たった1通のメールが、会社の存続を脅かす——。そう言うと大げさに聞こえるかもしれません。しかし、フィッシングメールやビジネスメール詐欺（BEC）による被害は年々深刻化しており、中小企業も例外ではなくなっています。

私自身、情報システム部でセキュリティ対策に携わる中で、メール起点のサイバー攻撃がいかに巧妙化しているかを日々実感しています。本記事では、最新の脅威動向から、明日から実践できる具体的な対策までを体系的に解説してみようと思います。

想定読者

• 中小企業の経営者・経営層の方
• 情報システム部門（情シス）の担当者の方
• セキュリティ対策をこれから本格的に始めたい方
• 取引先や社内のメールセキュリティに不安を感じている方

この記事で得られること

• フィッシングメールとビジネスメール詐欺（BEC）の違いと攻撃手口がわかる
• 最新の脅威動向と公的機関の注意喚起情報を把握できる
• SPF・DKIM・DMARCの仕組みと導入手順がわかる
• 従業員教育や業務フロー整備の具体的な進め方がわかる
• 明日から始められる実践アクションリストが手に入る

---

【なぜ今】中小企業がメール詐欺に狙われる3つの理由

「うちは小さい会社だから狙われないだろう」——そう思っていませんか？

実はその考えこそが、攻撃者にとって一番の”付け入る隙”になっています。近年のサイバー攻撃のトレンドは、大企業を直接攻撃するのではなく、セキュリティ対策が手薄な中小企業を「踏み台」にして、サプライチェーン全体に被害を拡大させる手法にシフトしています。

IPAが2026年1月に発表した「情報セキュリティ10大脅威 2026」でも、組織向け脅威の第2位に「サプライチェーンや委託先を狙った攻撃」がランクインしました。これは4年連続の選出です。

10大脅威の詳しい解説は「IPA「情報セキュリティ10大脅威」を中小企業目線で読み解く」もあわせてご覧ください。

graph TD
    style A fill:#1a1a2e,stroke:#e94560,color:#eee,stroke-width:2px
    style B fill:#1a1a2e,stroke:#e94560,color:#eee,stroke-width:2px
    style C fill:#16213e,stroke:#0f3460,color:#eee,stroke-width:2px
    style D fill:#16213e,stroke:#0f3460,color:#eee,stroke-width:2px
    style E fill:#0f3460,stroke:#e94560,color:#eee,stroke-width:2px

    A["🎯 攻撃者"] -->|"フィッシングメール<br>送信"| B["📧 中小企業の従業員"]
    B -->|"ID・パスワード<br>漏洩"| C["🔓 メールアカウント<br>乗っ取り"]
    C -->|"取引先メールの<br>盗み見"| D["📋 取引情報<br>窃取"]
    D -->|"なりすまし<br>メール送信"| E["💰 大企業への<br>不正請求・送金被害"]

中小企業が狙われる主な理由は、次の3つです。

① セキュリティ対策の人員・予算が限られている

専任のIT担当者がいない、あるいは兼務であるケースが多く、最新の脅威に対応しきれていない企業が少なくありません。

② 大企業へのサプライチェーン攻撃の”入り口”になる

中小企業のメールアカウントを乗っ取れば、そこから取引先の大企業に偽の請求書や送金指示を送ることが可能になります。

③ 生成AIの普及でフィッシングメールが巧妙化している

以前は「不自然な日本語」が見分けるポイントでしたが、生成AIの進化により、自然で違和感のない日本語のフィッシングメールが大量に生成できるようになりました。

正直なところ、私自身も個人メールアドレスに本物さながらのポイント有効期限のメールが来て、リンクをクリックしそうになったこともあります。生成AIは業務効率を飛躍的に向上させる一方で、攻撃者にとっても強力な武器になっているのです。

---

【基礎知識】フィッシングメールとビジネスメール詐欺（BEC）の違い

まず、「フィッシング」と「ビジネスメール詐欺（BEC）」の違いを整理しましょう。

フィッシングメールとは

💡 フィッシング（Phishing）とは？ 実在する企業やサービスになりすましたメールやSMSを送り、偽のWebサイトに誘導して、IDやパスワード、クレジットカード情報などの個人情報を盗み取る手口です。「fishing（釣り）」と「sophisticated（洗練された）」を組み合わせた造語と言われています。

ビジネスメール詐欺（BEC）とは

💡 ビジネスメール詐欺（BEC：Business Email Compromise）とは？ 取引先や自社の経営者になりすまし、偽のメールで金銭の振り込みを指示する詐欺です。事前にメールのやり取りを盗み見し、取引のタイミングや文面を把握した上で攻撃するため、非常に見破りにくいのが特徴です。

graph TD
    style title fill:none,stroke:none,color:#e0e0e0
    style A fill:#1a1a2e,stroke:#e94560,color:#eee,stroke-width:2px
    style B fill:#1a1a2e,stroke:#0f3460,color:#eee,stroke-width:2px
    style C fill:#16213e,stroke:#e94560,color:#eee,stroke-width:2px
    style D fill:#16213e,stroke:#0f3460,color:#eee,stroke-width:2px
    style E fill:#0f3460,stroke:#e94560,color:#eee,stroke-width:2px
    style F fill:#0f3460,stroke:#0f3460,color:#eee,stroke-width:2px

    title["フィッシングとBECの違い"]

    subgraph フィッシング
        A["不特定多数に<br>偽メールを送信"] --> C["偽サイトへ誘導<br>ID/PW入力させる"]
        C --> E["個人情報の窃取"]
    end

    subgraph BEC
        B["特定の企業・担当者<br>を狙い撃ち"] --> D["取引先や経営者<br>になりすまし"]
        D --> F["偽口座への<br>送金指示"]
    end

フィッシングとBECの関係

実はこの2つは密接に関連しています。フィッシングメールでまず従業員のメールアカウント情報を盗み、その情報を使って取引先の情報を盗み見し、最終的にBECで大きな金銭被害を引き起こす——というのが攻撃者の常套手段です。

つまり、フィッシング対策はBEC防止の第一歩でもあるということです。

---

【2026年最新】脅威動向と公的機関の注意喚起

IPA「情報セキュリティ10大脅威 2026」のポイント

IPAが2026年1月29日に発表した「情報セキュリティ10大脅威 2026」では、組織向け脅威のランキングに注目すべき変化がありました。

順位	脅威名	ポイント
1位	ランサム攻撃による被害	4年連続1位
2位	サプライチェーンや委託先を狙った攻撃	4年連続2位
3位	AIの利用をめぐるサイバーリスク	初選出で3位
8位	ビジネスメール詐欺による金銭被害	継続してランクイン

特に注目すべきは、「AIの利用をめぐるサイバーリスク」が初めて選出され、いきなり3位にランクインしたことです。これは、AIを悪用したフィッシングメールの巧妙化や、ディープフェイク（AIで生成された偽の映像や音声）を使った詐欺など、AI技術の普及が攻撃の高度化を加速させていることを反映しています。

参照： IPA「情報セキュリティ10大脅威 2026」

フィッシング報告件数の急増

フィッシング対策協議会の報告によると、2025年3月のフィッシング報告件数は249,936件と過去最高を記録しました。2024年の年間フィッシング報告件数は約172万件でしたが、2025年は年間200万件を超える見込みとなり、前年比で大幅な増加傾向が続いています。

graph TD
    style A fill:#1a1a2e,stroke:#e94560,color:#eee,stroke-width:2px
    style B fill:#16213e,stroke:#e94560,color:#eee,stroke-width:2px
    style C fill:#0f3460,stroke:#e94560,color:#eee,stroke-width:2px
    style D fill:#533483,stroke:#e94560,color:#eee,stroke-width:2px

    A["2022年<br>約97万件"] --> B["2023年<br>約120万件"]
    B --> C["2024年<br>約172万件"]
    C --> D["2025年<br>約200万件超<br>（見込み）"]

参照： フィッシング対策協議会 月次報告

IPAの相談窓口データから見る傾向

IPAの情報セキュリティ安心相談窓口への相談状況を見ると、2025年第4四半期（10月～12月）のフィッシング関連相談は212件と前四半期比で約54.7%増加しました。特に国税庁を騙ったフィッシングの増加が確認されています。

参照： IPA 情報セキュリティ安心相談窓口

経済産業省のセキュリティ対策評価制度

経済産業省は2026年度末頃の開始を目指して、「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の準備を進めています。これは企業のセキュリティ対策を★3～★5の段階で評価し、取引先に対してセキュリティレベルを可視化する制度です。

今後、大企業との取引において一定水準のセキュリティ対策が求められるようになる可能性が高く、中小企業にとってもメールセキュリティ対策は「やっておいた方がいい」ではなく**「やらなければならない」もの**に変わりつつあります。

攻撃者の主な侵入経路は、フィッシングメールのほかVPN機器とリモートデスクトップが大半を占めます。メール対策とあわせて、VPNの脆弱性対策やゼロトラスト型への移行を検討する場合は「VPN脱却ガイド」もあわせてご覧ください。

SCS評価制度の詳しい解説は「SCS評価制度とは？中小企業が★3取得に向けて今やるべきこと」もあわせてご覧ください。

参照： 経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度

---

【事例】実際の被害事例から学ぶ

ここでは、実際に起きた被害事例を3つ紹介します。いずれも「まさか自社が」と思っていた企業で起きたものです。

事例①：取引先になりすまされた医療製品メーカー（約2億円の被害）

株式会社スリー・ディー・マトリックス（東証グロース上場）は、創業以来付き合いのある取引先を騙った攻撃者からのメールに従い、支払口座の変更に応じてしまいました。長年の信頼関係があったために口座変更の理由を直接確認せず、偽の銀行口座に合計約2億円を振り込んでしまったケースです。

⚠️ 教訓： 信頼関係が深い取引先ほど、口座変更などの重要な連絡はメール以外の方法（電話など）で必ず直接確認する習慣が重要です。

事例②：ディープフェイクを使ったビデオ会議詐欺（約38億円の被害）

2024年1月、香港の多国籍企業で約38億円が詐取される事件が発生しました。攻撃者はCFO（最高財務責任者）を名乗るメールを送った後、ビデオ会議を設定。会議ではCFOや同僚のリアルな映像・音声がAIで生成されており、従業員は本物と信じて送金を実行してしまいました。

⚠️ 教訓： AIの進化により「映像で確認すれば安心」とは言えない時代になりました。重要な送金指示は、事前に決められた業務フローに沿って、複数人の承認を経る仕組みが不可欠です。

事例③：日本航空（JAL）への詐欺（約3.8億円の被害）

日本航空は2017年に、取引先になりすまされた2件のBEC被害に遭いました。地上業務委託料として約2,400万円を偽口座に送金した後、さらにリース料の偽請求書に従い約3.6億円を送金。正規の取引先から請求書が届いた直後に「訂正版」として偽の請求書が送られるという巧妙な手口でした。

⚠️ 教訓： 取引先の請求書が「修正・変更」された場合は、必ずメール以外の手段で確認する必要があります。

graph TD
    style A fill:#1a1a2e,stroke:#e94560,color:#eee,stroke-width:2px
    style B fill:#16213e,stroke:#e94560,color:#eee,stroke-width:2px
    style C fill:#0f3460,stroke:#e94560,color:#eee,stroke-width:2px
    style D fill:#1a1a2e,stroke:#0f3460,color:#eee,stroke-width:2px
    style E fill:#16213e,stroke:#0f3460,color:#eee,stroke-width:2px
    style F fill:#0f3460,stroke:#0f3460,color:#eee,stroke-width:2px

    A["攻撃者が<br>メールを盗み見"] --> B["取引タイミング<br>を把握"]
    B --> C["口座変更/請求書<br>修正を装う"]
    C --> D["偽口座への<br>送金を指示"]
    D --> E["振込実行<br>（被害発生）"]
    E --> F["資金は海外へ<br>送金され回収困難"]

社員が1人でもフィッシングメールに引っかかると、そこからメールアカウントが乗っ取られ、会社全体の情報資産が危険にさらされます。「自分は大丈夫」ではなく、組織全体の防御力をいかに高めるかが問われています。

---

【技術的対策】SPF・DKIM・DMARCで自社ドメインを守る

フィッシングメールの多くは、自社や取引先のメールアドレスを「なりすまし」て送信されています。この「なりすまし」を技術的に防ぐための仕組みが、送信ドメイン認証（SPF・DKIM・DMARC） です。

セキュリティ対策の全体像は「IT担当者が「最低限やるべき」セキュリティ対策15選」、MFA→ID管理→デバイス管理と段階的に強化したい方は「ゼロトラストセキュリティ入門」もあわせてご参照ください。

SPF・DKIM・DMARCとは？

それぞれの役割を日常的なものに例えると、わかりやすくなります。

技術	正式名称	わかりやすい例え	役割
SPF	Sender Policy Framework	会社の住所確認	メールが正規のサーバーから送られているか確認
DKIM	DomainKeys Identified Mail	会社の印鑑（電子署名）	メールの内容が途中で改ざんされていないか確認
DMARC	Domain-based Message Authentication, Reporting and Conformance	郵便物の受取規則	SPF・DKIMの結果をもとに、不正メールの処理方法を指定

graph TD
    style S fill:#1a1a2e,stroke:#e94560,color:#eee,stroke-width:2px
    style D fill:#16213e,stroke:#0f3460,color:#eee,stroke-width:2px
    style M fill:#0f3460,stroke:#533483,color:#eee,stroke-width:2px
    style R1 fill:#2d4059,stroke:#e94560,color:#eee,stroke-width:2px
    style R2 fill:#2d4059,stroke:#e94560,color:#eee,stroke-width:2px
    style R3 fill:#2d4059,stroke:#e94560,color:#eee,stroke-width:2px

    S["① SPF<br>送信元IPアドレスを<br>確認する"] --> M
    D["② DKIM<br>電子署名で<br>改ざんを検知する"] --> M
    M["③ DMARC<br>SPF/DKIMの結果を<br>もとに判断する"]
    M --> R1["✅ 認証成功<br>→ 受信"]
    M --> R2["⚠️ 隔離<br>→ 迷惑メールへ"]
    M --> R3["❌ 拒否<br>→ 受信しない"]

導入の3ステップ

送信ドメイン認証の導入は、以下の順番で進めるのが効果的です。

1. SPFの設定

自社のDNS（ドメインネームシステム：ドメイン名をIPアドレスに変換する仕組み）に「SPFレコード」を登録します。これにより、自社ドメインのメールを送信できるサーバーを明示できます。

設定例（DNSのTXTレコード）：

v=spf1 include:_spf.google.com ~all

※ Google Workspaceを使用している場合の例です

2. DKIMの設定

メールサーバーでDKIM署名を有効にし、公開鍵をDNSに登録します。多くのクラウドメールサービス（Google Workspace、Microsoft 365など）は標準でDKIMに対応しています。

3. DMARCの設定

最後に、DMARCポリシーをDNSに登録します。まずは「none（監視のみ）」から始めて、レポートを確認しながら段階的に強化していきます。

設定例（最初の導入時）：

v=DMARC1; p=none; rua=mailto:[email protected]

段階的な強化の流れ：

graph TD
    style A fill:#1a1a2e,stroke:#0f3460,color:#eee,stroke-width:2px
    style B fill:#16213e,stroke:#e94560,color:#eee,stroke-width:2px
    style C fill:#0f3460,stroke:#e94560,color:#eee,stroke-width:2px

    A["p=none<br>（監視モード）<br>まずはレポートで<br>状況を把握"] --> B["p=quarantine<br>（隔離モード）<br>認証失敗メールを<br>迷惑メールへ"]
    B --> C["p=reject<br>（拒否モード）<br>認証失敗メールを<br>完全に拒否"]

⚠️ 注意ポイント

DMARCのポリシーが「none」のままでは、なりすましメールが素通りしてしまいます。フィッシング対策協議会の調査では、DMARCポリシーが「none」に設定されたドメインを悪用した大量のなりすましメール配信が確認されており、段階的に「quarantine」や「reject」に引き上げることが推奨されています。

自社の設定状況を確認する方法

自社のSPF・DKIM・DMARCが正しく設定されているかは、以下の無料ツールで確認できます。

• MXToolbox（https://mxtoolbox.com/）：ドメインを入力するだけでSPF/DKIM/DMARCの設定状況を確認可能
• Google Admin Toolbox：Google Workspaceユーザー向けの診断ツール

---

【人的対策】従業員のセキュリティ意識を高める

技術的対策だけでは不十分です。最終的にメールを開き、リンクをクリックし、情報を入力するのは「人」です。社員ひとりひとりがセキュリティ意識を高めて注意することが、何よりの防御線になります。

フィッシングメールの見分け方（5つのチェックポイント）

従業員全員が覚えるべき確認ポイントは以下の5つです。

graph TD
    style A fill:#1a1a2e,stroke:#e94560,color:#eee,stroke-width:2px
    style B fill:#16213e,stroke:#e94560,color:#eee,stroke-width:2px
    style C fill:#0f3460,stroke:#e94560,color:#eee,stroke-width:2px
    style D fill:#533483,stroke:#e94560,color:#eee,stroke-width:2px
    style E fill:#2d4059,stroke:#e94560,color:#eee,stroke-width:2px

    A["① 送信元アドレス<br>ドメインに不審な<br>文字がないか？"] --> B["② 件名・本文<br>不自然な緊急性や<br>脅し文句はないか？"]
    B --> C["③ リンク先URL<br>マウスオーバーで<br>正規URLか確認"]
    C --> D["④ 添付ファイル<br>身に覚えのない<br>添付ファイルは開かない"]
    D --> E["⑤ 要求内容<br>ID/PW入力や<br>送金指示は疑う"]

①送信元メールアドレスを確認する

表示名ではなく、実際のメールアドレスを必ず確認しましょう。例えば「amazon」に見えても、「arnazon@〜」のように「m」が「rn」に置き換えられているケースがあります。

②不自然な緊急性・脅し文句に注意する

「24時間以内にアカウントが停止されます」「今すぐ確認しないと損害が発生します」など、焦らせる文面は詐欺の典型です。

③リンク先URLを確認する（クリック前に）

メール内のリンクにマウスカーソルを重ねると（スマホなら長押し）、実際のURLが表示されます。正規のドメインと異なる場合は絶対にクリックしないでください。

④身に覚えのない添付ファイルは開かない

特に「.exe」「.zip」「.xlsm（マクロ付きExcel）」などの添付ファイルには要注意です。

⑤ID・パスワードの入力や送金を求められたら疑う

正規の企業がメールでパスワードの入力や送金を依頼することはほとんどありません。

社内で実施すべき教育・訓練

1. 標的型攻撃メール訓練の実施

模擬のフィッシングメールを社員に送り、誰がクリックしたかを集計する訓練です。「ひっかかった」という体験が最大の教材になります。年に2回以上の実施が望ましいでしょう。標的型メール訓練を含むセキュリティ教育の年間計画の作り方は「セキュリティ教育の年間計画テンプレート」で詳しく解説しています。

2. インシデント報告フローの整備

「不審なメールを見つけたら誰に報告するか」を明確にしておきましょう。報告した人を責めない文化をつくることも重要です。

3. 朝礼やチャットでの定期的な注意喚起

IPAやフィッシング対策協議会が公開する最新の手口情報を、月に1回でも社内で共有するだけで、意識は大きく変わります。

参照： IPA ビジネスメール詐欺（BEC）対策特設ページ

---

【補助の対策】送信側の検知 ── 内部からの情報持ち出しを止める

フィッシング・BECは “外から飛んでくる” 攻撃ですが、メールには 「中から外への情報持ち出し」 という別軸のリスクも併存しています。これは社外攻撃者の話ではなく、社内の人間が業務情報を意図的または不注意で社外へ送ってしまうケースです。

私の所属企業で実際に検知した事案として、社員が会社メールから フリーメールアドレス（個人のGmail等）に添付ファイルを送信 していたところを、メールゲートウェイの監視ルールが拾ったケースがあります。持ち出されようとしていたのは 社内システムの設計情報。一見、フィッシングとは別の話ですが、「外部に勝手にデータが飛んでいく経路」を塞ぐ という意味で、フィッシング対策と表裏一体の取り組みです。

検知後の対応は次の流れでした。

1. 検知レポート受領後、すぐに対象社員へ事情聴取
2. 事実関係を確認した上で、当該社員のメールアドレスを1週間停止 するアクセス制限を実施
3. 同種事案の再発を防ぐため、部署単位の職場討論（ディスカッション形式の研修） を実施

中小企業がここまでの仕組みを最初から導入するのは過剰投資になりますが、「会社メールから個人メール宛の添付送信を、最低限ログに残す／一定容量以上はアラートする」 だけでも、抑止力としては大きな効果があります。Microsoft 365 / Google Workspace の標準ログ機能でも、これくらいの可視化は可能です。

加えて、重要インフラ企業として政府からの NISC CSF（サイバーセキュリティフレームワーク）に基づくチェックリスト記入依頼 に対応した経験から言うと、この種の “内部からの持ち出し” は CSF 上でも独立した脅威カテゴリとして扱われています。中小企業でも、サプライチェーンの一部として大企業や政府系の顧客と取引している場合、同様のチェックリスト要請が回ってくる可能性があります。「社員一人の不注意な送信」が、自社だけでなく 取引先企業のサプライチェーン全体に被害を波及 させ得るという意識を、中小企業の現場でも共有しておくことが、これからのセキュリティ教育の前提になります。SCS評価制度の動向は「SCS評価制度の解説」もあわせてご参照ください。

---

【実践】明日から始めるアクションリスト

「何から手をつければいいかわからない」という方のために、優先度順に整理しました。

今日・明日できること（コスト：無料）

#	アクション	担当	所要時間
1	全社員に「フィッシングメールの見分け方5か条」を共有する	管理者	15分
2	不審メールの報告先（メールアドレスまたはチャットチャンネル）を決める	管理者	10分
3	送金・口座変更の依頼は「必ず電話で確認する」ルールを周知する	経理・管理者	10分
4	自社ドメインのSPF/DKIM/DMARC設定状況をMXToolboxで確認する	IT担当	5分

1週間以内にやること

#	アクション	担当	所要時間
5	SPFレコードが未設定なら設定する	IT担当	30分
6	DMARCレコードを「p=none」で設定し、レポート受信を開始する	IT担当	30分
7	送金に関する業務フローを見直し、複数人承認制を導入する	経理・経営者	1時間

1ヶ月以内にやること

#	アクション	担当	所要時間
8	DKIM署名の設定を行う	IT担当	1時間
9	標的型攻撃メール訓練を実施する（外部サービス活用も検討）	管理者	半日
10	IPA「SECURITY ACTION」の★1宣言を行う	経営者	30分

3ヶ月以内にやること

#	アクション	担当	所要時間
11	DMARCポリシーを「quarantine」に引き上げる	IT担当	30分
12	情報セキュリティ基本方針を策定・公開する	経営者	半日
13	IPA「SECURITY ACTION」の★2宣言を行う	経営者	1時間

セキュリティ対策に使える補助金については「中小企業のサイバーセキュリティ対策 ── 補助金を使って「うちは大丈夫」を卒業する」もあわせてご覧ください。

参照： IPA SECURITY ACTION

参照： IPA 中小企業の情報セキュリティ対策ガイドライン

---

【ユースケース別】こんなときどうする？

ケース①：取引先から「口座が変わりました」とメールが来た

対応手順：

1. メールだけで判断しない
2. メールに記載されている連絡先ではなく、自分の連絡先帳に登録されている電話番号で取引先に直接確認する
3. 口座名義が取引先の名前と合致するか、金融機関にも確認する
4. 社内の承認フローに従い、上長の承認を得る

ケース②：社長から「至急、この口座に振り込んで」とメールが来た

対応手順：

1. 社長のメールアドレスをよく確認する（1文字違いに注意）
2. メールには返信せず、直接社長に電話で確認する
3. 「極秘案件」「他言無用」などの文言があっても、必ず社内の承認ルールに従う
4. 不審に感じたら、即座にIT担当や上長に報告する

ケース③：「アカウントが停止されます」という緊急メールが届いた

対応手順：

1. メール内のリンクは絶対にクリックしない
2. ブラウザで直接、公式サイトにアクセスして状況を確認する
3. 公式サイトのカスタマーサポートに問い合わせる
4. もしリンクをクリックしてID・パスワードを入力してしまった場合は、即座にパスワードを変更し、IT担当に報告する

ケース④：従業員が不審なリンクをクリックしてしまった

対応手順：

1. パニックにならず、即座に社内の報告先に連絡する
2. 端末をネットワークから切断する（LANケーブルを抜く、Wi-Fiを切る）
3. 入力した情報がある場合は、すぐにパスワードを変更する
4. IT担当者または外部の専門業者に調査を依頼する

ケース⑤：取引先から「おたくの社員から不審なメールが来た」と連絡があった

対応手順：

1. 該当する社員のメールアカウントが不正アクセスされていないか確認する
2. パスワードを即座に変更し、多要素認証（MFA）を設定する
3. メールの転送設定や振り分けルールに不審な設定がないか確認する
4. 取引先に状況を説明し、不審メールへの注意を呼びかける
5. IPAや警察に報告する

---

よくある質問（FAQ）

Q1. うちは従業員10人の小さな会社ですが、対策は必要ですか？

A. 必要です。むしろ、小規模企業こそ1件の被害が致命傷になりかねません。また、取引先の大企業にサプライチェーン攻撃の踏み台として利用されるリスクもあります。IPAの「SECURITY ACTION」への宣言は無料で始められますので、まずはそこから着手してみてはいかがでしょうか。

Q2. SPF/DKIM/DMARCの設定は自社でできますか？

A. 利用しているメールサービスやレンタルサーバーによります。Google WorkspaceやMicrosoft 365などのクラウドサービスは、管理画面からの設定やDNSへのレコード追加で対応可能です。不安な場合は、契約しているホスティング事業者やIT支援会社に相談してみてください。

Q3. フィッシングメール訓練は外部業者に頼まないとできませんか？

A. 簡易的なものであれば自社でも可能です。ただし、リアルなフィッシングメールの模擬と集計・分析まで行うには、専門のサービスを利用するのが効果的かと思います。月額数万円から利用できるサービスもあります。

Q4. もし振り込んでしまった場合はどうすればいいですか？

A. まず振込に利用した銀行にすぐに連絡し、送金のキャンセルや組み戻し手続きを依頼してください。その後、警察への届出と、IPAへの情報提供を行いましょう。サイバー保険に加入している場合は、保険会社にも連絡してください。ただし、一般的にBECによる送金被害はサイバー保険の補償対象外となることが多い点には注意が必要です。

参照： IPA ビジネスメール詐欺 FAQ

Q5. 生成AIで作られたフィッシングメールは見分けられますか？

A. 正直なところ、文面だけで見分けるのは年々難しくなっています。だからこそ、「文面が自然かどうか」に頼るのではなく、「送信元アドレスの確認」「メール以外の手段での確認」「送信ドメイン認証の導入」といった複合的な対策が重要です。

Q6. 経済産業省のセキュリティ対策評価制度にはどう対応すればいいですか？

A. 2026年度末の制度開始に向けて、まずはIPAの「SECURITY ACTION」で★1・★2の自己宣言を行い、自社の対策状況を可視化することが第一歩です。新制度の★3以上の取得準備として、資産管理やルール整備など基礎的な対策を今から進めておくことをお勧めします。

Q7. 社内にIT担当者がいない場合はどうすればいいですか？

A. IPAの「サイバーセキュリティお助け隊サービス」は、専門知識や専任人材がいない中小企業向けに設計された支援サービスです。異常監視、駆け付け支援、相談窓口、簡易サイバー保険がパッケージで月額1万円以内から利用できます。

参照： IPA サイバーセキュリティお助け隊サービス

---

【まとめ】「技術」と「人」の両面でメールの脅威から会社を守る

フィッシングメールとビジネスメール詐欺は、中小企業にとって今や避けて通れない脅威です。生成AIの普及により攻撃メールの巧妙化が進む中、「技術」と「人」の両面から対策を講じることが不可欠になっています。

graph TD
    style A fill:#1a1a2e,stroke:#e94560,color:#eee,stroke-width:2px
    style B fill:#16213e,stroke:#0f3460,color:#eee,stroke-width:2px
    style C fill:#16213e,stroke:#0f3460,color:#eee,stroke-width:2px
    style D fill:#0f3460,stroke:#533483,color:#eee,stroke-width:2px

    A["メールセキュリティ対策<br>の全体像"] --> B["🔧 技術的対策<br>SPF/DKIM/DMARC<br>の導入"]
    A --> C["👥 人的対策<br>教育・訓練<br>業務フロー整備"]
    B --> D["🛡️ 組織全体の<br>セキュリティ向上"]
    C --> D

本記事の内容をまとめると、こんな感じになります。

• フィッシング報告件数は年間200万件超のペースで増加中
• 生成AIの悪用でフィッシングメールの日本語が格段に自然になっている
• SPF・DKIM・DMARCの導入は「なりすまし防止」の基本中の基本
• 送金・口座変更は「メール以外の手段で確認」を必ずルール化する
• 従業員の1人でもフィッシングに引っかかれば、会社全体の情報資産が危機にさらされる
• 経済産業省のセキュリティ対策評価制度（2026年度末開始予定）への準備を今から進める

「明日から」と言わず、この記事を読み終わったら、まずは自社ドメインのSPF/DKIM/DMARC設定状況の確認から始めてみてください。5分でできます。メール攻略の対策とあわせて、万が一の被害に備えたデータバックアップ体制も整えておくことをお勧めします。「3-2-1ルールのバックアップ実践法」で具体的な設定方法を解説しています。その一歩が、会社を守る大きな一歩になります。

以上となります。

最後まで読んでいただき、ありがとうございました。

---

関連リンク（公的機関の情報ソース）

機関名	リンク
IPA 情報セキュリティ10大脅威 2026	https://www.ipa.go.jp/security/10threats/10threats2026.html
IPA ビジネスメール詐欺（BEC）対策	https://www.ipa.go.jp/security/bec/bec_cases.html
IPA 情報セキュリティ安心相談窓口	https://www.ipa.go.jp/security/anshin/reports/2025q4outline.html
IPA SECURITY ACTION	https://www.ipa.go.jp/security/security-action/index.html
IPA 中小企業の情報セキュリティ対策ガイドライン	https://www.ipa.go.jp/security/guide/sme/about.html
経済産業省 サイバーセキュリティ政策	https://www.meti.go.jp/policy/netsecurity/index.html
経済産業省 サイバーセキュリティ経営ガイドライン	https://www.meti.go.jp/policy/netsecurity/mng_guide.html
フィッシング対策協議会	https://www.antiphishing.jp/