【ITニュース解説】フィッシング対策協議会が7月の報告状況を公表 報告件数前月比3万3563件増
2025年09月08日に「@IT」が公開したITニュース「フィッシング対策協議会が7月の報告状況を公表 報告件数前月比3万3563件増」について初心者にもわかりやすく解説しています。
ITニュース概要
フィッシング対策協議会が公表した7月の報告によると、フィッシング報告件数は前月比17.4%増の22万6433件に達した。偽サイトへ誘導しIDやパスワードを盗むサイバー攻撃は増加傾向にあり、システムを守る上で警戒が必要である。
ITニュース解説
フィッシング対策協議会が公表した報告によると、フィッシングの報告件数が22万6433件に達し、前の月と比較して3万3563件、率にして17.4%も増加した。この数字は、私たちが日常的に利用するインターネットにおいて、フィッシングというサイバー攻撃の脅威が依然として高く、さらに拡大している現実を示している。システムエンジニアを目指す上で、このようなサイバーセキュリティの動向を理解することは極めて重要である。
そもそもフィッシングとは、実在する金融機関、ECサイト、公的機関といった信頼できる組織を装い、偽の電子メールやSMS(ショートメッセージサービス)を送りつけることで、受信者を偽のウェブサイトへ誘導し、ID、パスワード、クレジットカード番号、個人情報などを不正に盗み出す詐欺行為のことである。その手口は年々巧妙化しており、多くの人が被害に遭っている。攻撃者は、私たちの心理的な隙を巧みに突いてくる。「アカウントのセキュリティに問題が検出されました」「お荷物のお届けにあがりましたが不在のため持ち帰りました」「税金の未払いがあります」といった、緊急性や不安を煽る件名や本文を用いるのが典型的な手口だ。受信者は、思わずリンクをクリックしてしまい、本物と見分けがつかないほど精巧に作られた偽サイトにアクセスしてしまう。そこで個人情報を入力すると、その情報は即座に攻撃者の手に渡り、金銭的な被害や個人情報が悪用される二次被害につながる。
近年のフィッシング攻撃の増加には、いくつかの背景がある。一つは、攻撃のハードルが低下したことだ。ダークウェブなどでは、偽サイトのテンプレートやメールの一斉送信ツールなどをパッケージ化した「フィッシングキット」が安価で販売されており、専門的な技術知識がなくても比較的容易に攻撃を実行できるようになった。また、攻撃の自動化が進み、非常に多くの宛先に対して低コストで詐欺メールを送信できるようになったことも、件数の増加に拍車をかけている。さらに、盗み出された個人情報や認証情報は、不正アクセスや他の犯罪に利用するため、サイバー犯罪者の間で高値で取引されており、攻撃者にとって大きな利益を生むビジネスモデルが確立されている。
システムエンジニアを目指す者として、この問題にどう向き合うべきか。まず、利用者としての基本的な防御策を理解することは必須である。メールやSMSに記載されたURLを安易にクリックせず、サービスを利用する際は、普段から使っているブックマークや公式サイトから直接アクセスする習慣が重要だ。また、アクセス先のURLが正規のものかを確認すること、そして何よりも多要素認証を設定することが、アカウント乗っ取りに対する非常に有効な対策となる。
しかし、システムを開発・運用する側の視点はさらに重要になる。ユーザーの注意だけに頼るのではなく、システム側で被害を未然に防ぐ、あるいは被害を最小限に抑えるための技術的な対策を講じるのがエンジニアの役割である。具体的には、まず自社のサービスがフィッシングに悪用されないための対策が挙げられる。自社のドメインを騙った「なりすましメール」を防ぐためには、送信ドメイン認証技術であるSPF、DKIM、DMARCを導入することが不可欠だ。SPFは、そのドメインからのメール送信を許可されたサーバーのIPアドレスを定義する仕組みである。DKIMは、メールに電子署名を付与し、受信側でその署名を検証することで、メールが送信途中で改ざんされていないことを保証する。そしてDMARCは、SPFとDKIMの認証が失敗したメールをどのように扱うか、例えば受信を拒否するか迷惑メールフォルダに入れるか、をポリシーとして定め、その結果を報告させる仕組みである。これらの技術を正しく設定することで、自社ブランドを悪用したフィッシングメールがユーザーに届く可能性を大幅に低減できる。
また、ユーザーが万が一偽サイトに誘導されたとしても、被害を防ぐための仕組みも重要だ。例えば、ログイン機能を持つサービスでは、パスワードだけでなく、スマートフォンアプリへの通知やSMSで送られるワンタイムコードなどを組み合わせる多要素認証の導入をユーザーに強く推奨、あるいは必須とすることが求められる。さらに、短時間に何度もログインに失敗するような不審なアクセスを検知してアカウントを一時的にロックする機能や、普段とは異なる国や地域からのアクセスを警告する機能も有効である。
フィッシングサイトが作られた際のインシデント対応もエンジニアの重要な責務だ。自社サービスを騙るフィッシングサイトが発見された場合、そのサイトをホストしているサーバーの管理者やドメインの登録業者に連絡し、サイトを閉鎖させる「テイクダウン」という対応を迅速に行う必要がある。同時に、ユーザーに対して公式サイトやメールで注意喚起を行い、被害の拡大を防がなくてはならない。
今回報告されたフィッシング件数の大幅な増加は、単なる統計データではなく、社会インフラとなったインターネットの安全性を脅かす深刻な警告である。システムエンジニアは、便利なサービスを開発するだけでなく、それをユーザーが安全に利用できる環境を構築するという社会的責任を負っている。最新の攻撃手口や脅威の動向を常に学び、SPFやDMARCのような防御技術を深く理解し、それらを適切に実装していくことが、これからのエンジニアに強く求められる資質と言えるだろう。