最近、フィッシング詐欺やなりすましメールが急増していると感じませんか。

 

以前は「日本語が不自然」、「文章が変」などの違和感で気づけるケースも多かったのですが、最近は一見すると本物と区別がつかないメールも珍しくありません。判断が難しい時代になってきています。

 

本記事では今、何が起きているのか。企業とユーザは何をすべきかについて、考えてみたいと思います。

 

詐欺メール急増の大きな要因は、AIの急速な進化です。日本語がネイティブではない攻撃者にとって、日本語でのメール作成は、一定のハードルがあり、従来はこの点が「ランゲージバリア」になっていました。

 

ところが、生成AIの劇的進化により、自然で丁寧な日本語の文章が簡単に作れるようになりました。その結果、

・不自然さのない詐欺メール

・企業の文面を真似たメール

・状況に合わせて内容を変えるメール

 

などが簡単に作成できるようになっています。

 

AIは本来、便利な技術ですが、悪用されることで詐欺の精度も上がってしまっています。

文面からは「普通の案内メール」に見えることも多い状況になっているのです。

 

以前は高度なサイバー攻撃には専門知識が必要でした。

 

今は生成AIを使えば、標準的な知識を持つ攻撃者が「数分で」完璧な日本語のフィッシングメールを大量生産できる。

いわゆる「攻撃の民主化」が起きている状況にあります。

 

特に日本はこれまで「ランゲージバリア」に守られてきたことから、対策が進んでおらず、日本をターゲットとした攻撃が急増していることが指摘されています。

 

例えば、「2025年7月の新種メール攻撃の約90％が日本向けだった」ことが米Proofpoint社のサイトで報告されています。

 

 

また、以前は、差出人のメールアドレスから、正規メールかどうか判断できることも多くありました。しかし現在は、正規のアドレスを偽装した詐欺メールも増えています。（アドレス偽装については「インターネットヘッダー」の確認が有効）

 

詐欺メールの目的は以下などです。

 詐欺メールの急増は、もはや一部の人だけの問題ではないと言えるでしょう。

また、被害は“自分が騙された”だけでは終わりません。 

 という「被害者が次の被害を生む構造」も重大な問題です。

 

 

フィッシング詐欺や迷惑メールが急増した結果、メールサービス各社は対策を強化しています。

その代表例が、迷惑メールフィルタの強化や、送信元の認証チェックの厳格化です。

 

ところが、その影響を受けて、

・正規のメールであっても迷惑メールに振り分けられる。

・そもそも相手に届かない。

といったケースも増えています。

 

つまり現在は、「詐欺メールが増えた」だけでなく、「正当なメールまで届きにくくなっている」という2つの問題が同時に起きているのです。

 

私がメール不達問題を実感したのは、確か2024年だったと記憶しています。

この時期、Googleが、Gmailにおいて送信ドメイン認証（SPF・DKIM・DMARC）が適切に設定されていないメールについて、迷惑メール扱いや受信拒否を強化すると発表しました。特に、大量配信されるメールについては、DMARCの設定が事実上必須となり、設定が不十分な送信元のメールは届きにくくなりました。

 

それに続いて、マイクロソフトも、Outlook系のメール（outlook.jp や outlook.comなど。Hotmail、Liveメールを含む）宛のメールについて、同様に送信ドメイン認証を重視する方針を打ち出し、認証が不十分なメールについては受信制限や迷惑メール判定を強化しました。

 

結果的に、それまでは送信できていたのに、GmailやOutlookのメールにはメールが届かなくなり、個別に対策が必要になりました。

つまり、受信者側だけでなく、送信者側にも対策が必須の時代になったと言えます。

 

この問題を解決するために、重要になるのが発信者側の対策です。

 

 

こうした状況の中、メールを送る側には、「自分のメールが正規のものである」と証明する責任が生じています。

そのために必要なのが、以下のような送信ドメイン認証の設定です。

 

 

ここでは仕組みの詳細には踏み込みませんが、目的は共通しています。

「このメールは、なりすましではありません」と、受信側サーバーに示すための仕組みです。

 

これらはIT担当者のタスクではなく、経営者や広報・営業担当者が知っておくべき「信用のインフラ」であると言えます。

 

近年、GmailやOutlookなど主要なメールサービスでは、送信元が「本当にその会社か」を確認するため、上記設定を求めるようになっています。こうした設定がなされていないと迷惑メール扱いになる可能性が高まります。「届く状態で送れているか」は発信者の基本的な責任となっています。

 

特に、会社のドメインを使って業務メールを送っている場合、これらの設定は「ITの話」ではなく、「信用の話」と言えるでしょう。

 

なお、上記のうち、DMARCを設定することは、自社のメールを届かせるためだけでなく、「自社を騙るなりすましメールを、受信者のサーバー側でブロックさせる」設定です（隔離・拒否）。

 

自社のメールを届かせる仕組みであると同時に、「自社のブランドを悪用させないための盾」である点からも重要です。

 

 

詐欺メールと並行して増えているのが、Webサイトへの攻撃です。

不正アクセスや脆弱性を狙った攻撃により、

・顧客情報

・問い合わせフォームの内容

・ログイン情報

 

などが盗まれるケースも発生しています。特に注意が必要なのは、「自社サイトが踏み台にされる」リスクです。

 

自社のサーバーが乗っ取られると、

・詐欺メールの送信元として悪用される

・不正なページを設置される

・ウイルス配布の中継点にされる

といった二次被害につながる可能性があります。

 

その結果、

・自社の信用が失われる

・取引先に被害が及ぶ

・個人情報流出として問題化する

といった深刻な事態になりかねません。

 

メール対策と同様に、

・WordPressやプラグインの更新

・不要なアカウントの削除

・パスワード管理

・セキュリティ対策の導入

など、サイト側の対策も欠かせません。

 

攻撃の多くは“無差別”に行われています。規模の大小に関係なく、対策が必要な時代になっています。

 

 

最後に、私自身が個人情報流出被害にあった事案をご紹介します。

あるサイトから「攻撃に合い、個人情報を流出させてしまいました」というメールが届いたのです。

 

そのサイトは、学校行事などの写真を販売する会社の販売サイトです。

この会社の写真販売サイトが攻撃を受け、「個人情報がダークウェブに流出しました」とのこと。

 

実は、この会社のシステムには独特の点がありました。それはユーザ登録の際に「生年月日」登録が必須である点でした。

 

ユーザ登録の際になぜ「生年月日」登録が必要なのか疑問を抱きました。ただ、ユーザ登録しないと写真を閲覧できず、しかたなくユーザ登録を行いました。結果的に、メールアドレスと生年月日がセットで流出してしまいました。

 

この会社からは「クレジットカードは流出しておりません」という釈明がありました。この釈明からは「金銭的な実被害さえなければ問題ない」という、会社側の自社の責任を最小化しようという姿勢が感じられました。

 

実際は、クレジットカードの番号は再発行で変更可能な情報です。

 

メールアドレスは、クレジットカードよりも変更のハードルが高く、生年月日に至っては、生涯にわたって変えることのできない情報であり、他の情報と合わせて、本人確認に使われる重要な情報です。いわば、本人特定のための「一生モノの識別子」です。

 

つまり「生年月日」流出は、将来のリスクにつながる重大な事案です。

 

ところが、当該会社の説明は、その重大さを認識しているとは思えない対応でした。そこで、将来の新たな流出リスクを考慮して、「生年月日」登録必須をやめるべきではないかと伝えましたが、対応するつもりはないとのことで回答を打ち切られてしまいました。

 

AI進化は、詐欺メール増加、メール不達問題、サイト攻撃と個人情報流出リスクの増大などさまざまな変化をもたらしています。

 

一ユーザとしても、無用に個人情報を収集するサイトやセキュリティ意識の低いサイトへは登録しないなどの防御策が必要と実感させられました。

  

企業側としては、システム設計の際に 

・本当に必要な情報か。 

・流出したら取り返しがつかない情報ではないか。

 

といった観点を、これまで以上に慎重に検討する必要があります。

 

近年、国際的なプライバシー保護の指標となっているのが「データ最小化（Data Minimization）」という原則です。これは、特定の目的を達成するために必要最低限のデータだけを収集・保持し、それ以外の不要なデータ処理を抑制するという考え方です。

 

業務上どうしても必要な情報だけを扱い、不可欠ではない個人情報は「そもそも収集しない」。

この設計思想そのものが、現代のサイバー攻撃に対する強力な防御策となります。

 

サービス提供側は、「万が一流出したときに、自社が責任を取りきれる情報だけを預かっているか」を今一度自問すべきでしょう。