フィッシング詐欺を会社で防ぐ方法（見分け方・教育・技術対策）

フィッシング詐欺が「会社の問題」になる理由

フィッシング詐欺は「だまされる人が悪い」では終わりません。会社のメールアドレス、チャット、クラウド利用が当たり前になった今、攻撃者は個人ではなく組織のアカウントと資金を狙います。1人のクリックが、社内システムへの不正ログイン、顧客情報の漏えい、送金詐欺、取引先へのなりすまし拡散へ連鎖するためです。

特に中小企業は「セキュリティ担当が専任でいない」「ルールが口頭ベース」「メールの確認が忙しくて流れ作業」になりがちです。一方、大企業の情シスでも「予算はあるが設定が複雑で標準化が追いつかない」「例外対応が多く、抜け穴が残る」といった課題が起きます。結果として、攻撃者にとっては“堅牢に見えて穴がある”環境になります。

フィッシングは年々、手口がビジネス寄りに進化しています。例えば「請求書の再送」「配送通知」「共有ファイルの閲覧」「人事評価の確認」「経費精算の差し戻し」など、業務の文脈に寄せてきます。メールだけでなくSMS、SNSのDM、Teams/Slackなどのチャット、広告、偽のサポート電話と連携するケースもあります。つまり、対策はメールフィルタだけでは足りず、人・運用・技術の三位一体で整える必要があります。

この記事では、専門知識がなくても社内で実装できるように、見分け方（現場の判断基準）、教育（仕組み化と継続）、技術対策（優先順位と設定ポイント）をセットで整理します。読み終えた時に「まず何を変えるべきか」「どこまでやれば再発を減らせるか」が決まることを目標にします。

まず押さえる：フィッシング詐欺の典型パターンと被害シナリオ

フィッシング詐欺は「偽サイトに誘導してID/パスワードを入力させる」だけではありません。会社で頻出するのは、次の3つのシナリオです。どれも入口は小さく、被害は大きくなります。

攻撃者が最初に狙うのは「ログイン情報」か「お金」です。ID/パスワードを入手できれば、正規ユーザーとして振る舞えます。さらに厄介なのは、乗っ取ったアカウントから社内・取引先に送られるメールは信頼されやすい点です。つまり、1通のフィッシングメールが、芋づる式に被害範囲を広げます。

また、最近は「正規サービスを悪用」するケースも増えています。例えば、ファイル共有やフォーム作成サービス、クラウドストレージの共有リンクを使い、URLの見た目を“それっぽく”します。受け手が「よく使うサービスの通知だ」と思い込むと、判断が鈍ります。ここで重要なのは、怪しいかどうかを“雰囲気”で決めないこと。次章で、現場が使える見分け方をチェックリスト化します。

現場で使える見分け方：メール・URL・添付のチェックリスト

フィッシング詐欺対策の第一歩は、現場が迷ったときに「確認する場所が決まっている」状態を作ることです。属人的に“勘”で見抜くのではなく、誰でも同じ手順で判断できるようにします。以下は、業務で使いやすいチェックリストです。

メール本文の「行動を急かす」サイン

• 緊急性：「至急」「本日中」「24時間以内に停止」など、急がせて冷静さを奪う
• 権威性：「管理者」「法務」「監査」「取締役」など、断りにくい立場を装う
• 利益・損失：「未払い」「返金」「罰金」「アカウント停止」など、損得で釣る
• 手順が単純：「ここをクリックしてログイン」「添付を確認」など、考えずに動ける導線

本物の通知にも緊急性はありますが、フィッシングは「急かし＋ワンクリック＋ログイン要求」がセットになりやすいのが特徴です。迷ったら、リンクを押す前に一呼吸置く、がルールになります。

送信元の確認：表示名ではなく“実体”を見る

よくある罠は、表示名が「Microsoft サポート」「宅配業者」「取引先の担当者」になっているケースです。メールソフトの表示名は簡単に偽装できます。確認すべきは、送信元メールアドレスのドメイン（@以降）です。

• 似たドメイン：example.com に見せて examp1e.com（lと1）など、紛らわしい文字
• 不自然なサブドメイン：microsoft.security-update.example.com のように“それっぽい単語”を並べる
• フリーメール：業務連絡なのに Gmail / Outlook.com などから届く（例外はあるので要確認）

取引先になりすましたフィッシングでは、実際の取引先ドメインに似せたドメインを取得して送ってきます。ここで効くのが「請求・送金・口座変更は、メールだけで確定しない」という社内ルールです（後述）。

URLの確認：クリックせずに“行き先”を確認する

リンクはクリックせず、PCならマウスオーバー、スマホなら長押し等でURLを確認します。チェックポイントは次の通りです。

• ドメインが正規か：login.microsoftonline.com のような正規ログイン先か
• URL短縮：bit.ly 等は行き先が隠れるので、業務では原則禁止/要注意にする
• HTTPSの過信：鍵マークがあっても安全とは限らない（詐欺サイトもHTTPS化できる）
• ファイル共有風：「閲覧するには再ログイン」など、ログイン入力を誘導する

重要なのは、正規サービスのログインURLを“社内で決め打ち”しておくことです。例えば「Microsoft 365のログインはブックマークから」「クラウド請求システムはポータルから」など、メール内リンクから入らない習慣が事故を減らします。

添付ファイル：拡張子と“中身の要求”を見る

• 圧縮ファイル：.zip や .rar は要注意。中に実行ファイルが入ることがある
• Officeファイルの警告：「コンテンツの有効化」「マクロを有効化」を求めるのは危険
• 請求書/見積の唐突な添付：文脈がない、過去メールの引用がない、担当者名が曖昧

添付を開く前に「依頼元に別経路で確認する」癖をつけます。別経路とは、電話、社内チャット、既知のメールスレッドへの返信、取引先の代表番号などです。攻撃者はメール経路を支配している前提で動くので、確認は“そのメールに返信しない”が基本です。

教育で差がつく：フィッシング対策を“研修”から“運用”へ

フィッシング詐欺は、年1回の研修だけでは防ぎきれません。理由は単純で、攻撃の手口が変わり、現場のメンバーも入れ替わり、忙しいと判断力が落ちるからです。効果が出るのは、教育を「イベント」ではなく「日常の運用」に落とし込めた会社です。

最小構成：社内ルールを3つに絞って徹底する

ルールが多いほど守られません。最初は次の3つに絞り、全員が暗唱できる状態を作ります。

• ログインはメールのリンクからしない：ブックマークか社内ポータルから入る
• 送金・口座変更は二重確認：メール以外（電話・社内承認）で確認してから実行
• 迷ったら報告：「自分で抱えず、すぐ共有」できる窓口とテンプレを用意

「迷ったら報告」を機能させるには、報告した人が責められない文化が必要です。フィッシングを見抜けなかったことよりも、隠して被害が広がることの方が重大です。情シスや管理部門は、報告を歓迎するリアクションを設計しておくと定着します。

社内フロー：通報→初動→注意喚起の型を用意する

通報が来たときに、担当者が毎回ゼロから判断していると対応が遅れます。おすすめは、以下の“型”を文書化することです。

1. 通報の受付：専用アドレス/フォーム/チャットチャンネルを決め、スクリーンショットとヘッダ情報（可能なら）をもらう
2. 一次判定：送信元ドメイン、URL、添付の有無、社内で同様メールが来ているかを確認
3. 即時アクション：該当メールの隔離・削除依頼、URLブロック、添付の隔離、注意喚起を出す
4. 被害確認：ログインしてしまった/添付を開いた/情報を入力したかを確認し、パスワード変更やセッション無効化へ

「ヘッダ情報」は難しければ無理に求めず、まずは転送でも構いません。重要なのは、通報が集約されることです。集約されると「同時多発」や「部署特有の狙われ方」が見えて、技術対策の改善にも繋がります。

疑似フィッシング訓練は“罰ゲーム化”させない

疑似フィッシング訓練（模擬メール訓練）は有効ですが、やり方を間違えると逆効果です。「引っかかった人を晒す」「評価に直結させる」などは、報告が減り、隠蔽が増える原因になります。目的は犯人探しではなく、気づくポイントを学習して行動が変わることです。

実務的には、部署別に刺さりやすい題材（経理なら請求書、採用なら応募者、営業なら見込み客）を選び、訓練後に「どこが怪しかったか」を1枚の解説で配布します。さらに「迷ったらこの手順」として、ブックマークログインや通報テンプレを再提示すると、教育が運用に接続します。

技術対策の優先順位：メール・認証・端末を固める

教育だけでは限界があるため、技術対策で“失敗しても被害が拡大しない”設計にします。ここでは、情シスが詳しくなくても意思決定しやすいよう、優先順位と効果をセットで説明します。投資対効果が高い順に並べると、概ね「認証」「メール防御」「端末/ブラウザ」「監視とログ」の順です。

多要素認証（MFA）と条件付きアクセス：最優先

フィッシングでID/パスワードが漏れても、MFAがあれば不正ログインを止められる確率が上がります。特にMicrosoft 365やGoogle Workspaceなどのクラウド利用がある会社は、MFAを全社必須にするのが基本です。

• 推奨：認証アプリ（プッシュ通知/コード）やFIDO2などのパスキー
• 注意：SMSは他より弱い場合があるため、可能ならアプリ方式へ
• 強化策：条件付きアクセス（国・端末準拠・リスク検知）で“いつもと違うログイン”を止める

さらに進めるなら「パスワードレス」や「フィッシング耐性のある認証（FIDO2/セキュリティキー）」が効果的です。全員一斉が難しければ、経理・役員・情シスなど“狙われやすい役割”から段階導入します。

メール防御：SPF/DKIM/DMARCと迷惑メール対策

メールのなりすまし対策として、送信ドメイン認証（SPF/DKIM/DMARC）は重要です。これは「自社になりすましたメールが外部に届くのを減らす」「取引先からの信頼を落としにくくする」効果があります。設定はドメイン管理やDNSが絡むため、詳しい担当がいない場合は外部支援も検討対象です。

• SPF：このドメインから送る正規メールサーバを宣言する
• DKIM：電子署名で改ざんを検知しやすくする
• DMARC：SPF/DKIMに失敗したメールをどう扱うか（隔離/拒否）方針を決める

加えて、メールゲートウェイやクラウドの保護機能（URL書き換え、添付のサンドボックス、なりすまし検知）を有効化します。ポイントは「検知」だけで満足しないことです。隔離運用、誤検知の対応、例外の管理を含めて、運用できる強さに調整します。

端末とブラウザ：更新、権限、マクロ制御

添付やダウンロード経由の被害を減らすには、端末の衛生管理が効きます。難しい設定よりも、まず「基本を落とさない」ことが重要です。

• OS/ブラウザ/Officeの自動更新：更新停止は原則禁止。例外は期限付きで管理
• 管理者権限の最小化：日常業務で管理者権限を使わせない
• マクロの制御：インターネット由来のOfficeマクロを無効化、必要なら署名付きのみ許可
• EDR/アンチウイルス：検知だけでなく隔離・復旧までの運用手順を用意

特に「権限の最小化」は即効性があります。管理者権限で日常作業をしていると、万一の実行ファイルがシステム全体に影響しやすくなります。アプリのインストール申請フローを整え、現場のストレスを下げつつ統制します。

ログと監視：発見を早めると被害は小さくなる

フィッシングは、侵入そのものよりも「発見が遅い」ことが致命傷になります。不正ログインは夜間や休日に行われることも多く、気づいた時には社内メールが大量に送信されている、ということもあります。

• 最低限見るべき：異常なサインイン（国/デバイス/失敗連続）、メール転送ルールの追加、権限変更
• アラート：高リスクユーザー（経理・役員）のログイン異常は即通知
• 保管：ログの保持期間を延ばし、調査に使える状態にする

体制が小さい場合は、すべてを24時間監視するのは現実的ではありません。まずは「重大アラートだけ通知」から始め、月次で見直します。技術は高度でも、運用が回らなければ効果が出ないため、続けられる監視を優先します。

導入の進め方：90日で“再発しにくい会社”にするロードマップ

フィッシング詐欺対策は、全部を一気にやろうとすると止まります。おすすめは、90日で段階的に「事故が起きにくい」「起きても広がらない」状態へ持っていく進め方です。以下は、一般的な中小企業〜部門単位でも適用できるロードマップです。

最初の2週間：被害を止めるための即効策

• MFAを全社有効化：まずは主要クラウド（メール/ストレージ/チャット）から
• 送金・口座変更の二重確認を文書化：経理/購買に限定でもよいので今日から適用
• 通報窓口を一本化：専用メールアドレスやチャットチャンネルを作る
• 「メールのリンクからログインしない」周知：社内ポータル/ブックマークを配布

この段階は、完璧さよりスピードです。特にMFAは、最も費用対効果が高い基本対策で、フィッシングによるアカウント乗っ取りリスクを大きく下げます。

30日：見える化と例外管理を作る

• 疑似フィッシング訓練を小さく開始：まず1部署で実施し、解説を配布
• メール防御機能を有効化：URL検査、添付スキャン、なりすまし検知の設定を確認
• 端末更新と権限を棚卸し：更新停止端末、管理者権限の実態、野良SaaSを把握

ここで大事なのは、例外を「放置」しないことです。例外は必ず出ますが、期限と責任者を決めれば統制できます。例外の可視化は、セキュリティ投資の説明資料にもなります。

60〜90日：なりすましの根本対策と監視の整備

• SPF/DKIM/DMARCの整備：まずはDMARCを監視（レポート）から始め、段階的に強化
• 条件付きアクセス：リスクの高いサインインをブロック、準拠端末のみ許可などを検討
• インシデント初動手順：アカウント停止、セッション無効化、メール転送ルール確認の手順を定型化

このフェーズまで来ると、攻撃を「受けない」ではなく「受けても耐える」設計になります。さらに取引先からの信頼（なりすまし送信が減る、説明できる）にも繋がります。

もしクリックしてしまったら：初動対応と再発防止のポイント

どれだけ対策しても、ゼロにはできません。だからこそ「起きたときに何をするか」を決めておくことが最大の保険です。初動が早ければ、被害は大きく縮小できます。ここでは現場向けと管理側向けに分けて整理します。

現場（本人）がやること：隠さず、すぐ止める

• 情報入力前なら：画面を閉じて通報（URL・件名・スクショ）
• ID/パスワードを入力したなら：すぐパスワード変更（可能なら別端末から）し、情シスへ連絡
• MFA承認を押したなら：不正ログインの可能性が高いので緊急として扱う
• 添付を開いた/実行したなら：ネットワークから切り離し、電源を切る指示は社内方針に従う

重要なのは「怒られたくないから黙る」を防ぐことです。通報が早いほど、管理側がセッション無効化や送信停止などの手を打てます。通報は貢献というメッセージを普段から出しておきます。

管理側（情シス・管理部門）がやること：乗っ取りの痕跡を潰す

• アカウント保護：パスワードリセット、サインアウト（セッション無効化）、MFA再登録
• メール設定確認：自動転送、受信ルール、署名変更、代理送信権限の追加がないか確認
• 影響範囲：同じメールを受け取った社内ユーザー、取引先への注意喚起
• 端末対応：EDRで隔離・スキャン、必要なら初期化と復旧

特に「メール転送ルール」は見落とされがちです。攻撃者は、認証情報を奪った後に転送を設定し、やり取りを盗み続けます。復旧作業は、アカウントを戻すだけでなく、再侵入の仕掛けを消すところまでがセットです。

件名：【通報】フィッシング疑い
受信日時：
受信したメールの件名：
送信元（表示名/アドレス）：
怪しいと思った点（URL/添付/文面）：
URL（分かれば）：
操作した内容（クリックのみ/ログイン入力/添付を開いた 等）：
スクリーンショット（添付）：

まとめ

フィッシング詐欺は、個人の注意力に頼るほど事故が起きます。会社で防ぐには、見分け方の共通手順・教育の運用化・技術対策の優先順位をセットで整えるのが近道です。

• 現場は「メールのリンクからログインしない」「迷ったら通報」を徹底する
• 管理側はMFAを最優先で全社適用し、条件付きアクセスで不審ログインを抑える
• メール防御（SPF/DKIM/DMARC、URL/添付対策）と端末の基本（更新・権限）を固める
• クリックしてしまった場合の初動（通報テンプレ、セッション無効化、転送ルール確認）を定型化する

「どこから手を付けるべきか分からない」「設定・運用まで含めて設計したい」という場合は、現状の棚卸しから段階導入まで伴走できる体制があると、短期間で再発率を下げやすくなります。まずは社内の重要業務（経理・役員・情シス）から、守りを固めていきましょう。