用語辞典

#フィッシング対策 #MFA #メールセキュリティ #ソーシャルエンジニアリング

フィッシングとは — 手口の種類と「見破る」より確実な防御

フィッシングは、信頼できる相手になりすまして偽サイトへ誘導し、パスワードや情報を盗む詐欺です。ソフトの穴ではなく『人』を狙う点が肝。種類（スピアフィッシング・BEC・スミッシング・中間者型）と、『気をつける』より確実な防御（フィッシング耐性MFA・ドメイン確認・メール認証）を、攻撃手順を伏せて防御目線で解説します。

公開日 2026-06-13 更新日 2026-06-13 8分で読める

「信頼できる相手のふりをして、偽サイトへ誘い込む」——それがフィッシングです。手口の種類と、確実な防御を解説します（攻撃手順は載せません）。

ひとことで

一行で言うと：フィッシング（Phishing）は、信頼できる相手になりすまして偽のログイン画面などへ誘導し、認証情報や個人情報を盗む詐欺です。狙うのはソフトの穴ではなく人の判断——だからランサムウェアや情報漏えいの最大の侵入経路になっています。最大の盲点は、「自分は見破れる」という過信。今は本物そっくりの偽サイトでワンタイムコードまで中継する中間者型(AiTM)があり、SMSや認証アプリのMFAも突破されえます。確実な防御は注意力ではなく仕組み——ドメインに紐づくフィッシング耐性MFA（パスキー/物理キー）、リンクを踏まず公式へ直接、メール認証（SPF/DKIM/DMARC）。

仕組み：狙うのは「ソフトの穴」ではなく「人」

XSSやSQLインジェクションがソフトの欠陥を突くのに対し、フィッシングが突くのは人間の判断です。「アカウントが停止されました」「至急ご確認ください」といった緊急性・権威・恐怖で考える隙を奪い、本物そっくりの偽サイトへ誘導してパスワードを入力させます。技術的な脆弱性がゼロのサイトでも、利用者が騙されれば認証情報は流出します。

侵入経路No.1

ランサムウェアや情報漏えいの多くがフィッシング起点。最初のドアになりやすい

緊急・権威・恐怖

『今すぐ』『公式から』『止められます』で考える隙を奪うのが常套手段

AiTM

中間者型。偽サイトがワンタイムコードまで中継し、通常のMFAを突破しうる

手口の種類（呼び名が違っても本質は同じ）

通常フィッシング

不特定多数へばらまく

スピアフィッシング

特定の個人/組織を狙い撃つ

BEC

取引先/役員になりすまし送金指示

スミッシング

SMSを使う

ビッシング

電話を使う

中間者型(AiTM)

認証を本物へ中継しMFA突破

フィッシングの代表的な種類。経路や標的は違っても『なりすまし＋誘導』の本質は同じ。

呼び名は違っても、本質は**「信頼を装って誘導する」点で共通です。特に BEC（ビジネスメール詐欺） は、マルウェアすら使わず「取引先を装った送金依頼」で大きな金銭被害を出します。技術より業務プロセスの確認**で止めるべき類型です。

防御：見破る注意力より「仕組み」で止める

フィッシング耐性MFAを使う（最重要）

偽サイトに反応しない仕組みが本命。パスキー/物理セキュリティキー(FIDO2)はドメインに紐づくため、偽ドメイン上では原理的に認証が成立せず、中間者型(AiTM)でも突破できない。SMS/認証アプリのコードは中継されうるので、王国の鍵(メール/ドメイン/決済)から優先的に耐性MFAへ（→ MFAの選び方）。

リンクを踏まず、公式へ自分から行く

メールやSMSのリンクは押さず、ブックマークや手入力で公式サイトへ直接アクセスして確認する。「アカウント確認」「請求」「配送」を装うメッセージほど、リンク経由ではなく自分の経路で開く。

メールのなりすましを技術で減らす

ドメインのSPF/DKIM/DMARCを正しく設定し、自社ドメインを騙るなりすましメールを受信側で弾けるようにする（→ SPF/DKIM/DMARCとは）。パスワードマネージャは偽ドメインでは自動入力しないので、入らないこと自体が偽サイトの手がかりになる。

緊急・権威の圧力では立ち止まる／送金は別経路で確認

「今すぐ」「役員から」「止められます」という圧力こそ罠の合図。急かされたら一拍置く。送金や認証情報に関わる依頼は、メールの返信ではなく電話など別経路で本人確認してから動く（BEC対策の要）。

突破されやすい

パスワード＋SMS/認証アプリのコードだけ。本物そっくりの偽サイトでコードごと中継（AiTM）されると、注意深くても認証情報を奪われる。「自分は見破れる」前提の防御。

止められる

ドメインに紐づくパスキー/物理キー。偽ドメインでは認証が成立しないので、利用者が騙されても突破されない。「見破れなくても安全」な仕組み側の防御。

当サイトの視点：『気をつける』は防御戦略ではない

フィッシング対策を「従業員教育」「注意喚起」だけに頼るのは危ういと当サイトは考えます。中間者型(AiTM)が当たり前になった今、どれだけ注意深い人でも、本物そっくりの偽サイト＋コード中継には勝てないからです。注意は補助にはなりますが、最後の砦にはできません。本命は仕組み——ドメインに紐づくフィッシング耐性MFAを王国の鍵から順に導入すること。「見破れる人を育てる」より「見破れなくても破られない」設計に投資するのが、現代の正解です。

盲点：「自分は騙されない」が一番危ない

フィッシング対策で最大の落とし穴は、「自分は見破れる」という過信です。中間者型(AiTM)は本物そっくりの画面を出し、入力したパスワードとワンタイムコードをその場で本物のサイトに中継します。つまり注意深く正しいコードを入れても、その正しいコードごと盗まれる。だから防御の軸を「見破る注意力」に置くこと自体が間違いで、**偽ドメインでは成立しない認証（フィッシング耐性MFA）**という仕組みに移すのが本筋です。「気をつける」で止まらないことが、現代のフィッシング対策の出発点です。

次に読む

入門：二要素認証（MFA）の選び方（フィッシング耐性MFAとは）
用語：SPF/DKIM/DMARCとは（なりすましメールを技術で減らす）
用語：ランサムウェアとは（フィッシングが最大の侵入経路）
入門：パスワードの安全な保管（盗まれた認証情報を悪用させない）

よくある質問

Qフィッシングは注意していれば見破れますか？

『自分は見破れる』という過信は危険です。今のフィッシングは本物そっくりの偽サイトを使い、入力したパスワードとワンタイムコードをリアルタイムで本物のサイトに中継する『中間者型(AiTM)』まであり、注意深い人でもSMSや認証アプリのコードごと盗まれます。だから本命の防御は『見破る注意力』ではなく、偽サイトには反応しない仕組み——ドメインに紐づくフィッシング耐性MFA(パスキー/物理キー)です。

Qフィッシングにはどんな種類がありますか？

代表的なものに、不特定多数へばらまく通常フィッシング、特定の個人/組織を狙い撃つスピアフィッシング、経営者や取引先になりすまし送金を指示するBEC(ビジネスメール詐欺)、SMSを使うスミッシング、電話を使うビッシングがあります。さらに、偽サイトで認証を本物へ中継する中間者型(AiTM)は、通常のMFAを突破できる点で特に注意が必要です。

QMFAを設定すればフィッシングは防げますか？

MFAは強く推奨しますが、方式によります。SMSや認証アプリのワンタイムコードは、中間者型フィッシングでコードごと中継されると突破されえます。突破されないのは『パスキー/物理セキュリティキー(FIDO2)』のようにドメインに紐づくフィッシング耐性MFAで、偽ドメイン上では原理的に認証が成立しません。詳しくは二要素認証(MFA)の選び方を参照してください。