッシング詐欺の手口は、危険度と発生頻度によって3つのカテゴリに分類できます。
| カテゴリ | 危険度 | 構成比 | 該当する手口 | 特徴 |
|---|---|---|---|---|
| 従来型手口 | ★★★☆☆ | 70% | メール、SMS、音声 | 大量配信、成功率は低いが被害総数は多い |
| 新興型手口 | ★★★★☆ | 25% | QRコード、SNS、偽広告、SEO汚染 | 新しい接点を悪用、検知が困難 |
| 高度型手口 | ★★★★★ | 5% | AI悪用、リアルタイム、標的型 | 成功率が高く、1件あたりの被害額が大きい |
従来型手口(危険度★★★☆☆)—全体の70%
- 1. メールフィッシング(構成比40%)
- 最も一般的な手口です。銀行、ECサイト、公的機関を装ったメールで偽サイトに誘導し、認証情報やクレジットカード情報を窃取します。大量に配信されるため、被害総数は最も多くなっています。詳細はメールフィッシング詐欺の全てをご覧ください。
- 2. SMSフィッシング/スミッシング(構成比20%)
- SMSを使った詐欺で、宅配業者や銀行を装う手口が主流です。スマートフォンの画面が小さくURLの確認が困難なため、メールより騙されやすい傾向があります。SMS詐欺(スミッシング)対策ガイドで詳しく解説しています。
- 3. 音声フィッシング/ビッシング(構成比10%)
- 電話を使った詐欺で、自動音声やオペレーターが銀行員や公的機関の職員を装います。高齢者が特に狙われやすく、AI音声クローンの登場で見破りが困難になっています。音声フィッシング(ビッシング)の脅威をご確認ください。
新興型手口(危険度★★★★☆)—全体の25%
- 4. QRコードフィッシング/クイッシング(構成比8%)
- 2025年に急増している手口です。駐車場、飲食店、公共施設の正規QRコードの上に偽コードを貼り付け、スキャンした人を詐欺サイトに誘導します。QRコードの中身は目視で確認できないため、検知が極めて困難です。QRコード詐欺(クイッシング)の手口で対策を確認してください。
- 5. SNSフィッシング(構成比7%)
- Twitter(X)、Instagram、FacebookなどのSNSで、DMや偽アカウントを使って詐欺を行います。友人のアカウントが乗っ取られ、そこから詐欺リンクが送られるケースも増えています。SNS経由フィッシング詐欺をご覧ください。
- 6. ソーシャルメディア偽広告(構成比5%)
- SNSやWebサイトに表示される広告を偽装し、正規サイトに見せかけた詐欺サイトに誘導します。有名人やインフルエンサーを無断で使用した投資詐欺広告が特に問題になっています。
- 7. SEOポイズニング(構成比5%)
- 検索エンジンの検索結果上位に詐欺サイトを表示させる手口です。「○○銀行 ログイン」などで検索した際に、正規サイトより上位に偽サイトが表示されることがあります。
高度型手口(危険度★★★★★)—全体の5%
- 8. AI・ディープフェイクフィッシング(構成比2%)
- 生成AIで自然な詐欺文面を作成したり、ディープフェイクで本人になりすましたりする最新手口です。従来の「日本語の不自然さ」という判別ポイントが通用しなくなっています。AI・ディープフェイクフィッシング詐欺で詳しく解説しています。
- 9. リアルタイムフィッシング(構成比1.5%)
- 被害者が偽サイトに入力した情報をリアルタイムで正規サイトに中継し、二要素認証を突破する高度な手口です。リアルタイムフィッシング詐欺をご確認ください。
- 10. スピアフィッシング(構成比1%)
- 特定の個人や組織を徹底的に調査し、カスタマイズされた攻撃を行う標的型手口です。成功率は通常のフィッシングの100倍とも言われています。スピアフィッシング攻撃で対策を確認してください。
- 11. ホエーリング(構成比0.3%)
- CEO、CFOなど経営層を狙った高額詐欺です。[ビジネスメール詐欺(BEC)](/security/scams/bec/)と連携し、1件あたり数千万円〜数億円の被害が発生します。ホエーリング攻撃をご覧ください。
- 12. アングラーフィッシング(構成比0.2%)
- SNSで企業の公式サポートアカウントを装い、問い合わせてきたユーザーを騙す手口です。正規アカウントに似せた偽アカウントで、困っているユーザーに接近します。
メール系フィッシング詐欺の全パターン
メールフィッシングは、依然として最も多いフィッシング手口です。その攻撃パターンは大きく4つに分類できます。
1. 通常テキストメール型
最もシンプルな形式で、プレーンテキストのメールに偽サイトへのリンクを含めます。
- 特徴
- 装飾がないためスパムフィルターをすり抜けやすい。短縮URLで偽装先を隠蔽することが多い。シンプルな文面で警戒心を下げる効果がある。
- 典型的な文面
- 「お客様のアカウントが制限されています。以下のリンクから確認してください。」「セキュリティ上の理由により、アカウント情報の更新が必要です。」
- 見分けるポイント
- 短縮URLの使用、具体的な理由の欠如、宛名が「お客様」など汎用的。
2. HTMLメール型
本物の企業メールそっくりのデザインで、視覚的に信頼させる手口です。
- 特徴
- 企業ロゴ、カラースキーム、フッターまで精巧にコピー。画像にリンクを埋め込み、表示URLと実際のリンク先を異なるものにする。JavaScriptで動的にリンク先を変更することも。
- 典型的な手口
- 「ログイン」ボタンの画像に偽サイトへのリンクを設定。マウスオーバーで表示されるURLと実際のリンク先が異なる。
- 見分けるポイント
- リンクにカーソルを合わせて実際のURLを確認。画像の解像度が低い、ロゴが古いデザイン。
3. 添付ファイル型
メール本文ではなく、添付ファイルを使って攻撃する手口です。マルウェア感染への入口にもなります。
- Office文書(Word、Excel)
- マクロを有効にすると悪意あるスクリプトが実行される。「マクロを有効にしてください」という指示に従うと感染。
- PDFファイル
- PDFに偽装リンクを埋め込み、クリックすると詐欺サイトに誘導。Adobe Acrobat Readerの脆弱性を悪用するケースも。
- 圧縮ファイル(ZIP、RAR)
- セキュリティソフトの検知を回避するために圧縮。パスワード付きZIPは特に検知が困難。
4. なりすまし型
送信者情報を偽装して、信頼できる相手からのメールに見せかける手口です。
| 手口 | 説明 | 例 | 見分け方 |
|---|---|---|---|
| Display Name偽装 | 表示名だけを偽装 | 「Amazon」 |
実際のメールアドレスを確認 |
| Similar Domain | 似たドメインを取得 | amazon-support.jp | 正規ドメインと照合 |
| Homograph攻撃 | 似た文字で偽装 | аmazon.co.jp(aがキリル文字) | URLを手入力で確認 |
| Cousin Domain | 関連ドメインを偽装 | amazon-japan.co.jp | 公式サイトで確認 |
詳細はメールフィッシング詐欺の全てをご覧ください。
実際のフィッシングメール例文集2025
実際に確認されているフィッシングメールの例を、ブランド別に紹介します。なお、これらは実例を参考に作成した模擬例であり、実際の詐欺メールとは異なります。
Amazon偽装パターン
例1:プライム会員更新を装う手口
件名:【重要】Amazonプライム会員資格の更新について
お客様へ、
お客様のAmazonプライム会員資格が2025年11月20日に期限切れとなります。
サービスを継続してご利用いただくには、以下より更新手続きをお願いします。
▼更新はこちら
https://amaz0n-jp.update-prime.com/renew
※24時間以内に手続きが完了しない場合、サービスが停止されます。
Amazon カスタマーサービス
- 危険ポイント1:緊急性を煽る期限設定
- 「24時間以内」という表現で焦らせ、冷静な判断を妨げています。
- 危険ポイント2:曖昧な宛名
- 正規のAmazonメールは個人名で呼びかけますが、詐欺メールは「お客様」という汎用表現です。
- 危険ポイント3:偽装ドメイン
- 「amaz0n」(oがゼロ)や「update-prime.com」など、正規ドメインではないURLが使われています。
正規メールとの比較
| 項目 | 正規メール | 詐欺メール |
|---|---|---|
| 差出人アドレス | @amazon.co.jp | @amazon-service.com等 |
| 宛名 | 「○○様」(個人名) | 「お客様」「会員様」 |
| リンク先 | amazon.co.jp直下 | 外部ドメイン |
| 期限の設定 | 余裕のある期限 | 「24時間以内」など緊急 |
| 文末の署名 | 詳細な連絡先 | 簡素または無し |
銀行偽装パターン
例2:セキュリティ更新を装う手口
件名:【○○銀行】重要なお知らせ:セキュリティシステム更新のお願い
○○銀行をご利用いただきありがとうございます。
当行では、お客様の大切な資産を守るため、セキュリティシステムの
更新を実施しております。つきましては、以下のリンクより
本人確認手続きをお願いいたします。
▼本人確認はこちら
https://○○bank-security.jp/verify
手続きが完了しない場合、オンラインバンキングのご利用を
一時的に制限させていただく場合がございます。
○○銀行 セキュリティセンター
- 危険ポイント1:パスワード入力の要求
- 正規の銀行がメールでパスワードや暗証番号の入力を求めることはありません。
- 危険ポイント2:脅迫的な表現
- 「利用を制限」という脅迫的な表現で、恐怖心を煽っています。
- 危険ポイント3:偽ドメイン
- 「○○bank-security.jp」など、正規ドメインに「-security」等を追加した偽ドメインが使われています。
宅配偽装パターン
例3:不在通知を装うSMS
【ヤマト運輸】お荷物をお届けしましたが不在でした。
再配達はこちらから:https://yamato-redelivery.com/xxxxx
- 危険ポイント
- 正規のヤマト運輸はSMSで不在通知を送りません。また、再配達依頼は公式サイトまたは公式アプリからのみ行えます。
SMS/メッセージ系フィッシング詐欺の急増
スミッシングの現状【危険度★★★★★】
SMS詐欺(スミッシング)は、2025年に最も急増している手口の一つです。スマートフォンの画面が小さくURLの確認が困難なこと、SMSは「公式からの連絡」という認識が強いことが、被害拡大の要因となっています。
よくあるSMS詐欺パターン
- パターン1:宅配偽装
- 「お荷物をお届けしましたが不在でした」「配送状況をご確認ください」というメッセージで偽サイトに誘導。正規の宅配業者はSMSで不在通知を送らないことを覚えておきましょう。
- パターン2:銀行偽装
- 「【○○銀行】不正ログインを検知しました」「口座が凍結されます」という緊急性の高いメッセージ。恐怖心を煽り、偽のログインページに誘導します。
- パターン3:キャリア偽装
- 「【重要】料金未払いのため利用停止予定」「ご利用料金の確認」というメッセージ。通信キャリアを装い、支払い情報を窃取します。
- パターン4:税務署・公的機関偽装
- 「【国税庁】重要なお知らせがあります」「還付金の手続きが必要です」というメッセージ。公的機関への信頼を悪用します。
- パターン5:当選・懸賞偽装
- 「おめでとうございます!○○に当選しました」「景品の受け取り手続きをお願いします」というメッセージ。欲望につけ込む手口です。
SMS詐欺を見分けるチェックリスト
以下のポイントをチェックすることで、SMS詐欺を見分けることができます。
- □ 送信元が短縮番号ではなく、通常の携帯番号になっていないか
- □ 身に覚えのない配送や取引に関する内容ではないか
- □ URLが短縮されていたり、不審なドメインではないか
- □ 「今すぐ」「24時間以内」など緊急性を煽っていないか
- □ 個人情報やパスワードの入力を求めていないか
- □ 公式アプリで同じ通知が来ているか確認したか
- □ SMSの送信元として適切な企業か(宅配業者はSMS不在通知を送らない)
- □ 日本語に不自然な点はないか
- □ リンク先のサイトにSSL証明書があるか(それでも安全とは限らない)
- □ 不審に思ったら、公式サイトに直接アクセスして確認したか
詳細な対策はSMS詐欺(スミッシング)対策ガイドをご覧ください。
音声・通話を使った新たな脅威
ビッシングの実態【危険度★★★★☆】
音声フィッシング(ビッシング)は、電話を使った詐欺です。自動音声ガイダンスやオペレーターが公的機関や企業を装い、個人情報や金銭を詐取します。
国内1億円被害事例の詳細分析
2025年、国内で音声ディープフェイクを使用したビッシングにより、約1億2,000万円の被害が発生しました。
- 被害企業
- 東北地方の建設会社(従業員約200名)
- 手口の詳細
-
- 第1段階:自動音声:「銀行のセキュリティセンターです。お客様の口座で不審な取引が検知されました」という自動音声で接触
- 第2段階:オペレーター接続:「詳しい担当者に繋ぎます」として、人間のオペレーターに転送
- 第3段階:信頼構築:親会社のCFOの声をAIで複製した音声で「緊急の資金移動が必要」と指示
- 第4段階:送金実行:経理担当者が指示に従い、海外口座に約1億2,000万円を送金
- 使われた心理操作
- 権威性(銀行、親会社)× 緊急性(すぐに対応が必要)× 恐怖(不正利用の被害)の組み合わせ
- 防げたポイント
- 送金指示があった場合は、必ず公式の連絡先に折り返し電話で確認するルールがあれば防止できた可能性が高い。
AI音声クローンの脅威
従来のビッシングは「声が違う」ことで見破れる可能性がありましたが、AI音声クローン技術の発達により、わずか3秒の音声サンプルから本人そっくりの声を合成できるようになりました。
| 項目 | 2020年以前 | 2023年 | 2025年現在 |
|---|---|---|---|
| 必要な音声サンプル | 数時間 | 30秒〜1分 | 3秒程度 |
| 生成品質 | 機械的で不自然 | かなり自然 | ほぼ本人と区別不能 |
| リアルタイム会話 | 不可能 | 限定的 | 実用レベル |
| 必要なコスト | 数百万円 | 数万円 | 無料〜数千円 |
| 検知の難易度 | 容易 | 中程度 | 極めて困難 |
- YouTubeやSNSの動画から音声サンプルを取得
- リアルタイムでの会話も可能になりつつある
- 電話での本人確認が機能しなくなるリスク
詳細は音声フィッシング(ビッシング)の脅威をご覧ください。
AI技術悪用による巧妙化の実態
生成AI悪用の具体例【危険度★★★★★】
AI・ディープフェイクフィッシングは、従来のフィッシング対策を根本から覆す脅威です。
1. ChatGPT等による詐欺メール作成
- 従来の詐欺メールの特徴
- 文法ミス、不自然な敬語、翻訳調の表現など、「日本語のおかしさ」で見破ることができた。
- AI生成詐欺メールの特徴
- 文法ミスゼロ、自然な敬語、企業の文体を模倣。さらに、ターゲットのSNS情報を分析し、パーソナライズされた内容を生成。従来の判別方法が通用しない。
- 具体例
- 「○○様、先日ご購入いただいた商品の配送について、住所確認が必要となりました」——実際に購入履歴がある場合、信じてしまう可能性が高い。
2. 音声クローンによるなりすまし電話
- 技術の現状
- 3秒程度の音声サンプルから、本人そっくりの声を合成可能。リアルタイムでの会話にも対応しつつある。
- 悪用例
- 上司、取引先担当者、家族の声を複製し、電話で送金指示。「声が本人だから」という信頼を悪用。
- 被害事例
- 2024年、英国で親会社CEOの声を複製した電話詐欺により、約3,500万円が詐取された事例が報告されている。
3. ディープフェイク動画によるビデオ会議詐欺
- 香港38億円被害の概要
- 2024年、香港の多国籍企業で、CFOを装ったディープフェイク動画によるビデオ会議で、従業員が約38億円の送金を実行。複数の参加者が映っていたが、全員が偽物だった。
- 技術的背景
- リアルタイムで顔を入れ替える技術(DeepFaceLive等)が進化。Zoom、Teams等のビデオ会議で使用可能になっている。
- 見破りの困難さ
- 現時点では、技術的な検知は極めて困難。「ビデオ会議で見たから本人」という前提が崩れつつある。
防御困難性の指標
従来のフィッシングと比較した場合、AI悪用フィッシングは成功率が5倍、検知率が1/3とされています。
詳細はAI・ディープフェイクフィッシング詐欺をご覧ください。
標的型・高度化する手口
標的型攻撃の詳細
- スピアフィッシング
-
特定の個人や組織を徹底的に調査し、その人だけに向けたカスタマイズ攻撃を行う手口です。
- 情報収集:SNS、LinkedIn、企業サイトから個人情報を収集
- 信頼関係の偽装:共通の知人、同じ大学出身など接点を装う
- 成功率:通常のフィッシングの約100倍(30%程度)
- 主なターゲット:IT管理者、経理担当者、経営層
スピアフィッシング攻撃で詳しく解説しています。
- ホエーリング
-
CEO、CFO、役員など経営層のみを標的とした高額詐欺です。
- 平均被害額:5,000万円以上(通常のフィッシングの約20倍)
- 手口:ビジネスメール詐欺(BEC)と連携し、大型送金を指示
- 特徴:事前に徹底的な調査、タイミングを計った攻撃(出張中、決算期等)
ホエーリング攻撃をご確認ください。
- APT(Advanced Persistent Threat)連携
-
国家レベルの組織的攻撃で、フィッシングは初期侵入の入口として使われます。
- 目的:長期潜伏による機密情報の窃取、インフラ破壊
- 特徴:検知を避けながら数ヶ月〜数年にわたり活動
- 関連:標的型攻撃(APT)、サプライチェーン攻撃
- クローンフィッシング
-
過去に送られた正規のメールをコピーし、リンクだけを差し替えて再送信する手口です。
- 手口:「先ほどのメールにリンク切れがありました」と再送を装う
- 危険性:過去に受け取ったメールと同じ内容のため、信頼してしまう
- 対策:予期しない「再送」メールは疑う
手口別の危険度と対策マトリックス
各フィッシング手口に対する対策の効果を一覧にまとめました。
| 手口 | 二要素認証 | メールフィルタ | URL確認 | 従業員教育 | パスワード管理 | 総合効果 |
|---|---|---|---|---|---|---|
| メールフィッシング | ◎ | ◎ | ○ | ◎ | ◎ | 高 |
| SMSフィッシング | ◎ | △ | ◎ | ○ | ◎ | 中 |
| 音声フィッシング | ○ | × | × | ◎ | ○ | 中 |
| QRコードフィッシング | ◎ | × | ◎ | ○ | ◎ | 中 |
| SNSフィッシング | ◎ | × | ○ | ○ | ◎ | 中 |
| AI悪用フィッシング | △ | △ | △ | ◎ | ○ | 低 |
| リアルタイムフィッシング | △ | ○ | ○ | ○ | ○ | 低 |
| スピアフィッシング | ○ | △ | ○ | ◎ | ○ | 中 |
| ホエーリング | ○ | △ | ○ | ◎ | ○ | 中 |
凡例:◎=非常に有効 / ○=有効 / △=効果限定的 / ×=効果なし
対策の組み合わせが重要
上記の表からわかるように、単一の対策で全ての手口に対応することは不可能です。特にAI悪用やリアルタイムフィッシングに対しては、従来の対策だけでは不十分であり、従業員教育と多層防御の組み合わせが重要です。
詳細な対策についてはフィッシング詐欺対策の完全ガイドをご覧ください。
フィッシング詐欺で使われる6つの心理原則
攻撃者は、人間の心理的な弱点を巧みに突いてきます。フィッシング詐欺で使われる6つの心理原則を理解することで、騙されるリスクを大幅に減らすことができます。
- 1. 権威(Authority)
-
公的機関や大企業を装うことで、「信頼できる相手からの連絡」と思わせます。
例:「警察庁」「国税庁」「○○銀行セキュリティセンター」を名乗る
対策:公的機関がメールやSMSで個人情報を要求することは稀。公式サイトで確認を。
- 2. 希少性(Scarcity)
-
「限定」「残りわずか」などの表現で、機会を逃す恐怖を煽ります。
例:「本日限定キャンペーン」「先着100名様」
対策:「限定」を強調するオファーは疑ってかかる。
- 3. 緊急性(Urgency)
-
「今すぐ」「24時間以内」などの期限を設定し、冷静な判断をさせません。
例:「24時間以内に対応しないとアカウント停止」
対策:緊急性を煽るメールは一度深呼吸して、公式サイトで確認。
- 4. 恐怖(Fear)
-
「アカウント停止」「不正利用」などの脅威で恐怖心を煽ります。
例:「お客様のアカウントが不正利用されています」
対策:恐怖を感じたら、それ自体が詐欺のサインかもしれません。
- 5. 互恵性(Reciprocity)
-
「特典」「還付金」などのプレゼントで、お返しをしなければという心理を利用します。
例:「○○ポイントプレゼント」「還付金のお知らせ」
対策:「もらえる」系のメールは特に慎重に。公式サイトで確認を。
- 6. 社会的証明(Social Proof)
-
「他の人もやっている」という安心感を演出します。
例:「多くのお客様にご利用いただいています」「○○名様が登録済み」
対策:他者の行動を理由に判断しない。
詳細はフィッシング詐欺の心理学をご覧ください。
関連ページ
手口別の詳細ガイド
- メールフィッシング詐欺の全て
- SMS詐欺(スミッシング)対策ガイド
- 音声フィッシング(ビッシング)の脅威
- QRコード詐欺(クイッシング)の手口
- SNS経由フィッシング詐欺
- AI・ディープフェイクフィッシング詐欺
- リアルタイムフィッシング詐欺
- スピアフィッシング攻撃
- ホエーリング攻撃
- フィッシング詐欺の心理学
関連する攻撃手法
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
- 記載されている詐欺メールの例文は、実例を参考に作成した模擬例であり、実際の詐欺メールとは異なります
- 実際に被害に遭われた場合は、警察(#9110)や消費生活センター(188)などの公的機関にご相談ください
- 手口は日々進化しているため、最新情報はフィッシング詐欺の最新情報・速報 2025でご確認ください
最終更新日:2025年11月27日
出典・参考資料
- フィッシング対策協議会(https://www.antiphishing.jp/)
- 警察庁サイバー犯罪統計
- IPA 情報処理推進機構(https://www.ipa.go.jp/)
- Robert Cialdini『影響力の武器』
📍 ナビゲーション
🏠 フィッシング詐欺完全ガイドTOP
現在地: TOP > 手口と事例
📂 主要カテゴリー
- 📰 最新情報・速報
- 🔧 技術者向け対策
- 📋 手口と事例 ← 現在のページ
- 🛡️ 対策・防御方法
- 🚨 被害時の対応
- 🏢 業界別対策
📄 手口と事例の詳細ページ
基本的な手口
- [危険度:★★★] メールフィッシング(例文30種)
- [危険度:★★★★] SMS詐欺(スミッシング)
- [危険度:★★★★] 音声詐欺(ビッシング)
- [危険度:★★★] QRコード詐欺
新しい手口
- [危険度:★★★★] SNS経由詐欺
- [危険度:★★★★★] AI・ディープフェイク詐欺
- [危険度:★★★★★] リアルタイムフィッシング
高度な手口
- [危険度:★★★★★] スピアフィッシング
- [危険度:★★★★★] ホエーリング(経営層狙い)
- 2025年最新事例集
- 心理的手法の解説
- フィッシングの歴史と進化
⚠️ 危険度レベル
- ★★★ = 中程度の危険
- ★★★★ = 高い危険
- ★★★★★ = 非常に高い危険
更新履歴
- 初稿公開