月曜の朝、総務担当者のもとに駆け込んできた営業部員
「すみません、さっき届いたメールのリンクを踏んで、IDとパスワードを入れてしまったんですが……」
従業員80名、拠点3箇所の建材卸売業で実際に起きた出来事です。経理部門を装った「請求書確認依頼」のメールが届き、営業担当者はいつも通りリンクをクリック。表示されたログイン画面にMicrosoft 365の認証情報を入力してしまいました。
この会社では「怪しいメールに注意しましょう」という啓発ポスターを掲示していましたが、それだけでは防げませんでした。攻撃者が送ってきたメールは、実在する取引先の名前と、本物そっくりのロゴが使われていたからです。
フィッシング攻撃は、もはや「注意すれば防げる」レベルの脅威ではなくなっています。この記事では、技術的対策・組織体制・初動対応の3つの柱で、中小企業が実践できるフィッシング防御策を解説します。
フィッシング攻撃の現状を数字で見る
フィッシング対策協議会の月次報告によると、2024年の国内フィッシング報告件数は171万件を超え、前年比で約1.44倍に膨れ上がりました。そして2025年にはさらに加速し、年間報告件数は約245万件と過去最多を大幅に更新しています。
単純計算で、1日あたり約6,700件のフィッシング報告が寄せられている計算になります。
注目すべきは被害額の変化です。以前は少額の被害が中心でしたが、最近は1件あたり10万円から100万円未満の被害割合が増えています。攻撃者がより精度の高い手口で、より大きな金額を狙うようになったことを示しています。
IPAの情報セキュリティ10大脅威 2025でも、フィッシングによる個人情報の詐取は個人向け脅威の上位に位置づけられています。中小企業だから狙われないという考えは、残念ながら過去のものになりました。
「見分け方教育」だけでは組織を守れない理由
多くの企業がフィッシング対策として最初に取り組むのが、「怪しいメールの見分け方」を社員に教える教育です。差出人アドレスを確認する、日本語の不自然さに気づく、URLのドメインを見る——こうしたポイントは確かに基本として重要です。
しかし、現在のフィッシングメールは驚くほど巧妙になっています。
まず、生成AIの普及によって、かつて見分けるポイントだった「不自然な日本語」はほぼ消滅しました。文法的に完璧な日本語で、受信者の業務内容に合わせた文面が生成されます。
次に、ビジネスメール詐欺(BEC)との融合が進んでいます。攻撃者は事前にターゲット企業の取引先や組織構造をSNSやWebサイトから調査し、実在する人物の名前を騙ってメールを送ります。「取引先の田中さんからの見積書確認」というメールが届けば、営業担当者が疑わずにクリックするのは無理もありません。
さらに、正規のサービスを悪用した攻撃も増えています。Google FormsやMicrosoft Formsといった正規サービス上にフィッシングページを設置するケースでは、URLを見ても「google.com」「microsoft.com」のドメインが表示されるため、URLの確認だけでは判別できません。
人間の注意力に依存する対策には限界があります。100通のメールのうち1通が巧妙なフィッシングだったとき、毎回100%正しく判断し続けることは誰にもできません。だからこそ、技術的な仕組みと組織的な体制の両方が必要になります。
技術的対策の第一歩は「送信ドメイン認証」
フィッシングメールの多くは、送信元アドレスを詐称しています。「info@あなたの取引先.co.jp」と表示されていても、実際にはまったく別のサーバーから送られている——これがなりすましメールの基本的な仕組みです。
この「なりすまし」を技術的に検知するのが、SPF、DKIM、DMARCという3つのメール認証技術です。
SPF(Sender Policy Framework) は、「このドメインのメールは、これらのサーバーから送られる」とDNSに宣言する仕組みです。宣言にないサーバーから送られたメールは、受信側で「なりすましの可能性あり」と判定されます。
DKIM(DomainKeys Identified Mail) は、送信メールに電子署名を付与する技術です。メールの内容が途中で改ざんされていないことを受信側が検証できます。
DMARC(Domain-based Message Authentication, Reporting and Conformance) は、SPFとDKIMの認証結果に基づいて、認証に失敗したメールをどう扱うか(受信する・迷惑メールに入れる・拒否する)を送信側が指定できる仕組みです。
この3つは「自社ドメインが詐称されるのを防ぐ」ための対策でもあり、「自社に届くなりすましメールを減らす」ための対策でもあります。特にDMARCは、IIJのメール認証解説記事でも詳しく解説されているように、SPFとDKIMを束ねる上位の仕組みとして機能します。
中小企業でもDMARCは設定できる
「うちのような小さな会社でDMARCなんて必要なのか」と思われるかもしれません。しかし、Googleは2024年2月から、Gmailへの大量送信者に対してSPF・DKIM・DMARCの設定を義務化しました。取引先がGmailやGoogle Workspaceを使っていれば、自社からのメールが迷惑メールに振り分けられるリスクもあるのです。
DMARCの設定自体は、DNSにTXTレコードを1行追加するだけで始められます。まずは監視モード(p=none)で導入し、自社ドメインを騙ったメールがどの程度送られているかをレポートで把握するところから始めましょう。Google Workspaceの公式ガイドにも手順がまとまっています。
技術的対策をもう一段積み上げる
送信ドメイン認証に加えて、以下の対策を組み合わせることで防御力が格段に上がります。
多要素認証(MFA)の全社導入
フィッシングでIDとパスワードが盗まれても、多要素認証が有効であれば不正ログインを防げます。Microsoft 365、Google Workspace、Salesforceなど、業務で使うクラウドサービスには必ずMFAを設定してください。
SMSによる認証コードよりも、認証アプリ(Microsoft Authenticator、Google Authenticator)やFIDO2セキュリティキーのほうがフィッシング耐性は高くなります。特にFIDO2は、偽サイトでは認証が成立しない設計になっているため、フィッシングに対して原理的に強い対策です。
メールフィルタリングの強化
Microsoft 365であればDefender for Office 365、Google WorkspaceであればAdvanced Protectionといった、メールゲートウェイでのフィッシングフィルタリング機能を有効にしましょう。これらの機能は標準プランに含まれていることも多く、追加費用なしで有効化できるケースがあります。
管理画面から現在の設定を確認し、フィッシング保護が最大限に設定されているか確認することをお勧めします。
Webフィルタリングの導入
万が一フィッシングリンクをクリックしてしまった場合でも、既知のフィッシングサイトへのアクセスをブロックするWebフィルタリングが最後の防波堤になります。Cloudflare GatewayやCisco Umbrellaなど、DNS レベルでフィルタリングを行うサービスは、エージェントのインストールが不要なものもあり、中小企業でも導入しやすい選択肢です。
当ポータルのHTTPセキュリティヘッダー完全ガイドで解説しているContent-Security-Policyヘッダーも、自社Webサイトがフィッシングの踏み台にされるリスクを軽減する技術的対策として有効です。
組織体制を整える——「報告しやすい空気」が最大の防御
技術的な対策と同じくらい重要なのが、社内の報告体制です。
冒頭の建材卸売業の事例で、営業部員が「開いてしまった」と速やかに報告できたのは、実は非常に良い兆候でした。問題なのは、怪しいメールを開いてしまったことを黙っているケースです。「怒られるかもしれない」「大ごとにしたくない」という心理が働くと、被害の発見が数日から数週間遅れます。その間に攻撃者はアカウントを乗っ取り、取引先への詐欺メール送信や、機密データの窃取を進めてしまいます。
報告フローを具体的に決める
「何かあったら報告してください」では曖昧すぎます。以下のように具体的なフローを全社員に共有しましょう。
- 怪しいメールを受信した、またはリンクをクリック・情報を入力してしまった場合、まず情報システム担当(または指定の連絡先)にチャットで一報を入れる
- メールは削除せず、そのまま保全する(証拠として必要)
- 情報を入力してしまった場合は、該当サービスのパスワードを直ちに変更する
- 情報システム担当が状況を確認し、影響範囲に応じて経営層に報告する
このフローを紙やポスターにして各フロアに掲示するだけでなく、チャットツールの固定メッセージにも設定しておくと効果的です。
「報告したら褒める」文化をつくる
フィッシング訓練(模擬フィッシングメールの送信)を実施している企業は増えていますが、訓練の目的を「引っかかった人をあぶり出すこと」にしてはいけません。引っかかった人が萎縮して報告しなくなるのは、本末転倒です。
訓練の目的は「報告の練習」です。模擬フィッシングに引っかかった人が速やかに報告できたら、それは成功体験として評価すべきです。フィッシング対策協議会のフィッシング対策ガイドライン2025年度版でも、利用者への教育と報告体制の整備が重点項目として挙げられています。
インシデント初動対応——最初の1時間でやるべきこと
実際にフィッシング被害が発生した場合の初動対応を、時系列で整理します。
発覚直後(0〜15分)
被害者のアカウントを保全します。 情報を入力してしまったサービスのパスワードを即座に変更し、可能であれば全セッションを強制ログアウトさせます。Microsoft 365やGoogle Workspaceには、管理コンソールからユーザーの全セッションを無効化する機能があります。
同時に、被害者のPCをネットワークから切り離さないでください。マルウェア感染が疑われる場合は別ですが、フィッシングによる認証情報窃取の場合、PCの切り離しよりもクラウドアカウントの保全が優先です。
15分〜1時間
影響範囲を調査します。 被害を受けたアカウントのログイン履歴を確認し、不審なログインがないかを確認します。Microsoft 365であれば「サインインログ」、Google Workspaceであれば「監査と調査」画面から確認できます。
確認すべきポイントは以下の3つです。
- 普段と異なるIPアドレスや国からのログインがないか
- メールの転送ルールが勝手に追加されていないか(攻撃者がよく使う手口です)
- 共有フォルダやファイルへのアクセスログに不審な操作がないか
1時間〜24時間
関係者への通知と再発防止策の実施に移ります。 不正アクセスが確認された場合は、取引先への通知が必要になることがあります。特に、乗っ取られたアカウントからメールが送信されていた場合は、送信先に注意喚起を行います。
また、同様のフィッシングメールが他の社員にも届いていないかをメールログで確認し、届いている場合は注意喚起を全社に発信します。
個人情報の漏えいが確認された場合は、2022年4月に施行された改正個人情報保護法により、個人情報保護委員会への報告と本人通知が義務となっています。報告期限は速報が発覚から概ね3〜5日以内、確報が30日以内(不正アクセスの場合は60日以内)です。
フィッシング訓練を効果的に行うための3つのコツ
模擬フィッシング訓練を実施する際に押さえておきたいポイントを3つ紹介します。
1. 訓練メールは実際の攻撃に近いレベルで作る
あからさまに怪しいメールを送っても訓練になりません。自社で実際に使っているサービス(勤怠管理、経費精算、Microsoft 365等)からの通知を模した文面にすることで、実践的な訓練になります。
2. 訓練の頻度は四半期に1回が目安
年1回では少なすぎ、毎月では「またか」と慣れが生じます。四半期に1回のペースで、毎回異なるパターン(添付ファイル型、URL型、QRコード型など)を織り交ぜるのが効果的です。
3. 結果は個人ではなく組織単位で分析する
「誰が引っかかったか」ではなく、「どの部署の報告率が高かったか」「どの手口に弱かったか」という組織単位の傾向を分析しましょう。その結果を次の教育計画に反映させることで、訓練が改善サイクルの起点になります。
当ポータルのセキュリティ対策チェックリスト50項目でも、フィッシング対策を含む包括的な確認項目を整理していますので、自社の対策状況を棚卸しする際の参考にしてください。
まとめ——技術・体制・対応の3本柱で守る
フィッシング攻撃は、2025年だけで245万件が報告されるほど身近な脅威です。しかし、適切な対策を講じれば被害を大幅に減らせます。
技術面では、DMARC/SPF/DKIMの導入と多要素認証の全社展開が最優先です。組織面では、「報告したら褒める」文化の醸成と具体的な報告フローの整備が鍵になります。そして万が一の際は、最初の1時間の初動対応が被害の拡大を左右します。
すべてを一度にやる必要はありません。まずは来週、自社ドメインのDMARC設定状況を確認するところから始めてみてください。ターミナルやDMARCチェックツールで nslookup -type=txt _dmarc.あなたのドメイン と入力するだけで、現在の設定状況が分かります。設定がなければ、DNS にTXTレコードを1行追加するだけで監視を始められます。
小さな一歩ですが、その一歩が組織を守る土台になります。