最近のフィッシング詐欺は、本物のメールやサービス画面と見分けがつかないレベルで作り込まれており、手口を事前に知っておかなければ気づけません。
そのため、対策に取り組むうえで、実例の確認は非常に重要です。
そこでこの記事では、フィッシング詐欺の被害状況から、最新手口、有名企業をかたった実例、そして見分け方まで解説します。
フィッシング詐欺の被害状況|件数・被害額の最新データ
フィッシング詐欺を対策するためには、実態を数字で把握し、理解を深める必要があります。
「ニュースで聞いたことがある」という段階から、「自分にも起きうる問題だ」と認識を改めましょう。
フィッシング詐欺の報告件数の推移(直近3年)
フィッシング対策協議会のデータを見ると、フィッシング詐欺の報告件数は右肩上がりが続いています。
| 年 | 年間フィッシング報告件数 |
|---|---|
| 2022年 | 約96万件 |
| 2023年 | 約119万件 |
| 2024年 | 171万8,036件(過去最多) |
参考:フィッシング対策協議会「フィッシングレポート2023」「フィッシングレポート2024」「フィッシングレポート2025」
2024年だけで前年比約1.4倍という増加ペースです。
2024年12月の単月報告件数は23万2,290件に達しており、年末年始の繁忙期を狙った攻撃が集中していることがわかります。
日本で特に多いフィッシング詐欺のターゲット企業
どの企業をかたったフィッシングが多いのかを把握しておくと、受信時の警戒心が変わります。
フィッシング対策協議会の2024年10月月次報告によると、ブランド別の構成比は以下のとおりです。
参考:フィッシング対策協議会「月次報告書」
同月の単体ブランドでは、Amazon が全体の約26.8%を占めトップでした。
次いでヤマト運輸・東京電力・JCB・プロミスの順になっています。
日常的に利用するサービスの名前が多く並んでいることに注目してください。
「普段使っているから油断する」という心理を、攻撃者は狙っています。
フィッシング詐欺の実例一覧|手口別まとめ
フィッシング詐欺の手口は、大きく「メール型」「SMS型」「SNS・ビジネスツール型」の3つに分類できます。
それぞれ誘導経路と偽装方法が異なるため、手口ごとに特徴を押さえておくことが重要です。
メール型フィッシング詐欺の実例
メール型は、件数・被害額ともに最も規模が大きいフィッシング手口です。
差出人に「Amazon.co.jp」「楽天市場」「〇〇銀行」と表示されたメールが届き、「アカウントが停止されました」「不審なログインが確認されました」といった文面で偽サイトへ誘導されます。
典型的な文面パターンは以下のとおりです。
| 件名の例 | 偽装対象 |
|---|---|
| 「プライムの自動更新設定を解除いたしました」 | Amazon |
| 「現在カードのご利用が一時停止されました」 | クレジットカード会社 |
| 「三菱UFJ銀行が不正利用を検知」 | 銀行 |
| 「登録情報の確認および更新のお願い」 | 楽天証券 |
参考:フィッシング対策協議会「緊急情報」各種公開情報をもとに作成
これらのメールには、正規サービスのロゴ・レイアウトを模倣した偽サイトへのリンクが含まれており、URLだけが本物と異なります。
差出人の表示名は誰でも自由に設定できるため、「Amazon」と表示されているからといって安全とは言えません。
必ず@以降のドメインを確認する習慣が必要です。
SMS型フィッシング詐欺(スミッシング)の実例
SMS型フィッシング詐欺(スミッシング)は、スマートフォンのショートメッセージを悪用した手口です。
「お荷物をお届けできませんでした。再配達は以下よりお手続きください」というように、日常的に受け取る通知を装ったSMSが届き、短縮URLをクリックさせます。
宅配業者・携帯キャリア・税務署・マイナンバー関連の通知に見せかけたパターンが多く確認されています。
SMS型の特徴は、メールフィルターをすり抜けやすく、スマートフォンでそのまま表示されるため画面が小さくURLを確認しにくい点です。
SMS型の見分け方として、以下の3点をチェックするとよいでしょう。
- ・心当たりのある荷物や未払い請求かどうか確認する
- ・短縮URL(bit.lyなど)が含まれている場合は特に注意する
- ・リンクをクリックせず、公式アプリや公式サイトから直接確認する
慌てさせるような文面のSMSが届いても、すぐに対応せず、まずは事実確認を行ってください。
SNS・ビジネスツール型フィッシング詐欺の実例(Googleカレンダー悪用を含む)
近年急増しているのが、LINEやSlackなどのビジネスチャットツール、そしてGoogleカレンダーを悪用した手口です。
通常のメールフィルターでは検出されにくく、信頼性の高いプラットフォームを経由するため気づきにくいのが特徴です。
Googleカレンダーなりすまし攻撃の実例
2024年12月に公開されたCheck Point社の調査によると、わずか4週間で300の組織を標的に4,000件以上の偽のカレンダー招待が送信されていたことが明らかになりました。
参考:Check Point「Googleカレンダーの通知がメールセキュリティポリシーを回避する」
攻撃の仕組みは以下のとおりです。
- 1.攻撃者がGoogleカレンダー経由で偽の会議招待を送信する
- 2.メールヘッダーは正規のGoogleサービスから送信されたように見えるため、メール認証を通過してしまう
- 3.カレンダーの招待には、GoogleフォームやGoogleドローイングへのリンクを含む.icsファイルが添付されている
- 4.リンクをクリックすると、reCAPTCHAや「サポートボタン」を模倣した偽ページへ誘導される
- 5.最終的に暗号資産マイニングサイトや偽の本人確認ページへ転送され、クレジットカード情報や個人情報を入力させられる
さらに攻撃者は、一度送信したカレンダーイベントをキャンセルして「メモ」を追加する操作も行います。
このメモは参加者全員にメールで送信されるため、フィッシングメールの送信回数が事実上倍増する仕組みになっています。
Googleカレンダーは世界で5億人以上が利用しており、普段から招待を受け取ることに慣れているため、不審に気づきにくいのが問題点です。
LINEやSlackを悪用したフィッシングの実例
LINEを装った手口では、「アカウントが危険にさらされています」「本人確認が必要です」というDMが届き、偽のLINEログインページへ誘導されます。
Slackを悪用したケースでは、信頼できる同僚のアカウントを乗っ取ったうえでチャットを送信する手口も確認されており、ビジネス上の連絡に見せかけられているため気づきにくいのが特徴です。
フィッシング詐欺対策なら
フィッシング詐欺対策をするなら、 迷惑メールブロック機能やWebフィルタリング機能があるUTMがおすすめです。
有名企業をかたるフィッシング詐欺の実例
日本国内で特に多く報告されている、有名企業をかたったフィッシング詐欺の実例を紹介します。
実際にどのような文面・誘導手口が使われているかを知っておくことで、受信時の判断精度が上がります。
Amazonをかたるフィッシング詐欺
Amazonをかたるフィッシング詐欺は、国内で最も報告件数の多い手口のひとつで、前述のとおり2024年10月時点で全フィッシングの約26.8%を占めています。
典型的な件名のパターンは以下のとおりです。
- ・「ご注文の確認ができません」
- ・「アカウントが一時停止されました。今すぐ確認してください」
- ・「不審なアクティビティが検出されました」
- ・「お支払い方法の更新が必要です」
本文には正規のAmazonロゴと似たデザインが使われ、「今すぐ確認する」ボタンを押すと偽のAmazonログインページに誘導されます。
差出人アドレスには amazon-security-alert.com や amazon-jp-verify.net のような偽ドメインが使われており、@amazon.co.jp とは異なるのが特徴です。
また、2023年以降はQRコード型のAmazonなりすましも確認されています。
メール本文にQRコードを貼り付け、スキャンさせることでURLフィルターをすり抜ける手口です。
「QRコードだから安全」という思い込みに注意が必要です。
銀行・クレジットカード会社をかたるフィッシング詐欺
銀行・クレジットカード会社をかたるフィッシング詐欺は、被害が深刻になりやすい手口です。
典型的な文面のパターンは以下のとおりです。
- 「不正アクセスが検知されました。ご本人確認をお願いします」
- 「カードの利用を一時停止しました。解除にはこちら」
- 「インターネットバンキングの認証情報が変更されました」
国民生活センターの発表では、銀行を装ったSMSで口座番号・暗証番号を入力させ、そのまま不正送金が行われた事例が報告されています。
銀行やカード会社が、メールやSMSに記載したリンク先でパスワードやカード情報を要求することは基本的にありません。
不審に感じたら、メールのリンクから入力せず、公式アプリやカード裏面の電話番号から直接確認することを徹底してください。
宅配業者・公共機関をかたるフィッシング詐欺
宅配業者・公共機関をかたる手口は、SMSで届くケースが多く、日常的な通知に溶け込みやすいのが特徴です。
宅配業者系の代表的な文面は以下のとおりです。
- 「お荷物を再配達するため、追加料金が必要です。以下よりお手続きください」
- 「不在のためお荷物をお預かりしています。こちらから日時をご指定ください」
ヤマト運輸・日本郵便・佐川急便の3社はいずれも、公式のSMSでURLから直接個人情報やカード情報を入力させることはないと案内しています。
公共機関系では、国税庁・税務署をかたる手口も増加中です。
フィッシング対策協議会が2024年5月に緊急情報を発表したケースでは、「税金のお支払い方法に問題があります」という件名のメールが送られ、偽のe-Taxサイトへ誘導する手口が確認されました。
マイナンバーカードの情報やカード情報を要求する文面も報告されています。
フィッシング詐欺の見分け方|実例から学ぶポイント
ここまで紹介した実例に共通するパターンを、確認すべきポイントとセットで整理しました。
メールやSMSを受け取ったら、リンクをクリックする前に以下の表で確認する習慣をつけることが重要です。
| 確認ポイント | フィッシングのサイン | 対処法 |
|---|---|---|
| 差出人のドメイン | @以降が正規ドメインと異なる(例:amazon-verify.net) | 正規ドメインと1文字ずつ比較する |
| リンク先URL | 短縮URL・類似ドメイン・サブドメイン偽装が使われている | マウスオーバー・長押しでURL確認後にクリック |
| 本文の要求内容 | 「24時間以内」「今すぐ確認」など緊急性をあおる文言がある | 公式アプリやブックマークから直接ログインして確認 |
| 会議招待・カレンダー通知 | 心当たりのない招待や、リンク・添付ファイルを含む通知が届く | 送信者を別手段で確認してから承諾する |
| 添付ファイル | 身に覚えのない.icsや圧縮ファイルが添付されている | 開かずに送信者本人に直接確認する |
メール・URLの見分け方から企業が取り組むべき具体的な対策まで、詳しくは「フィッシング詐欺対策をわかりやすく解説|メール・URLの見分け方と企業の防止策」で解説しています。
よくある質問
最後にフィッシング詐欺の実例についてよくある質問を紹介します。
フィッシング詐欺で最も多いなりすまし企業はどこですか?
フィッシング対策協議会の2024年10月月次報告によると、単体ブランドではAmazonが全体の約26.8%でトップです。 次いでヤマト運輸・東京電力・JCB・プロミスの順になっています。 カテゴリ別では、EC系(Amazon・楽天など)が31.8%、クレジット信販系が24.3%と合わせて過半数を占めており、日常的に使うサービスほど標的になりやすい傾向があります。
フィッシング詐欺のSMSはどう見分ければいいですか?
見分けるためのポイントは3点です。 まず「心当たりのある荷物や請求かどうか」を確認すること、次に「短縮URLが含まれていないか」をチェックすること、そして「リンクをクリックせず公式アプリや公式サイトで直接確認する」ことです。 宅配業者・銀行・クレジットカード会社は、SMSのリンク先で個人情報やカード情報を入力させることは基本的にないため、そうした要求があれば詐欺と判断して問題ありません。
フィッシング詐欺に引っかかってしまった場合はどうすればいいですか?
まずネットワーク接続を切断し、情報を入力してしまった場合はパスワードの即時変更と、クレジットカード情報を入力した場合はカード会社への利用停止連絡を速やかに行ってください。 その後、情シス担当者や上長への報告、フィッシング対策協議会・警察庁サイバー犯罪相談窓口への通報も必要です。
まとめ
この記事では、フィッシング詐欺の最新事例と見分け方を解説しました。
- 【記事の要約】
- ・2024年の年間フィッシング報告件数は171万8,036件と過去最多。被害額は86億9,000万円にのぼる
- ・最も多いなりすまし対象はAmazon(約26.8%)で、EC系・クレジット系・銀行系・宅配系の順に多い
- ・手口は「メール型」「SMS型(スミッシング)」「SNS・ビジネスツール型」の3つに大別される
- ・2025年以降はGoogleカレンダーを悪用した手口も急増
手口を知るだけで、引っかかるリスクは大きく下がります。
ただし、どれだけ注意しても100%防ぎきれないのが現実です。
個人の注意に頼るだけでなく、組織としてのセキュリティ対策を整備しましょう。
フィッシング詐欺対策を仕組みとして整えたいなら、URLフィルタリング・マルウェア検知・不正通信の遮断をまとめて担うUTMの導入も検討してみてください。
