※PIXTA

「フィッシング詐欺」。一度は耳にしたことがある言葉ではないでしょうか。 本物の企業やサービスを装い、クレジットカード番号やID・パスワードなどの重要な個人情報を騙し取り、それらを利用して不正に金銭的利益を得ようとする詐欺のことです。

ニュースやSNSでもたびたび話題になり、注意喚起の呼びかけも繰り返されています。しかし実はこのフィッシング詐欺、被害数は年々増加しています。

フィッシング対策協議会に寄せられた報告件数を見ると、2020年は22万4,676件だったのに対し、2023年には119万6,390件、さらに2025年には245万4,297件にまで増加しています。わずか5年の間に、およそ10倍規模へと急増している計算です。

これほどまでに話題になり、社会全体で注意喚起が行われているにもかかわらず、なぜ被害は拡大し続けているのでしょうか。 本稿では、私たち自身の心理的な特性と、電子メールの技術的な仕組みの両面から、フィッシング詐欺の「なぜ」と「どう防ぐか」を考えていきます。

フィッシング詐欺にどんなパターンがある？

フィッシング詐欺の最も典型的なパターンは、銀行やクレジットカード会社などを装い、メールやSMSを通じて利用者を偽のWebサイトへ誘導し、クレジットカード番号やネットバンキングのログイン情報などを入力させて騙し取るものです。 犯人はこうして入手した情報を悪用し、不正送金や不正決済を行うことで、直接的な金銭的利益を得ようとします。

しかし近年では、なりすます組織や狙われる情報の種類が大きく多様化しています。 これまでは主に有名な銀行や大手ECサイトがなりすましの対象でしたが、最近では地方銀行や比較的小規模なサービスを装ったフィッシング詐欺も確認されています。

こうしたケースでは、「普段から利用している身近なサービス」であるがゆえに警戒心が薄れやすく、利用者の油断を誘いやすい点が狙われている可能性があると指摘されています。

また、騙し取ろうとする情報も、直接決済や送金に悪用できるものだけにとどまりません。 住所や氏名、生年月日、さらには身分証明書の画像といった情報までターゲットとなりつつあります。これらの情報は、別の詐欺や不正行為に利用されるなど二次被害につながる可能性が高く、結果として被害が長期化・深刻化するリスクも高まっています。

このように年々巧妙化・多様化しているフィッシング詐欺に騙されないためには、最新の手口や被害事例に関する情報を継続的にアップデートしていくことが重要です。 警察や公的機関による注意喚起、ニュース報道、SNSなどさまざまな情報源から詐欺の動向を把握し、得た情報を周囲と共有することも、被害抑止につながります。「自分には関係ない」と考えず、できることから行動していきましょう。

フィッシング詐欺の心理学

自分だけは大丈夫？ -フィッシング詐欺と楽観（正常性）バイアス

「自分は詐欺なんかに引っ掛かるわけがない」 そう思ったことはありませんか。

ニュースでフィッシング詐欺の被害を目にするたびに、「どうして騙されるのだろう」と感じた人も多いでしょう。確かに手口が巧妙とはいえ、冷静に考えれば気づけるはずだ、とどこかで思っているかもしれません。

しかし、島根県警察が令和3年に県内の特殊詐欺被害者を対象に実施したアンケートによると、**被害者の78％が「自分はだまされないと思っていた」**と回答しています。 つまり、多くの人が「騙されない自信」を持っていたにもかかわらず、実際には被害に遭っているのです。

この背景にあると考えられるのが、「正常性バイアス」です。 正常性バイアスとは、自分にとって都合の悪い情報や危険な状況を過小評価し、「自分は大丈夫」と無意識に思い込んでしまう心理的傾向を指します。

この傾向自体は、私たちが過度な不安にとらわれず日常生活を送るために必要なものでもありますが、詐欺の場面では裏目に出ることがあります。 「自分のところに限って、そんなメールは来ないだろう」 「本当に危険なメールなら、きっとどこかで気づけるはずだ」 こうした思い込みが警戒心の低下につながり、結果として詐欺被害を招いてしまう可能性があるのです。

「自分にも正常性バイアスがある」と理解しておくことが、詐欺から身を守るための大きな力になると言えるでしょう。

月曜日の朝は要注意！-フィッシング詐欺と認知リソース

フィッシング詐欺の被害は、統計的に月曜日の朝や金曜日の夕方といった時間帯に増加する傾向があると言われています。 これは、疲労や忙しさによって脳の認知リソース（注意力や判断力に使える余力）が低下しやすい時間帯であるためだと考えられます。

認知リソースが乏しい状態では、警戒心が緩み、状況を十分に確認しないまま、本来であれば慎重に行うべき行動——たとえばIDやパスワードの入力など——を安易に判断してしまいがちです。その結果、フィッシング詐欺に引っかかりやすい状態に陥ってしまいます。

こうした状況への対策として有効なのが、1PasswordやGoogle Password Manager、Appleのパスワードアプリなどのパスワードマネージャーの活用です。 多くのパスワードマネージャーはWebサイトのドメイン名に基づいてログイン情報を管理しているため、偽サイトにアクセスしてしまった場合でも、正規のドメインと一致しなければ自動入力の候補は表示されません。

この「いつもと違う」という分かりやすい違和感が、偽サイトに気づくきっかけになることもあります。 また、強固なパスワードの生成・管理を容易にする点でも、パスワードマネージャーは有効です。未使用の方は、一度導入を検討してみてはいかがでしょうか。

「アカウント停止」の恐怖 -フィッシング詐欺と損失回避バイアス

フィッシングメールの件名や文面には、「今すぐ対応しないとアカウントが凍結されます」「クレジットカードの不正利用を防ぐため、至急手続きが必要です」など、損失への不安を煽り、行動を急がせる表現が多く見られます。 これは、人間の「損失回避バイアス」を利用した手口です。

損失回避バイアスとは、人は利益よりも、同じ金額の損失をより強く感じる傾向がある、という心理現象を指します。

この心理を理解しておくことで、「不安を煽るメールほど立ち止まって確認する」という行動につながり、結果として被害防止につながります。

例えば、次の二つのケースを想像してみましょう。
（1）家を片付けていたら、小学生の頃に大好きだったゲーム機が出てきました。インターネットで調べてみると、そのゲーム機には現在プレミアがついており、相場が10万円ほどになっていることがわかりました。さて、あなたはどうしますか。多くの人は、すぐに売ろうとはせず、そのまま手元に残しておこうと考えるのではないでしょうか。

（2）中古ゲームショップに行ったところ、たまたま昔好きだったゲーム機がプレミア価格の10万円で売られているとします。さて、あなたはどうしますか。この場合、特別な理由がない限り、多くの人は購入を見送るでしょう。

どちらのケースも本質的には「そのゲーム機に10万円の価値があるかどうか」という同じ問題です。しかし、多くの人は（1）ではゲーム機そのものにより高い価値を感じ、（2）では10万円というお金のほうにより価値があると判断します。これは、同じ10万円でも、（1）では「得をする」状況として捉えられ、（2）では「失う」状況として捉えられるからです。
フィッシング業者はこの「損失回避バイアス」を利用し、フィッシングメールの件名や本文に損失を示唆する文言を織り込み、受信者の不安をあおることが少なくありません。そのため、損失を強調するようなメールが届いても慌てず、事実関係を確認しつつ冷静に対応することが、詐欺被害の防止につながります。

フィッシングメールの見分け方

さて、ここからは電子メールが届いた際に、それが正規のものかどうかを見分ける方法についていくつか見ていきましょう。

 送信元の確認とドメイン認証技術について

正規のメールかどうかを判断する方法として、よく挙げられるのが「Fromアドレス（送信元アドレス）の確認」です。しかし、手紙の差出人欄に理論上は自由に名前を書けてしまうのと同じように、メールのFromアドレスも送信者が任意に設定できる仕組みになっているため、Fromアドレスの確認だけでは十分とは言えません。

そこで、送信元ドメインの信頼性を確認するために導入されたのが、SPF・DKIM・DMARCといった*「ドメイン認証技術」です。

少し技術的な説明になりますが、SPF（Sender Policy Framework）は、メールが「Envelope Fromアドレスのドメインが許可したIPアドレスから送信されているかどうか」を確認する仕組みです。 DKIM（DomainKeys Identified Mail）は、メールに電子署名を付与することで、送信元ドメインの正当性を確認するとともに、配達途中でメール内容が改ざんされていないかを検証します。 一方、DMARC（Domain-based Message Authentication, Reporting and Conformance）は、SPFやDKIMの認証結果をもとに、Header Fromアドレスのドメインと認証済みドメインが一致しているか（つまり、Header Fromアドレスの利用が許可されているか）を確認し、不正なメールが検出された場合にどのように扱うかを定める仕組みです。

ヤフーメールでは、SPF・DKIM・DMARCの認証状況や認証ドメインを、UI上の「このメールの認証情報」というリンクから確認できます。 Gmailなど他のメールサービスでも、同様の機能が提供されているケースが多いため、怪しいメールが届いた場合は、Fromアドレスや本文の内容だけで判断せず、これらの認証結果が「成功（pass）」となっているか、また認証ドメインが正規のものかどうかも併せて確認してみるとよいでしょう。

図1：ヤフーメールの「このメールの認証情報」機能

ブランドアイコンやBIMIについて

一部のメールサービスでは、有名企業やサービス、ブランドから送信された正規のメールに対して、送信元のロゴなどを表示する仕組みが導入されています。 例えばヤフーメールでは「ブランドアイコン」という機能が提供されており、また業界共通の取り組みとして「BIMI（Brand Indicators for Message Identification）」の普及も進んでいます。

ヤフーメールを例に見てみましょう。ヤフー公式から送信されたメールには、UI上のFrom欄にヤフーのロゴ、あるいは各サービスのロゴが表示されます。また、「認証」の欄には、「このメールはYahoo! JAPAN各サービスより送信されていることが保証されています」といった文言が表示されます。

図2：ヤフーメールの「ブランドアイコン」機能

このような視覚的な認証情報は、メールが正規のものであるかどうかを判断する際の一つの手がかりになります。お使いのメールサービスに同様の仕組みがあるか、一度確認しておくと、正規のメールかどうか不安を感じた際のチェックポイントとして役立つでしょう。

※ヤフーメールのブランドアイコンに対応している企業・サービス・ブランドの一覧は、以下のページで確認できます。 https://announcemail.yahoo.co.jp/brandicon_list/index.html

最後に…

フィッシング詐欺の手口は、技術の進歩とともに今この瞬間も進化を続けています。しかし、人間の心理的な隙につけ込むという本質は変わりません。

自らの心理的特性を理解し、詐欺の手口や対策に関する知識を定期的にアップデートしていくことが、被害から身を守るための最も現実的な方法です。 一人ひとりが意識を高め、より安全なインターネットライフを目指していきましょう。

参考資料：

(1)フィッシング対策協議会 月次報告書
https://www.antiphishing.jp/report/monthly/

(2)島根県警察 特殊詐欺被害者アンケートの結果
https://www.pref.shimane.lg.jp/police/01_safety_of_life/tokusyu_sagi_higai_boushi/sagi-tyousa.data/anke-toR3.pdf

(3)GUARDIAN Inc. フィッシング詐欺の心理学｜騙される仕組みと心理的防御【認知バイアスの悪用】
https://guardian.jpn.com/security/scams/phishing/column/techniques/psychological-tricks/

文：  Li Yikai（LINEヤフー株式会社 テクノロジーソリューションズCBU PIM開発ユニット）
編集：学生の窓口編集部