【2025年版】フィッシング攻撃から企業を守るセキュリティ対策とは
フィッシング攻撃の巧妙化・流行により、企業の知らないところで認証情報が漏洩するリスクが高まっています。本記事ではその原因と、今すぐに強化すべき認証セキュリティについて解説します。
本記事のサマリー
2025年春に国内の証券口座を狙ったサイバー攻撃が急増し、中でもリアルタイムフィッシング攻撃によるワンタイムパスワード(OTP)が無力化され莫大な被害が生まれたことは、国内に衝撃を与えました。これは、従来の認証セキュリティの常識が、もはや通用しなくなったことを意味します。
この脅威は個人に限った話ではありません。企業の基幹システムやクラウドサービスへの認証情報が窃取されてしまうと事業の存続を揺るがす甚大な被害に直結します。
見逃されがちな重要なポイントは、フィッシング攻撃が従業員のプライベートな環境で猛威を振るっている点です。このため、企業が厳格なフィッシング対策を講じていても、従業員の認証情報が、企業の預かり知らぬところで流出してしまう可能性が高くなっているのです。現代のフィッシング攻撃は、もはや「防ぎきれる」という前提では成り立ちません。認証情報漏洩後の被害を最小限に抑えることが重要なのです。
この考え方に基づくと、従来のフィッシング対策に加えて、「認証情報が窃取されても侵入させない仕組み」と「ID/パスワードを使わない仕組み」の構築が急務です。
本記事では、フィッシング攻撃から企業を守るために重要なポイントを解説します。
なお、フィッシング攻撃には、大きく分けて「企業ブランドを騙り、消費者が被害に遭う攻撃」と「自社の従業員が標的となり、社内システムへ侵入される攻撃」があります。本記事では、より直接的な被害となる後者に焦点を当てます。
対策を読むデータで見るフィッシング攻撃の現状とリスク
サイバー攻撃の平均被害額は1.7億円
トレンドマイクロ社の調査によると、国内の法人組織の70.9%が過去3年間(2022年~2024年)にサイバー攻撃を経験しており、その累計被害額は平均で約1億7,100万円に上ります。特に、ランサムウェア被害を経験した組織では被害額が平均2億2,000万円に跳ね上がり、業務停止期間も平均10.2日と長期化する傾向が見られます。
重大インシデントの引き金がフィッシング攻撃
情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025 [組織]」では、1位に「ランサムウェアによる被害」、2位に「サプライチェーンの弱点を悪用した攻撃」が挙げられています。
これらの重大なインシデントは、フィッシング攻撃によって従業員のパスワード等の認証情報が盗まれることを起点に始まるケースがあります。事実、2024年に発生した大手出版社へのランサムウェア攻撃では、フィッシング攻撃が原因で従業員のアカウント情報が窃取され、社内ネットワークへの侵入を許したと推測されています
フィッシング報告件数は過去最多の172万件に
フィッシング攻撃の脅威は、その圧倒的な「量」にも表れています。フィッシング対策協議会の報告によると、2024年に寄せられたフィッシング報告件数は過去最多の172万件(消費者・企業問わず)に達し、2023年と比較して約1.44倍に増加しました。
特に2024年12月には月間の報告件数が23万件を超えました。日本では今、フィッシング攻撃が横行しているのです。
これらのデータから認識するべきことは、「フィッシング対策は企業の努力だけでは完結できない」ということです。
従業員がプライベートでフィッシング攻撃に遭う機会は劇的に高まっており、もし窃取された認証情報が社内システムのログインに使用されていれば、攻撃者が社内システムに侵入できてしまいます。
残念ながら、従業員が社内外で同じパスワードを使い回していないとは断言できません。また、従業員のプライベートで使用しているクラウドストレージに企業の認証情報がメモされていないとも限りません。
この状況を前提にすると、企業はフィッシング対策への取り組みに加えて、「認証情報が窃取されても侵入させない仕組み」と「ID/パスワードを使わない仕組み」が重要です。
フィッシング攻撃はなぜ深刻化しているのか -攻撃手法の多様化と犯罪の産業化-
フィッシング攻撃の手口は巧妙化・多様化の一途
フィッシング攻撃の侵入経路は、もはや従来の電子メールだけではありません。生成AIを悪用した精巧なメールをはじめ、Google Driveのような正規クラウドサービスを悪用する手口、さら にはAIでCEOの声を模倣して電話をかける「ボイスフィッシング」まで登場しています。
ここでは、特に企業が警戒すべき代表的な手口をいくつか紹介します。
証券口座攻撃で見られた
「リアルタイムフィッシング攻撃」
ユーザーが偽サイトに入力したIDやパスワードを、攻撃者が即座に正規サイトで利用してログインする手口です。これにより、ワンタイムパスワード(OTP)など、従来の多要素認証(MFA)を突破してしまうケースが報告されており、極めて危険です。2025年春には消費者の証券口座を狙った攻撃が急増し、危険性が世間に知れ渡りました。
参考記事: 二証券口座を狙う最新サイバー攻撃とMFA必須化の波-パスキー (FIDO認証)が切り拓く 「フィッシングされない」未来
リアルタイムフィッシング攻撃の概要
本物そっくりにカスタマイズされたメールが届く「標的型攻撃」
特定の企業や個人を狙い撃ちにした攻撃です。ターゲットに合わせてカスタマイズした手口を用います。
攻撃者は、標的の情報を事前に入念に調査し、従業員や取引先になりすました従業員を信じ込ませるフィッシングメール(標的型メール)を送り、認証情報を盗 、マルウェアに感染させたりして、システム内部へ侵入する足がかりを築きます。
金銭の窃取を目的とした「ビジネス
メール詐欺(BEC)」
経営者や取引先になりすまして偽の送金指示メールを送るなど、金銭の詐取を直接の目的とした攻撃です。
トレンドマイクロ社の調査では、企業のサイバー攻撃被害において最も被害コストが大きかったのはBECでした。
信頼されるサービスを悪用する 「ChainLink フィッシング」
Google DriveやDropboxといった正規のクラウドサービスから共有通知を装うことで、利用者の警戒心を解き、最終的に認証情報を入力させる手口です。もはや「信頼されたサービスからの通知だから安全」という前提は通用しません。
AIの悪用
LLM(生成AI)により、フィッシングメールやフィッシングサイトの見た目や動作が本物と見分けがつかないほど精密になっています。メールやサイト以外にも、電話を使った「ボイスフィッシング」も増加傾向にあります。攻撃者が金融機関や企業関係者になりすまして電話をかけ、生成AIでCEOの声を模倣する事例も報告されました。
犯罪の産業化(PhaaS:サービスとしてのフィッシング)
かつてフィッシング攻撃は、専門技術を持つハッカーが個別に行うものでした。しかし現在では、「サービスとしてのフィッシング(PhaaS)」と呼ばれるビジネスモデルが確立されています。
これは、高度な攻撃ツール一式が、専門知識のない犯罪者にもサービスとして安価に提供される仕組みです。これにより、攻撃の参入障壁が劇的に下がり、洗練された手口の攻撃が世界中で爆発的に増加しています。企業はもはや、孤立した攻撃者ではなく、組織化・効率化された「犯罪産業」と対峙しているのです。
これらの手口は個人、企業問わず標的になっています。
つまり、企業がフィッシング対策を講じたとしても、従業員がプライベートで被害に遭い、その際パスワードを企業アカウントと使い回したり、個人のクラウドストレージに認証情報を保存していれば、認証情報が流出する可能性があるです。
従来のフィッシング対策で見落とされがちなポイント
フィッシング攻撃による被害が後を絶たないのはなぜでしょうか。その理由は、多くの対策が表面的なものであり、フィッシング攻撃が成功してしまうポイントを見過ごしているためです。
従業員のプライベートから機密情報が窃取される可能性がある
従業員のプライベートアカウントへのフィッシング攻撃で窃取されたパスワードが、社内システムのパスワードの使い回しだった場合、認証情報の流出は避けられません。残念ながら、パスワードの使い回しを100%阻止する方法はありません。
さらに、リモートワークやBYOD (私用端末)の普及により、自宅のPCや個人のスマートフォンから社内システムにログインすることが一般的になりました。 これにより、機密情報を個人のクラウドサービスに保存してしまうなど、プライベートからの情報流出の機会も増えています。
このため仮にパスワードの使い回しがなくても、個人へのフィッシング攻撃が企業アカウントへの不正アクセスにつながる可能性は否定できないのです。
攻撃の重要ターゲットは
「ID/パスワード」である
攻撃者が狙う重要な情報は、システムにログインするための「認証情報(ID/パスワード)」です。目的が機密情報や金銭の窃取であっても、まずは正規の利用者になりすましてシステムに侵入するための鍵を盗もうとします。
なぜかというと、一度認証情報が奪われると、攻撃者は正規利用者として内部ネットワークに自由にアクセスし、より深刻な被害をいつでも引き起こすことができるからです。したがって、フィッシング対策を考える上での出発点は、「いかにして認証情報を守り抜くか」という点です。
ワンタイムパスワード(OTP)
は突破される時代である
ID/パスワードのみの認証と比較すれば、ワンタイムパスワード(OTP)を組み合わせることにより認証セキュリティは大幅に向上します。
しかし、先述の「リアルタイムフィッシング攻撃」は、OTP認証を突破してしまいます。さらに、利用者のデバイスに何度も通知を送りつけて誤って承認させる「多要素認証疲労攻撃」といった手口も存在します。
2025年現在、「OTPさえ導入すれば安全」という時代は終わりました。OTPが突破された後を想定した、次なる防壁を準備する必要があります。
今、フィッシング攻撃から企業を守る2つのセキュリティ対策
上記のポイントを踏まえた上で、企業が取り組むべき効果的な対策は「認証情報が窃取されても侵入させない仕組み」と「ID/パスワードを使わない仕組み」です。
ID/パスワードを使わない「パスキー(FIDO2認証)」
フィッシング攻撃の重要ターゲットが「認証情報の窃取」である以上、認証情報にパスワードを使わない「パスワードレス認証」を実現できれば、脅威を根本から排除できます。それを実現する最先端の技術が「パスキー(FIDO2認証)」です。
パスキーでは、認証器のロック解除に生体認証やPINなどを利用するため、利用者が入力すべきパスワード自体が存在しません。そのため、フィッシングサイトに騙されて盗まれる情報がなく、攻撃を無力化できます。
また、アクセス先が正規のサイトであるかを確認する仕組みを備えているため、フィッシングサイトに対して認証してしまうことがないのです。
GoogleやApple、国内の大手金融機関も導入を進めており、その有効性は業界の共通認識となりつつあります。
認証情報が窃取されたとしても不正アクセスを防ぐ「デバイス証明書/アクセス制限」
とはいえ、全てのシステムをすぐにパスキーへ移行するのは、コストや互換性の面で難しい場合もあるでしょう。その場合、「たとえIDとパスワードが盗まれても、許可されていない端末からはログインさせない」という考え方が非常に重要になります。
中でも代表的な技術が「証明書認証」です。これは、会社が許可したPCやスマートフォンにのみ「電子的な身分証明書」をインストールし、その証明書がないデバイスからはサービスにアクセスできないようにする仕組みです。この認証方式は、パスキーと同様に公開鍵暗号方式を基盤としているため、フィッシングサイトでのなりすましにも極めて強い耐性を持ちます。
証明書認証の他にも、機密情報にアクセスできるユーザーや端末を制限する防御手段として以下のようなものがあります。
- ブラウザや電子証明書をもとにアクセスする端末を制限
- 場所(IPアドレスや国)をもとにアクセスを制限
- ユーザーの権限によってアクセスできるサービスを制限
実際の運用では、パスワードのみの認証から認証器が必要なパスキーへの移行は、既存システムとの連携や従業員のリテラシーといった面で難易度が高い場合があります。
そのため導入プランの第一歩としておすすめなのが「証明書認証(デバイス証明書)」です。ユーザーのログイン方法をほぼ変更する必要がないため、企業において比較的取り入れやすい選択肢となります。
フィッシング攻撃は成功している前提で防御を考える
「認証情報が窃取されても侵入させない仕組み」と「ID/パスワードを使わない仕組み」という考え方は、米国立標準技術研究所(NIST) で採用されている最新のフレームワーク (Cyber Security Framework 2.0) に基づいています。
このフレームワークでは、
- フィッシング攻撃などの脅威が常に発生していることを前提に
- 守るべき情報に優先順位をつけて
- 常にアクセスを検証して優先順位の高い情報から守る
という考え方をします。そして、優先順位の高い情報には認証、ID管理、アクセス管理が含まれており、したがって「パスキーとアクセス制限」は優先順位の高い対策なのです。
これまで見てきた通り、フィッシング攻撃による認証情報の窃取を企業・個人の両方で防ぎ切ることは難しいものです。だからこそ、認証情報が窃取されたとしても、企業の情報資産を守る「防御」 = 「パスキーとアクセス制限」の導入が必要です。
NIST Cyber Security Framework 2.0による
サイバー攻撃対応ステップ
認証情報を悪用した脅威が
常に発生していることを前提として防御を考える
出典: The NIST Cybersecurity Framework (CSF) 2.0よりISR作成
CloudGate UNOで実現する、シンプルなフィッシング対策
IDaaS/クラウドセキュリティサービスのCloudGate UNOは、巧妙化するフィッシング攻撃のプロセスにおいて、最も致命的な被害が生まれる「情報窃取」と「不正アクセス」の段階で、企業の資産を守る最後の砦となります。
| 攻撃フェーズ | 攻撃者の行動 | CloudGate UNOの防御 |
|---|---|---|
| フィッシング試行 | 巧妙なフィッシングメールやSMS、音声などをユーザーに送信する。 | メールセキュリティソリューションをご紹介可能です。 国内売上シェアNo1のクラウド型メールセキュリティソリューション |
| 認証情報窃取 | 従業員が騙され、フィッシングサイトにIDとパスワードを入力してしまう。攻撃者は認証情報を窃取。 | クラウドサービスの認証をパスキー(FIDO2認証)でパスワードレスに。 そもそもパスワードが存在しないため、認証情報が盗まれません。 ※パスキーを導入できない場合もスマートフォンを使用した多要素認証(MFA)をご利用いただけます。 |
| 不正アクセス | 窃取した認証情報を使い、社内システムへのアクセスを試行。 | デバイス証明書/アクセス制限で不正なアクセスをブロック。 たとえ攻撃者が有効なID/パスワードを知っていても、会社が許可したデバイスやアクセス条件以外からのアクセスをブロックします。 |
CloudGate UNOなら、パスキー、デバイス証明書、アクセス制限といった複数のセキュリティ設定を一つのツールで完結できます。運用負荷を大幅に軽減しながら、企業のクラウドセキュリティを飛躍的に向上させることが可能です。
結論:今すぐ始めるべきフィッシング対策の第一歩
フィッシング攻撃が巧妙化・産業化し、誰もが標的となりうる現在、認証セキュリティの強化はすべての企業にとって新常識になりました。
CloudGate UNOは、次世代のセキュリティ対策をシンプルに提供し、フィッシングの脅威から貴社を守ります。
企業のフィッシング対策に認証セキュリティ向上をお考えなら、
こちらからご相談ください
\導入のご相談等・金額のお問い合わせは/
フォームから問い合わせお電話でもお気軽に!
03-5942-8314までお問い合わせください。
