そのメール、本物ですか? ― フィッシング・生成AI詐欺の見分け方|社会人1年目のサイバーセキュリティ基本 第2回

2026年4月8日 最終更新日時 : 2026年4月8日 サイバーレジリエンスサイバーレジリエンス
そのメール、本物ですか? ― フィッシング・生成AI詐欺の見分け方

サイバーレジリエンス株式会社
※本号はAIで執筆した文章を筆者が監修しています。

2026年4月号 月次シリーズ・全4回
社会人1年目から知っておきたい サイバーセキュリティの基本
  1. 第1回 攻撃者はあなたを狙っている ― 新入社員が狙われる理由 配信済
  2. 第2回 そのメール、本物ですか? ― フィッシング・生成AI詐欺の見分け方 ← 今回
  3. 第3回 パスワード・MFA・SNS ― 社会人のデジタル習慣
  4. 第4回 もしもインシデントが起きたら ― 社員としての正しい初動

そのメール、本物ですか?
― フィッシング・生成AI詐欺の見分け方

いつもお読みいただきありがとうございます。サイバーレジリエンス株式会社です。
前回は「なぜ新入社員が狙われるのか」をお伝えしました。

今回は、攻撃の入口として最も多く使われる「フィッシングメール」に焦点を当てます。
生成AIの登場で、フィッシングメールは劇的に進化しています。
かつての「不自然な日本語でわかる」という常識は、もう通用しません。

■ フィッシングとは何か? まず仕組みを理解しよう

フィッシング(Phishing)とは、実在する企業・組織・人物を装った偽のメールやSMSで、
ターゲットを偽サイトに誘導し、IDやパスワードなどを盗み取る攻撃手法です。

「釣り(fishing)」のように餌(偽メール)を使って相手を引っかけることから、その名がつきました。
2025年の日本国内フィッシング報告件数は約245万件に達し、5年前と比べて約10倍に急増しています。

🚨 なぜ今が特に危険なのか

かつてのフィッシングメールは「日本語がおかしい」「送信元が怪しい」などで見分けられました。
しかし生成AIの登場で文章の品質は劇的に向上。
文章の自然さだけでは、本物か偽物かを判断することはもはや不可能です。

245万件
2025年 日本のフィッシング報告件数
5年前の約10倍。過去最多を更新
フィッシング対策協議会 2025
54%
AI生成メールのクリック率
従来型は12%。約4倍以上の差
Brightside AI 2024調査
82%
フィッシングメールにAI生成コンテンツ
大半の攻撃メールにAIが使われている
KnowBe4 / SlashNext 分析
1,210%
2025年のAI詐欺急増率
従来型詐欺の増加率195%を大幅に上回る
Vectra AI 調査 2025

▼ 偽メールの典型例

⚠️ 偽メールの典型例
差出人:Amazon.co.jp <[email protected]>
件名:【重要】お客様のアカウントで不審なアクセスが検出されました

いつもAmazonをご利用いただきありがとうございます。

お客様のアカウントにて、第三者による不審なログインが検出されました。アカウントの安全を確保するため、24時間以内に以下のリンクから本人確認をお願いいたします。期限を過ぎた場合、アカウントが一時停止となります。

→ http://amazon-jp-secure-login.xyz/verify/account?id=xxxxxxx
❌ ここが偽物のサイン:
① 送信元アドレスが「amazon-secure-jp.net」→ 公式は必ず「@amazon.co.jp」または「@amazon.com」
② URLが「amazon-jp-secure-login.xyz」→ 公式ドメインは「amazon.co.jp」のみ
③ 「24時間以内」という緊急性で判断を焦らせる

■ 生成AIが変えた「見分け方」の常識

ChatGPTなどの生成AIを使えば、攻撃者は文法的に正確で自然な日本語のフィッシングメールを大量生成できます。
文章の質や流暢さだけで本物・偽物を判断することは、もはや不可能です。

⚠️ 2025年に確認された新しい手口

  • ディープフェイクビデオ会議:公開動画から上司や取引先の顔・声を学習し、オンライン会議でリアルタイムになりすます。「振込先を変更してほしい」などと指示する手口。
  • 音声クローン詐欺:わずか3秒の音声サンプルから本人と区別がつかない声を生成。電話でCEOや上司を偽装して送金指示を行う。
  • 新入社員・新入学生狙い:2025年4〜5月にかけて、セキュリティ教育を受けていない新人を標的にした攻撃が集中的に増加。
比較項目 従来のフィッシング AI生成フィッシング
日本語の質 不自然・誤字脱字あり 完璧な敬語・自然な文体
カスタマイズ性 画一的な内容 受信者の名前・役職・状況に合わせて変化
作成コスト 手作業で時間がかかる 大量・低コスト・自動生成
クリック率 約12% 約54%(約4倍以上)
見分け方 文章の不自然さで判断できた 文章だけでは判断できない

■ フィッシングメールの見分け方 5つのポイント

文章の自然さは判断基準にならない時代。
では、どこを見ればいいのか。「文章」ではなく「構造」を確認する習慣をつけましょう。

確認ポイント① 送信元の「メールアドレス本体」を確認する
表示名(例:「Amazon.co.jp」)は誰でも自由に設定できます。
必ずメールアドレス本体(@マーク以降のドメイン)を確認してください。
例:表示名「Amazon.co.jp」でもアドレスが「[email protected]」なら偽物。
公式Amazonのドメインは「@amazon.co.jp」または「@amazon.com」のみです。
確認ポイント② クリック前にリンク先URLを確認する
リンクにマウスをかざすと、実際の遷移先URLがブラウザ下部に表示されます。
表示テキストと実際の遷移先が一致しているか確認しましょう。
例:「https://amazon.co.jp/...」と書いてあっても、
実際のリンク先が「amazon-jp-secure-login.xyz」なら詐欺です。
確認ポイント③ 「緊急・期限」の演出に冷静になる
「24時間以内に対応しないとアカウント停止」などは、判断を焦らせる典型的な手口です。
急かされていると感じたら、一度立ち止まることが大切です。
対処法:メール内のリンクは使わず、ブラウザのアドレスバーに公式URLを直接入力して確認する。
本物の重要な通知であれば、公式サイトのログイン後の画面でも必ず確認できます。
確認ポイント④ 公式サイトに直接アクセスして確認する
メール内のリンクは絶対に使わず、ブラウザのアドレスバーに公式URLを直接入力するか、
ブックマークから開いてください。
ポイント:「メール経由でしか確認できない」ということはありません。
ほとんどのサービスはログイン後の通知画面でも確認できます。
確認ポイント⑤ 「社内の人」を装ったメールは電話で本人確認する
上司・人事部・経理を名乗って「緊急で振込が必要」「個人情報を送ってほしい」と依頼する
BEC(ビジネスメール詐欺)も急増しています。
鉄則:金銭・個人情報に関わる依頼は、必ず電話や対面で本人確認を。
正規の組織が電話でパスワードやコードを聞くことは絶対にありません。

■ もし誤ってクリックしてしまったら

「やってしまった」と思っても、パニックにならず、この順番で動いてください。

⚠️ 最も大切なこと:隠さず、すぐ報告する

報告することで被害を最小化できます。隠して放置することが最大のリスクです。
フィッシングに引っかかることは「能力の問題」ではありません。
2025年時点でAI生成のフィッシングメールは専門家でも見分けることが難しくなっています。

✅ 誤ってクリックしてしまったときの4ステップ

  • 1 直ちにネットワークから切断する
    PCのWi-Fiをオフ、または有線ケーブルを抜く。マルウェアの感染・情報流出を食い止める。
  • 2 すぐに上司またはIT部門へ報告する
    「どのリンクを踏んだか」「何かを入力したか」を正確に伝える。スクリーンショットがあれば添付する。
  • 3 パスワードを変更する(別の端末から)
    偽サイトにパスワードを入力した場合は、感染の疑いがある端末ではなく別端末から変更する。
  • 4 担当者の指示に従い端末のスキャンを行う
    IT担当者の指示のもとウイルス対策ソフトでフルスキャンを実施。勝手に使用再開しないことが重要。

■ 今日から使える:フィッシング対策チェックリスト

【メール受信時の習慣】

  • □ 差出人のメールアドレス本体(@以降のドメイン)を毎回確認している
  • □ リンクをクリックする前にURLをマウスオーバーで確認している
  • □ 「緊急・期限」のプレッシャーを感じたら一旦立ち止まる習慣がある
  • □ 重要な通知は公式サイトに直接アクセスして確認している
  • □ 不審なメールはIT部門や上司に相談・転送している

【社内コミュニケーション】

  • □ 上司・経営層を名乗るメールでの金銭依頼は電話で本人確認する
  • □ 取引先からの口座変更・振込依頼は電話で必ず確認する
  • □ 社内のIT相談窓口・緊急連絡先を知っている

【もしもの時の対応】

  • □ 誤ってクリックしたら「切断→報告→変更」の順番を知っている
  • □ インシデントを隠さずすぐ報告する意識がある
  • □ 感染が疑われる端末で勝手な操作・調査をしない

■ まとめ:「文章」ではなく「構造」を見る習慣を

📚 今回のポイント

  • 2025年の日本のフィッシング報告は約245万件。5年で約10倍に急増
    → もはや「自分には届かない」という感覚は通用しない
  • AI生成フィッシングのクリック率は従来型の約4倍(54% vs 12%)
    → 「日本語が自然だから本物」は危険な思い込み
  • 確認すべきは「文章」ではなく「送信元アドレス」と「URL」
    → @マーク以降のドメインとリンク先URLを必ず確認する
  • 「緊急・期限」の演出は焦らせるための手口
    → 急かされたら一旦立ち止まり、公式サイトに直接アクセスして確認
  • やってしまったら「切断→報告→変更」の順で動く
    → 隠すことが最大のリスク。報告することが被害最小化への第一歩

💡 次回予告(4月16日(水)配信)

第3回は「パスワード・MFA・SNS ― 社会人のデジタル習慣」
パスワードの安全な管理方法、MFA(多要素認証)の設定手順、
SNSで気づかずに起きている情報漏えいのリスクを具体的に解説します。

■ 参考情報

※2026年4月8日時点の情報です。
最新情報は各公式サイトで確認してください。

最後までお読みいただき、ありがとうございました。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

****************************
サイバーレジリエンス株式会社
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: [email protected]
https://japan-resilience.co.jp/cyber
****************************

投稿者プロフィール

サイバーレジリエンス
サイバーレジリエンス
カテゴリー
情報
前の記事
『SCS評価制度の正式化 ~制度構築方針の要点、2025年12月案との差異、★3・★4取得の要領~』
2026年4月8日
次の記事
パスワードとMFAで守る ― 認証強化の実践ガイド|社会人1年目のサイバーセキュリティ基本 第3回New!!
2026年4月15日