はじめに
「社員がワンクリックしただけで会社全体が人質に取られる」。そんなフィッシング攻撃の被害報告が、いまや珍しくありません。とりわけ2025年に入ってから目立つのは、SMSや配送通知、税務関連、決済サービスを装った攻撃です。従来のEメール型だけでなく、スマホや日常業務のすき間を狙う手口が急増しています。中小企業にとっては「大企業狙いだから自分には関係ない」とは言えない時代です。
実態(典型シナリオ)
1. SMSで届く配送通知
「お荷物をお届けにあがりましたが不在でした。再配達はこちら」。添付された短縮URLをクリックすると、偽のログイン画面へ誘導され、IDやパスワード、クレジットカード情報が抜き取られます。宅配業者を装うため、社員が私用スマホで引っかかりやすい点が特徴です。
2. 税務署・自治体をかたる通知
「未納の税金があります」「e-Taxアカウントを更新してください」。年度末や確定申告シーズンを狙い撃ちし、偽サイトに誘導する攻撃が増えています。公的機関を名乗るため、心理的プレッシャーでクリック率が高いのが厄介です。
3. 決済代行サービスの偽装
PayPayやStripeなど、業務で利用される決済通知を装って「決済が完了しました」と送りつけ、異議申し立てボタンからフィッシングサイトへ飛ばすパターン。慌ててクリックした担当者が社用アカウント情報を入力し、被害に直結します。
事例からの共通点
これらの事例にはいくつかの共通点があります。
- 短縮URLや偽ドメインを使い、本物に見せかける
- 「至急対応を」と急がせる文言で判断を鈍らせる
- モバイル前提(SMSやスマホ画面)で確認しにくい状況を狙う
つまり「焦らせて、よく見えない状態で、クリックさせる」のが王道パターンです。
防ぎ方(すぐできる対策)
1. 社員教育と疑似訓練
最も効果的なのは、「疑似フィッシングメール」を社内で定期的に配信し、社員に気付かせるトレーニングです。実際に体験させることで「おかしい」と直感できる力を養えます。
2. SMSやURLの確認ルール
「短縮URLは絶対に踏まない」「公式アプリから確認する」など、シンプルで覚えやすい行動ルールを定めましょう。配送業者や税務署は基本的にSMSリンクからは操作を求めません。
3. 技術的フィルタリング
メールゲートウェイやモバイル管理ツールで、危険なURLや添付をブロックする仕組みを導入。小規模でも、クラウド型の安価なサービスが利用可能です。
4. 多要素認証(MFA)
仮にアカウント情報が漏洩しても、MFAがあればすぐには侵入されません。ただしプッシュ通知連打による突破(MFA疲労攻撃)もあるため、番号入力式や物理キー併用を推奨します。
まとめ
2025年のフィッシングは、日常のSMSや業務通知を装い、社員の“うっかり”を狙います。クリックする前に「これは本物か?」を確認する習慣を全社で徹底することが何よりの防御策です。
