経理担当の社員が取引先を装ったメールを開いて、請求書の支払い先口座を変更してしまった。実際に起きているのはこういう話だ。フィッシングメールは「怪しいリンクをクリックしないよう注意する」だけでは防げない時代になっている。
フィッシング対策協議会が公開した「フィッシングレポート 2025」によると、2024年に日本国内で報告されたフィッシング件数は過去最多の171万8,036件に達した。2023年と比べて約1.44倍の水準で、件数は毎年更新されている。
この記事では、IT担当者がいない中小企業でも実施できる社員教育の具体的な進め方を書く。「意識を高めましょう」で終わる内容ではなく、今週中に着手できる手順として整理する。
業務効率化の支援をしている中で、僕はセキュリティ教育を一度も実施したことがない会社に繰り返し出会う。「うちは大丈夫」と思っている会社ほど、被害に遭ってから対策を始めることになる。先に動いてほしい。
なぜ中小企業が標的になるのか
セキュリティが手薄な会社が狙われる
「うちみたいな小さい会社は狙われない」という判断は、残念ながら正確ではない。攻撃者は規模で標的を選んでいない。メールアドレスさえ知っていれば、あとは自動的に大量送信できる。
中小企業が狙われやすい理由は3つある。
1. セキュリティ教育を実施していない会社が多い
大企業と違い、年1回のセキュリティ研修すら実施していない中小企業は珍しくない。攻撃者から見ると、そういう会社の社員は引っかかりやすい。
2. IT担当がいない
専任のIT担当がいないと、怪しいメールが来ても社内で誰に相談すべきか分からない。判断が個人に委ねられるため、対応がバラつく。
3. 大企業へのサプライチェーン攻撃の入口として狙われる
大企業のセキュリティが強固になった結果、その取引先である中小企業を経由して侵入しようとするケースが増えている。取引先を装ったフィッシングメールは、メール本文に担当者名や案件名が書かれていることもあり、見分けにくい。
最近のフィッシングメールの手口
精度が上がっている
5年前のフィッシングメールは、日本語が不自然で見分けやすかった。今は違う。生成AIで文章を生成しているケースもあり、違和感のない自然な日本語で書かれている。
主な手口は以下の通りだ。
宅配業者・金融機関を装う
「荷物の不在通知」「口座の異常ログイン」など、日常的に受け取るメールに偽装する。URLを見ると公式とは異なるドメインになっているが、スマートフォンでは確認しにくく、そのままリンクをタップしてしまうケースがある。
取引先を装う(標的型攻撃メール)
会社名・担当者名・実際の取引内容を調べた上で、取引先を名乗ってメールを送る手口だ。「先日ご送付いただいた見積もりの件で確認があります」という文面で添付ファイルを開かせる。添付ファイルにマルウェアが仕込まれていることが多い。
支払い先口座の変更を依頼する(BECビジネスメール詐欺)
経理担当に「取引先から」口座変更の依頼メールが届き、変更先に振り込んでしまう。気づいた時には資金が回収不能になっている。警察庁によると、国内のビジネスメール詐欺被害額は年々増加している。
フィッシングメール対策の社員教育:3段階で進める
教育の効果を出すには、知識を入れるだけでは不十分だ。訓練と仕組み化をセットで進める必要がある。
Step 1: 見分け方の知識を全社員に共有する
まず全社員が「フィッシングメールとはどういうものか」を理解している状態を作る。研修資料やPDFを配布するだけでなく、具体的な事例を見せることで理解が深まる。
以下のチェックリストを社内で共有することから始めるといい。
フィッシングメールを疑う7つのチェックポイント
| チェック項目 | 確認方法 |
|---|---|
| 送信元のメールアドレスのドメインが正しいか | @以降が公式ドメインと一致しているか確認 |
| URLが公式サイトのものか | リンクにカーソルを合わせて表示されるURLを確認 |
| 本文に不自然な緊急性がないか | 「24時間以内に対応しないと」「アカウントが停止」等は要注意 |
| 添付ファイルの拡張子が不自然でないか | .exe / .zip / .xlsm 等の実行ファイルは特に注意 |
| 文体や内容に違和感がないか | 取引先を名乗っているが内容が不自然な場合は確認 |
| 事前に連絡なく届いた添付ファイルでないか | 送付予告のない添付ファイルは開く前に確認する |
| 送信元に直接電話で確認したか | 不審な場合は別の連絡先で先方に確認を取る |
このチェックリストは印刷して各自のデスクに貼るか、社内チャットに固定投稿しておくとよい。
Step 2: 訓練メールを送って現状を把握する
知識を伝えただけでは、実際の現場での判断力は上がりにくい。標的型攻撃メール訓練(フィッシングシミュレーション)を実施して、どの社員がどういう状況で引っかかりやすいかを確認する。
訓練の流れはこうだ。
- 訓練用のフィッシングメールを社員に送信する(本人には伝えない)
- リンクをクリックした社員に「これは訓練でした」と知らせるページを表示する
- 全体の開封率・クリック率をレポートで確認する
- クリックした社員に個別フォローアップを行う
これを外注すると、以下の費用感になる。
| サービス例 | 費用感 |
|---|---|
| NTT東日本 標的型攻撃メール訓練 | 1IDあたり550円(1回) |
| dmt(ディーエムティー) | 1メールアドレスあたり月額150円 |
| 標的型攻撃メール対応訓練実施キット(ベーシック版) | 初年度66,000円(税込)、2年目以降は更新費用 |
従業員10人の会社で年2回実施する場合、NTT東日本のサービスであれば年間で1万1,000円程度になる計算だ。
Step 3: 社内ルールとして仕組みに組み込む
訓練を一度やって終わりにしてはいけない。フィッシングメールの手口は変化するため、継続的な教育が必要だ。また「怪しいメールが来たら何をすればいいか」の行動手順を事前に決めておく必要がある。
決めておくべき社内ルール
- 不審なメールを受け取った場合の報告先(誰に連絡するか)
- 添付ファイルを開く前の確認ルール(送付予告のないものは開かない)
- 口座変更・振込先変更の依頼メールを受けた場合の確認フロー(必ず電話確認)
- 訓練の実施頻度(例:半年に1回)
「訓練は年1回、新入社員が入るタイミングには都度実施」というペースが現実的なラインになる。
訓練後の社内ルール文書は、普段の業務マニュアルと同様に「70点の完成度で出して、現場で使いながら更新する」アプローチが定着しやすい。完璧なルールを作ろうとして着手が遅れるよりも、1枚でも先に共有した方が効果がある。マニュアルを定着させる方法については業務マニュアルの作り方|70点で完成させる実践的な方法にまとめている。
教育だけでは防げない:技術的な対策も必要
社員教育は大切だが、人がミスをする前提で技術的な防御も整えるべきだ。
メール認証の設定(SPF・DKIM・DMARC)
自社のドメインを偽って送信されるフィッシングメールを防ぐ設定だ。SPF・DKIM・DMARCを正しく設定すると、自社のドメインになりすましたメールが受信側のサーバーで弾かれる確率が上がる。設定はドメインのDNS設定の変更で行う。
自社での設定が難しければ、利用中のメールサービスのサポートに依頼するか、IT顧問や社外のITサポートに依頼するのが早い。
セキュリティメールフィルターの導入
受信メールの中からフィッシングメールを自動的に除去するサービスを導入する。Microsoft 365やGoogle WorkspaceにはデフォルトのSPAMフィルターが含まれているが、さらに精度を上げたい場合は専用のセキュリティアドオンを追加する選択肢もある。
よくある失敗パターン
一度研修をやって終わりにする
フィッシングメールの手口は毎年変化している。3年前の事例を基にした研修資料を使い続けていても、今の手口には対応できない。年1回は内容を見直すことを習慣にする。
経営者だけが対策していない
フィッシングメールは、決裁権を持つ経営者を狙ったものも多い。「経営者だから分かっている」という前提を持つと判断が甘くなる。経営者も同じルールに従い、怪しいメールは自分だけで判断せず確認する習慣が必要だ。
「意識を高める」だけで行動基準を決めない
「気をつけましょう」という共有だけでは、実際の場面で判断が個人に委ねられてしまう。「口座変更の依頼は必ず電話確認する」「送付予告のない添付ファイルは開かない」という具体的な行動基準をセットで決めておく必要がある。
まとめ:今週着手できることだけ整理する
フィッシングメール対策の社員教育は、次の3段階で進める。
- 知識の共有:フィッシングメールの見分け方チェックリストを全社員に配布する(今週できる)
- 訓練の実施:標的型攻撃メール訓練サービスを1社問い合わせする(今月中)
- ルールの整備:「怪しいメールが来たらこうする」を1枚のルールとして文書化する(今月中)
技術的な対策(SPF・DKIM・DMARC設定)については、IT担当がいない会社は外部サポートに依頼するのが現実的だ。どこに頼めばいいか分からない場合は、中小企業のITサポートをどこに頼むか分からない時に読む記事を参考にしてほしい。
セキュリティ対策は「全部終わってから始める」ものではない。チェックリストを共有するだけでも、何もしていない状態と比べると明確に違う。まず1つ動かすことが重要だ。