【ITニュース解説】フィッシングURLが前月比4割増、報告20万件超 - 証券関係が再増加

作成日: 2025年08月27日更新日: 2025年08月30日

ITニュース概要

フィッシング詐欺の報告が2025年7月に急増し、件数は前月比4割増の20万件を超えた。偽サイトのURLも大幅に増加しており、特に証券会社を装う手口が再び活発化しているため、システム上のセキュリティ対策が重要である。

出典: フィッシングURLが前月比4割増、報告20万件超 - 証券関係が再増加 | セキュリティNEXT公開日: 2025年08月27日

ITニュース解説

インターネット上の詐欺行為である「フィッシング」の脅威が、再び深刻化している。2025年7月のフィッシング対策協議会の報告によると、国内で確認されたフィッシングの報告件数は20万件を超え、攻撃に悪用された偽サイトのURL件数も前月から約4割増加するという異常な事態となっている。特に、個人の資産に直結する証券会社のブランドを騙る手口が再び増加しており、システム開発に携わる者として、この現状と背景にある技術を正確に理解しておく必要がある。そもそもフィッシングとは、実在する企業やサービスになりすまし、メールやSMSを送りつけ、偽のウェブサイトへ誘導することで、ID、パスワード、クレジットカード情報などの重要な個人情報を盗み出すサイバー攻撃の一種である。攻撃者は盗んだ情報を利用して不正ログインや不正送金を行い、金銭的な利益を得ることを目的としている。今回の報告で件数が急増しているという事実は、攻撃者が非常に活発に活動しており、多くの人が危険に晒されている状況を示している。 URL件数が前月比で4割も増加した背景には、攻撃者と防御側の絶え間ない攻防が存在する。フィッシングサイトは発見され次第、セキュリティソフトやブラウザの機能によってアクセスがブロックされる。そのため、攻撃者はブロックされることを見越して、次から次へと新しいドメインを取得し、短時間で大量の偽サイトを立ち上げては破棄する、という手口を繰り返している。この「いたちごっこ」の結果として、悪用されるURLの数が爆発的に増加するのである。今回、特に標的として狙われているのが証券会社のサービスである。その理由は、証券口座には多額の金融資産が保管されているケースが多く、攻撃者にとって直接的な金銭的利益に結びつけやすいからだ。ログイン情報さえ窃取できれば、株式などを不正に売却し、その資金を攻撃者の口座へ送金することが可能になる。このような背景から、金融機関、特に資産価値の高い証券会社は、継続的にフィッシング攻撃の主要なターゲットとされている。システムエンジニアを目指す上で、こうしたフィッシング攻撃の仕組みと対策技術を理解することは極めて重要である。まず、攻撃者が送信元を偽ってメールを送る「なりすまし」への対策として、送信ドメイン認証技術であるSPF、DKIM、DMARCが挙げられる。SPFは送信元IPアドレスが正当なものかを検証し、DKIMはメールに電子署名を付与して改ざんがないことを保証する。そしてDMARCは、これらの認証に失敗したメールをどのように扱うか（隔離や拒否など）をドメイン所有者が宣言するための仕組みである。これらを適切に設定することで、正規の送信元を騙るフィッシングメールを大幅に削減できる。ウェブサイト側でも対策は不可欠だ。利用者が本物のサイトと偽サイトを見分ける一つの手がかりとなるのが、SSL/TLS証明書である。ブラウザのアドレスバーに表示される鍵マークは、通信が暗号化されていることを示すが、近年では攻撃者も無料で取得できる証明書を利用して偽サイトをHTTPS化することが一般的になっている。そのため、単に鍵マークがあるだけでは安全とは言い切れない。より厳格な審査を経て発行されるEV証明書などを導入すれば、サイト運営組織の実在性が保証され、利用者はより高い確度でサイトの正当性を確認できる。さらに、ユーザー認証の仕組みそのものを強化することも、フィッシング対策の根幹をなす。IDとパスワードのみに頼る認証は、情報が一度漏洩すれば容易に突破されてしまう。これを防ぐために、二要素認証（2FA）や多要素認証（MFA）の導入が不可欠となる。これは、パスワードに加えて、スマートフォンアプリで生成されるワンタイムパスワードや、SMSで送られる確認コード、指紋などの生体情報といった、本人しか持ち得ない、あるいは知り得ない複数の要素を組み合わせる認証方式である。万が一パスワードが盗まれたとしても、第二の認証要素がなければログインできないため、不正アクセスのリスクを劇的に低減させることができる。今回のフィッシング報告の急増は、社会インフラとなったインターネットに潜む脅威が、常に形を変えて存在し続けていることを示している。システムエンジニアは、単に機能するプログラムを書くだけでなく、利用者が安全にサービスを使えるよう、このような攻撃の手口を学び、適切な防御策をシステムに組み込む責任を負っている。最新のセキュリティ動向に常に注意を払い、自らが開発するシステムの安全性をいかに確保するかを考え続ける姿勢が、これからのエンジニアには強く求められる。