もう騙されない!企業へのフィッシング攻撃にもIDaaS+SSOが有効なワケ
手口が巧妙化するフィッシング攻撃は、企業にとって深刻な脅威となっています。一度攻撃を受けると金銭的損失や信用失墜だけではなく、顧客・取引先への二次被害など影響は計り知れません。従来の対策だけでは攻撃を防ぎきれないいま、IDaaS+SSOによる新しいフィッシング対策が注目されています。
この記事では最新の被害事例や攻撃手口について解説し、なぜIDaaS+SSOが企業情報防衛のカギとなるのか、わかりやすく解説します。
■フィッシング攻撃・フィッシングメールとは
フィッシング攻撃やフィッシングメールは、企業にとっては日常的なリスクとなっています。まずは、フィッシング攻撃の概要と、それに関連するメールとの違いについて整理します。
◇騙して情報などを盗み取るサイバー攻撃
フィッシング攻撃とは、攻撃者が実在する企業やサービスを装い、ユーザーを騙してアカウント情報やクレジットカード番号、企業の機密情報などといった重要なデータを盗み取ることを目的としたサイバー攻撃です。
典型的な手口は、正規の組織からの通知を装った偽メールを送信し、受信者を本物そっくりの偽サイトに誘導して情報を入力させるものです。攻撃者は、巧妙な文面や本物のメールに酷似したデザインを用いて受信者の警戒心を和らげ、情報の搾取を狙います。
◇フィッシングメールとなりすましメール・スパムメールの違い
フィッシングメールと混同しがちなものの例として、なりすましメールやスパムメールが挙げられます。なりすましメールは、送信者を偽装して本物の関係者や組織を装うメールであり、フィッシング攻撃の手法として利用されることも多いものです。
対してスパムメールは、広告や宣伝などを無差別に大量送信する迷惑メールを指します。おもな目的は情報搾取ではなく宣伝活動です。
これらのメールは見分けが難しく、複数の手口が組み合わされていることも多いため、受信者側への注意喚起だけではなく組織的な対策が欠かせません。
■フィッシング攻撃の対策が必要な理由
企業がフィッシング対策を取るべきおもな理由については、次のようなものが挙げられます。フィッシング攻撃への対策を怠ると、深刻な事態に発展しかねません。
◇フィッシング被害の報告件数が急増
フィッシング攻撃の報告件数は急増しており、対策の必要性を裏づけるものです。フィッシング対策協議会によれば、フィッシング攻撃の報告件数は2025年3月に過去最高の24万9,936件に達しました。2020年全体の報告件数は約22万件でしたが、これをわずか1ヵ月で上回るほど急増しています。
また、フィッシング攻撃は企業に直接的な金銭的損失をもたらします。フィッシング攻撃によるクレジットカードの不正利用額は、2023年には過去最悪の541億円にまで達しました。
急増した理由としては、類似した文面のフィッシングメールが大量に配信され続けていることや、迷惑メールフィルターをすり抜ける量が増加していることなどが挙げられています。さらに、このようなメールの大量送信に対して「自組織で構築運用しているメールサービスの多くは対応が遅れている」とも指摘されています。
出典:フィッシング対策協議会「2025年3月のフィッシング報告件数」
出典:消費者庁「新井消費者庁長官記者会見要旨」
◇将来的な攻撃の足がかりとなるリスク
フィッシング攻撃は単発の被害にとどまらず、より大規模な攻撃への足がかりとして利用されるリスクもあります。実際に、初回の攻撃で取得した認証情報などをもとに、後述するスピアフィッシングやランサムウェア攻撃が展開されるケースが増えています。
フィッシング攻撃は、ランサムウェアの攻撃対象の情報を取得する手段として頻繁に行なわれており、対象の組織全体のセキュリティ基盤を崩壊させるリスクを持った攻撃です。
◇顧客や取引先への二次被害の可能性
自社の被害だけにとどまらず、顧客や取引先などへ被害を連鎖的に拡大させてしまうリスクについても覚えておくべきでしょう。フィッシング攻撃によって認証情報だけではなく、社内の機密情報も窃取される可能性があります。
その情報のなかには、顧客や取引先に関する情報も含まれており、新たなサイバー攻撃のターゲットとして利用されかねません。情報が漏えいしたとなれば、自社に対する社会的信用も失墜してしまいます。
■フィッシング攻撃の典型的な手口
フィッシング攻撃は手口が多様化しているため、効果的に対策するためには典型的な手口について理解することが欠かせません。ここでは、主要な手口について解説します。
◇メールフィッシングの基本的な手法
典型的なフィッシング攻撃の流れは、攻撃者がメールに偽サイトへのリンクを含めて送信するところから始まります。受信者がメール内のリンクから偽サイトにアクセスし、偽のログイン画面や入力フォームなどに情報を入力することによって内容を窃取します。
不特定の個人を対象とした場合の例だと、金融機関やクレジットカード会社、配送業者などを装うことが多いでしょう。偽サイトは正規サイトと酷似しており、一見しただけでは偽物だと見破られないように作られています。
◇スピアフィッシングによる標的型攻撃
スピアフィッシングとは、特定の個人や組織を狙う高度な手口です。攻撃者は事前に企業のシステム担当者など特殊な権限を持つ特定の個人に関する情報を収集し、上司や取引先を装った偽メールを作成します。
例えばメールは関連する業務の内容を装い、心理的な隙をついて偽サイトへのリンクをクリックするよう誘導します。ターゲットの身近な人になりすますケースが多く、徹底的に調査されたうえで実行されるため、攻撃者の思惑どおりに誘導されやすい点が特徴です。
◇ホエーリング(経営陣を狙った攻撃)
ホエーリングとは、おもに企業の経営層をターゲットとしたフィッシング攻撃です。スピアフィッシングの一種ととらえることができ、社長や役員などの「重要人物」を攻撃対象としています。
高度な権限を持った者(高権限者)を狙い、偽の取締役会通知やM&A案件を装ったメールを送信するなど、企業へのインパクトが大きくなりやすい点がホエーリングの特徴です。高権限者の認証情報などが盗まれると、社長や役員、管理職などになりすました「エグゼクティブフィッシング」につながる可能性もあります。
◇ソーシャルメディアを悪用したフィッシング
近年ではメールだけでなく、SNS(ソーシャルメディア)を利用したフィッシング攻撃も増えています。SNSを利用したフィッシングでは、ユーザーが思わずクリックしてしまうような内容を投稿することによって、フィッシングサイトへと誘導します。
投稿の例としては、偽の求人広告やアカウントの凍結警告などが挙げられ、DM(ダイレクトメッセージ)を悪用したケースもあるため注意が必要です。SNSアカウントを運用する企業も増えているため、フィッシングを通じたアカウントの乗っ取りにも気を付けなければなりません。
「フィッシング攻撃はメールだけに限らない」という点は覚えておきましょう。
■フィッシング攻撃の被害事例
フィッシング攻撃の被害事例を紹介します。これらの事例から、従来のフィッシング対策における限界が見えてきます。
◇証券会社での口座乗っ取り被害
2025年3月に複数の大手証券会社において利用者の口座が乗っ取られ、身に覚えのない取引が実行される被害が発生しました。攻撃者は証券会社を装った偽メールを送信し、受信者を本物そっくりの偽サイトへと誘導しています。
利用者はアカウント情報を入力してしまい、情報を盗まれました。これは個人を対象とした攻撃ですが、なかには200万円以上の損失を被った被害者もいます。この事例からは、従来のパスワード認証だけでは資産を守ることが難しくなっている実態が浮き彫りになったといえるでしょう。
◇大手電子機器メーカー子会社でのビジネスメール詐欺被害
2022年7月、大手電子機器メーカーの子会社において、経営幹部を装った攻撃者からの指示により約5億円が送金されるビジネスメール詐欺(BEC)が発生しました。攻撃者は経営幹部になりすまし、巧妙な文章のメールで担当者に偽の送金指示を出しました。担当者は疑うことなく送金を実行してしまい、多額の資金が流出した事件です。
この事例は、フィッシング攻撃がBECのような高度な詐欺へと発展し、企業に甚大な金銭的損失をもたらす危険性を示しています。
◇二次被害への発展事例
フィッシングで盗まれたクラウドメールの認証情報が、さらなるフィッシングメールの送信に悪用される事例も確認されています。例えば、Microsoftアカウントの情報が盗まれた結果、その正規アカウントを不正に利用してOutlookから新たなフィッシングメールが送信される、といったケースです。
二次攻撃に利用されたアカウントは正規のものであるため、受信者が不審なメールだと気付きにくく、被害が拡大しやすいという特徴があります。このような連鎖的な被害は、組織内外への影響を広げる要因となっています。
■従来のフィッシング対策の限界
従来のフィッシング対策では、攻撃の高度化や多様化に対応しきれず、あまり効果的には防御できていません。そこで、従来のフィッシング対策におけるおもな課題について解説します。
◇URLフィルタリングの対応遅れ
現代のフィッシングサイトは平均寿命が1日以内と非常に短く、従来のデータベース更新型フィルタリングではリアルタイムにブロックすることが困難です。攻撃者はターゲットごとに偽サイトを動的に生成してそこへ誘導するためだけに使っています。
従来の静的なURLリスト依存のフィルタリングでは、このように短命なサイトを発見してブロックすることが困難です。このような現状では、攻撃を防ぐまでに致命的な遅延が生じかねません。
◇ユーザー教育では防げないほど巧妙化している
多くの企業がフィッシング対策の一環として情報セキュリティ教育を行なっていますが、それだけではすべてのフィッシング攻撃を防ぐことは困難でしょう。特に、近年ではAI技術を駆使したディープフェイク映像やパーソナライズドメールが急増しており、人の注意力に頼る対策は限界を迎えています。
どれだけトレーニングしても、誤ってフィッシングメールを開いてしまうリスクをゼロにはできません。現に2024年に起きた事例では、大規模なWebサービスを提供する企業が長期間のサービス停止という事態に追い込まれました。その原因は、従業員が受け取ったフィッシングメールでした。
◇組織内連携不足による対策の穴
部門間の連携不足がセキュリティ対策の分断を招いた結果、攻撃者に脆弱性を突かれるケースも多く見られます。例えば、システム部門と業務部門との情報共有が不十分なため、メールシステムの対策とその効果測定ができない、などです。
フィッシング対策は各部門で行なうものではなく、全社的なプロジェクトとして取り組む必要があります。迷惑メールフィルタリングやURLフィルタリングなどによる技術対策は、個別に実施するのではなく、組織全体で多層的な防御を実現することが重要です。
■IDaaSを使ったSSOがフィッシング対策にも有効なワケ
IDaaS(Identity as a Service)によるSSO(シングルサインオン)は、従来のパスワード認証と比較して、フィッシング攻撃への耐性を高める仕組みを備えています。ここでは、その具体的な理由について解説します。
◇フィッシング耐性の高い認証の仕組みがある
SSOを経由しなければ業務アプリへアクセスできない仕組みを構築することにより、ユーザーは必ず正規のSSOポータルを通じてログインを行なうことになります。そのようにすることで、ユーザーが誤って偽サイトに情報を入力するリスクを大幅に低減でき、IDやパスワードの窃取を未然に防ぐことが可能です。
また、ブラウザにSSO拡張機能を導入すれば、アクセス先のURLが正規の登録済みサイトか自動で判定し、不審なURLの場合は警告やブロックを実行することもできます。このようなURLフィルタリング機能も併せて利用可能です。
◇人に頼らないセキュリティ対策を実現している
IDaaSはOTP(ワンタイムパスワード)や端末認証などの、MFA(多要素認証)をシステム的に導入できます。このような認証プロセスを経ることにより、人的ミスや不注意による情報漏えいリスクの抑制につながります。
IDaaS+SSOによって各業務システムのセキュリティレベルが統一され、組織全体で一貫したセキュリティポリシーを適用できる点も大きな強みです。
◇デバイスベースMFAの優位性がある
フィッシング対策として、そもそも盗まれる可能性のあるIDやパスワードの情報を使わない、という手もあります。
デバイスベースMFAとは、デバイス証明書や生体認証用のデバイスなどを用いたMFAです。これらによりパスワードレス認証が実現可能で、IDやパスワードを使わずにログインできるようになります。
◇継続的な認証と動的アクセス制御が可能
IDaaSはログイン認証だけでなく、ユーザーの行動や端末・アクセス元などの条件に応じて動的にアクセス権を制御できます。連携したクラウドサービスや社内システムへのアクセスに対して、利用者・端末・場所ごとに細かなアクセスコントロールが可能です。
管理者は社内外に点在するクラウドサービスのアカウントを統合的に管理でき、管理者の許可を得た利用者のみが各システムを利用できるようになります。また、ユーザーの行動パターンを継続的に監視し、異常なアクセスや不審な挙動を検知した場合にはアクセスの遮断や、追加認証の要求も可能です。
このような継続的な認証と動的なアクセス制御は、昨今のフィッシング攻撃に対して有効です。
■IDaaS+SSOがもたらすメリット
IDaaSとSSOの導入はセキュリティを強化するだけでなく、業務効率の改善や管理コストの低減、コンプライアンス対応、現代的な働き方の実現に対してもメリットをもたらします。ここではそれぞれの詳細について、一つずつ解説します。
◇利便性の向上
SSOを導入することにより、ユーザーは一度の認証で複数の業務システムやクラウドサービスにアクセスできるようになります。サービスごとにログイン情報を入力する手間がなくなり、異なる業務アプリ間でシームレスな移行が実現可能です。
また、利用者は覚えなければならないパスワードの数が減るため、パスワード管理の負担が大きく軽減されます。安易なパスワードを設定してしまうリスクや、パスワードの使いまわし、パスワード忘れなどといったリスクも抑制できます。
◇IT管理コストの削減
管理者は個々のアカウント設定や、パスワードリセットなどに要する作業時間を大幅に削減できるため、業務効率が向上します。プロビジョニング連携を用いれば、IDaaSで行なったアカウントの登録・削除・更新が自動で反映できるため、連携する各システムで個別にアカウントの登録・削除・更新作業を実施する必要もありません。
手動による設定ミスを防げるため、ヘルプデスク対応を含むアカウント管理負担が軽減され、IT部門のコスト削減効果が期待できるでしょう。その結果、管理者はより重要な業務に注力できるようになります。
◇コンプライアンス要件への対応
IDaaS+SSOはMFAやアクセス制限、SAML・OpenID Connectなどの認証方式に対応しており、セキュリティポリシーの柔軟な設定が可能です。また、監査ログやアクセス管理の一元化と併せて、ユーザーアクセス状況や認証履歴を詳細に記録することが可能で、万が一の際の追跡や証跡管理も強化されます。
これらは、GDPRやHIPAAなどの各種業界規制や法令へ準拠するためにも有効です。IDaaS+SSOによって、各種規制や業界標準を遵守しながら、効率的なセキュリティ管理を実現できます。
◇クラウドファーストな働き方の実現
クラウドサービスの業務利用が一般的となった昨今では、複数の業務ツールを同時に利用するようになっています。IDaaS+SSOの活用は、各システムへ個別にログインする必要がなくなるだけでなく、業務利用するクラウドサービスを統合管理するためにも有効です。
また、IDaaS+SSOの導入により、テレワークやモバイルワークなどの多様な働き方にも柔軟に対応できます。利用者・管理者ともに利便性とセキュリティを両立できるため、クラウド活用を前提としたモダンな業務環境の構築が実現できます。
■フィッシング対策にも役立てられる「GMOトラスト・ログイン」
フィッシング攻撃による脅威が増すなか、これからの企業セキュリティは「認証経路のコントロール」がカギとなります。IDaaS+SSOは「ログインの監視塔」として、利便性を損なわずに社員の行動ミスを防ぎ、認証経路をコントロールするための有効な施策です。
GMOトラスト・ログインであれば、IDaaS+SSO環境を容易に実現できます。クラウド型で、SSO・MFA・デバイス認証などに対応しており、認証の強化とともにアクセスコントロールも実現可能です。 さらに、SSOの実行ログを保管するだけでなく、従業員のシステム利用状況などのログ記録や監視に特化したSIEM製品との連携性も高く、認証経路のコントロールと共に不正な行動の監視も行いやすくすることができます。
加えて、サービス提供元は20年以上の実績を持つ認証局であるGMOグローバルサインのため、サービス自体の情報保護体制も万全です。フィッシング対策も含め、安全な認証基盤を必要とされている方は、GMOトラスト・ログインの利用をご検討ください。
■まとめ
現代のフィッシング攻撃は年々巧妙化しており、従来の対策だけでは十分に防ぎきれない状況が続いています。実際の被害事例からもわかるように、金銭的損失や二次被害のリスクは企業にとって深刻な脅威です。
こうした課題に対し、IDaaS+SSOの導入は効果的です。フィッシング耐性の高い認証や自動化されたセキュリティ対策によって人的ミスを減らし、業務効率とセキュリティ対策の両立を、「GMOトラスト・ログイン」ならスピーディーに実現できます。企業の安全なIT環境の構築のために利用を検討してみてはいかがでしょうか。
GMOトラスト・ログインについてのお問い合わせはこちらから
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。