フィッシングメールの最新手口と見破り方

フィッシング詐欺が過去最悪を更新し続けている

フィッシング対策協議会の報告によると、2025年の国内フィッシング報告件数は約245万件に達し、過去最多を大きく更新した。2020年以降、6年連続で増加が続いている。

急増の背景にあるのが生成AIの進化である。かつてフィッシングメールは不自然な日本語で書かれていることが多く、「怪しい文面で見分けがつく」とされていた。しかし現在は、生成AIが自然な日本語で大量のメールを自動作成できるため、従来の「違和感で判断する」方法が通用しなくなっている。

最新の手口 5パターン

1. 宅配業者を装ったSMS（スミッシング）

「お荷物をお届けしましたが不在でした。再配達はこちら→」というSMSが届く。リンク先は宅配会社そっくりの偽サイトで、IDとパスワードの入力を求められる。高校生でもネット通販を使う機会が増えており、特に注意が必要だ。

2. 証券・銀行を装った緊急メール

「お客様の口座に不審なアクセスがありました」「本人認証が必要です」といった件名のメールが届く。2025年には証券会社を装ったフィッシングによる不正取引が急増し、金融庁も緊急警告を出した。メール内のリンクは正規サイトとほぼ同一デザインの偽サイトに誘導する。

3. QRコードを使ったフィッシング（クイッシング）

メール本文にURLを記載する代わりにQRコードを貼り付ける手口。QRコードはセキュリティソフトのURL検査をすり抜けやすく、スマホカメラで読み取ると偽サイトに直接アクセスしてしまう。紙のチラシや街中のポスターに偽QRコードを貼る物理的な手口も報告されている。

4. PayPay・ポイント系キャンペーン詐欺

「今すぐ受け取れる5,000円分のPayPayポイント」「友達を紹介してポイントをゲット」など、お得感を前面に出したメールが高校生世代に多く届いている。リンク先でアカウント情報を入力すると、PayPayアカウントを乗っ取られ不正利用される。

5. 生成AIによる「完璧な」なりすましメール

従来のフィッシングメールは誤字脱字や不自然な敬語で見分けられたが、生成AIが作る文面にはそうした欠陥がない。さらに、過去の情報漏洩で入手した個人情報を組み合わせて「○○様」と本名入りで届くケースもあり、判別は極めて困難になっている。

見破るための5つのチェックポイント

もしフィッシングサイトに情報を入力してしまったら

万が一、偽サイトにIDやパスワード、カード情報を入力してしまった場合は、以下の手順ですぐに対応する。

高校生が特に気をつけるべき場面

ネット通販の利用時

SNS広告で見つけた「激安サイト」にカード情報を入力するのは最も危険なパターンである。広告プラットフォームの審査をすり抜ける偽広告は大量に存在する。購入前に必ず「ブランド名 + 詐欺」で検索し、公式サイトのURLを自分で確認してからアクセスしよう。

ゲーム・アプリの課金時

「無料でゲーム内通貨がもらえる」といったサイトに誘導され、ゲームアカウントのIDとパスワードを入力させる手口がある。公式以外のサイトでアカウント情報を入力することは絶対に避けるべきである。

学校のメールアドレスへの攻撃

「Googleアカウントのセキュリティ確認」を装い、学校から配布されたGoogleアカウントのパスワードを盗むフィッシングも報告されている。学校のメールにも詐欺は届くということを認識しておく必要がある。