「最近、取引先を装った怪しいメールが届くようになった」「従業員が誤ってリンクをクリックしてしまわないか心配」。中小企業の経営者や総務担当者から、こうした相談が増えています。
IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威 2026」では、フィッシングメール(実在する企業や人物を装って情報を盗む偽メール)による被害が組織向け脅威の上位にランクインしています。しかも被害の多くは大企業ではなく、セキュリティ対策が手薄な中小企業で起きています。
この記事では、従業員10〜100名規模の中小企業がフィッシングメールの被害を防ぐための対策を、今日から実行できる手順と具体的なコスト感とともに解説します。
フィッシングメールとは?経営者が知っておくべき手口
フィッシングメールとは、銀行・取引先・配送業者などを装い、偽のWebサイトに誘導してIDやパスワード、クレジットカード情報を入力させる詐欺メールのことです。英語の「fishing(釣り)」が語源で、メールという「エサ」で情報を「釣り上げる」手口です。
最近のフィッシングメールは非常に巧妙で、本物と見分けがつかないケースが増えています。中小企業で特に狙われやすい手口は3つあります。
・請求書型: 取引先を装い「添付の請求書をご確認ください」と送付。添付ファイルを開くとウイルスに感染し、社内ネットワークに侵入されます。
・ログイン誘導型: 「アカウントに不審なアクセスがありました」「パスワードの変更が必要です」と焦らせ、偽サイトでIDとパスワードを入力させます。Microsoft 365やGoogleを装うケースが多く報告されています。
・ビジネスメール詐欺(BEC): 社長や経理部長を装い「至急この口座に振り込んでほしい」と指示するメール。実際に数百万円を振り込んでしまった中小企業の事例が複数報告されています。
| 手口 | よくある件名 | 被害内容 |
|---|---|---|
| 請求書型 | 「請求書送付のご連絡」 | ウイルス感染・情報流出 |
| ログイン誘導型 | 「アカウント確認のお願い」 | ID・パスワードの窃取 |
| ビジネスメール詐欺 | 「【至急】振込先変更のお願い」 | 金銭の詐取(平均被害額: 約300万円) |
フィッシングメール対策のメリット — 守るだけでなく経営を強くする
フィッシングメール対策は「コストばかりかかって目に見える利益がない」と思われがちです。しかし、対策を整えることで得られるメリットはセキュリティだけではありません。
・被害コストの回避: フィッシング被害が発生すると、原因調査に50〜200万円、取引先への通知・対応に50〜100万円、業務停止による売上損失は1日あたり数十万円に達します。従業員30名の企業でも、1件の被害で合計300〜500万円の損失が出るケースは珍しくありません。
・取引先からの信頼向上: 大手企業はサプライチェーン全体のセキュリティを重視しています。「セキュリティ対策チェックシート」の提出を求められる場面が増えており、対策が整っていれば新規取引の獲得にもつながります。
・従業員のITリテラシー向上: フィッシング対策の教育を行うと、メール以外の場面でもセキュリティ意識が高まります。USBメモリの取り扱い、パスワード管理、不審なWebサイトへの対応など、日常業務全体のリスクが下がります。
具体的な対策の進め方 — 4つのステップ
1. メールフィルタリングを強化する
最初のステップは、フィッシングメールが従業員の受信トレイに届く前にブロックする仕組みの導入です。人間の注意力に頼るだけでは限界があるため、技術的な防御を先に整えます。
Microsoft 365を利用している企業であれば、標準で搭載されている「Exchange Online Protection(メールの自動フィルタリング機能)」の設定を見直すだけで効果があります。Google Workspaceの場合は「高度なフィッシングと不正なソフトウェアへの保護」を有効にします。
さらに効果を高めるには、専用のメールセキュリティサービスの導入を検討してください。
・Microsoft Defender for Office 365: Microsoft 365に追加できるセキュリティ機能。メール内の不審なリンクを自動でチェックし、危険なサイトへのアクセスをブロックします。1ユーザーあたり月額約250円(税抜)から利用可能です。
・Trend Micro Email Security: クラウド型のメールセキュリティサービス。AIが不審なメールを検知し、フィッシングメールの到達率を約99%削減できるとされています。1ユーザーあたり月額約200〜400円(税抜)です。
・HENNGE One: 国産のクラウドセキュリティサービス。メールフィルタリングに加え、誤送信防止やアクセス制御もまとめて対応できます。1ユーザーあたり月額約400〜800円(税抜)です。
2. 送信ドメイン認証を設定する
送信ドメイン認証とは、「このメールは本当にその会社から送られたものか」を自動で検証する仕組みです。自社ドメインのなりすましを防ぐだけでなく、取引先からの偽メールも見破りやすくなります。
設定すべき認証技術は3つあります。いずれも自社のメールサーバーやDNS(ドメインの設定情報)に追加するもので、利用料は無料です。
・SPF(Sender Policy Framework): 「このドメインからメールを送信してよいサーバーはどれか」をDNSに登録します。なりすましメールが受信者側で検知されやすくなります。
・DKIM(DomainKeys Identified Mail): メールに電子署名を付与し、送信途中で内容が改ざんされていないことを証明します。
・DMARC(Domain-based Message Authentication, Reporting and Conformance): SPFとDKIMの判定結果に基づき、認証に失敗したメールを「受信拒否」「迷惑メール扱い」などのポリシーで処理できます。
設定作業はメールサーバーの管理画面やDNS設定画面で行います。社内にIT担当者がいない場合は、メールサービスの提供元やドメインの管理会社に依頼すれば、1〜2時間程度で設定できるケースがほとんどです。
3. 従業員向けのフィッシング対策教育を実施する
技術的な対策だけでは防ぎきれないメールもあります。最後の砦は「従業員の判断力」です。年に2〜4回の定期的な教育で、フィッシングメールを見分ける力を養いましょう。
教育で伝えるべきポイントは以下の4つです。
・差出人アドレスを確認する: 表示名だけでなく、実際のメールアドレスを確認する。「support@amaz0n.com」のように、本物に似せた偽アドレスが使われます。
・リンク先を確認する: メール本文のリンクにカーソルを合わせ、表示されるURLが正規のドメインか確認する。スマートフォンの場合はリンクを長押しして確認します。
・「至急」「緊急」に惑わされない: フィッシングメールの多くは「24時間以内に対応しないとアカウントが停止されます」等の焦らせる文言を使います。急かされたときこそ、冷静に確認することを習慣づけます。
・怪しいと感じたら報告する: 「開いてしまったかもしれない」と思ったら、隠さずすぐに報告する。報告した従業員を責めない文化を作ることが重要です。
さらに効果的なのが「フィッシング訓練メール」の実施です。訓練用の偽メールを従業員に送り、クリック率を測定します。
・KnowBe4: 世界最大手のセキュリティ意識向上プラットフォーム。訓練メールの自動送信、クリック率の集計、教育コンテンツの配信がセットになっています。従業員25名以下のプランで年額約15〜20万円(税抜)です。
・Selphish(セルフィッシュ): 国産のフィッシング訓練サービス。日本語のテンプレートが豊富で、日本企業の事情に合った訓練ができます。年額約10〜30万円(税抜、従業員数による)です。
訓練の結果、初回は平均20〜30%の従業員がリンクをクリックしてしまいますが、3〜4回繰り返すとクリック率は5%以下に低下するというデータがあります。
4. インシデント対応手順を整備する
対策を講じていても、フィッシングメールの被害がゼロになるとは限りません。万が一のときに被害を最小限に抑えるため、対応手順を事前に決めておきましょう。
・報告先の明確化: 「怪しいメールを受け取ったら○○さんに連絡」「リンクを開いてしまったら△△に電話」と、具体的な連絡先を全従業員に周知します。連絡先は名刺サイズのカードにして各自のデスクに置くのが手軽です。
・初動対応の手順: リンクをクリックしてしまった場合は「①ネットワークから切断(Wi-Fiを切る/LANケーブルを抜く)→②パスワードを変更→③報告」の3ステップを全員に覚えてもらいます。
・被害範囲の確認: ID・パスワードを入力してしまった場合は、同じパスワードを使い回している他のサービスも含めて変更します。添付ファイルを開いた場合は、ウイルス対策ソフトでフルスキャンを実行します。
対応手順のテンプレートは、IPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」の付録として無料で公開されています。自社の組織体制に合わせてカスタマイズして使うとよいでしょう。
かかるコストと使える補助金
フィッシングメール対策の費用は、企業規模と対策範囲によって変わります。従業員数別の目安を整理しました。
| 対策内容 | 従業員10名の場合(月額・税抜) | 従業員30名の場合(月額・税抜) | 従業員50名の場合(月額・税抜) |
|---|---|---|---|
| メールフィルタリング強化 | 約2,000〜4,000円 | 約6,000〜12,000円 | 約10,000〜20,000円 |
| 送信ドメイン認証設定 | 無料(自社で設定)〜3万円(外部委託・初回のみ) | 同左 | 同左 |
| フィッシング訓練サービス | 約8,000〜16,000円 | 約12,000〜25,000円 | 約20,000〜40,000円 |
メールフィルタリングとドメイン認証だけであれば、従業員30名の会社で月額6,000〜12,000円程度です。年額にすると約7〜15万円。これはフィッシング被害1件で発生する300〜500万円の損失と比べれば、十分にリターンのある投資です。
活用できる補助金もあります(2026年3月執筆時点の情報です。申請前に最新の公募要領を確認してください)。
・IT導入補助金(セキュリティ対策推進枠): メールセキュリティサービスの導入費用が対象。補助率は1/2、補助上限額は100万円です。サービス利用料の最大2年分が補助対象になります。
・サイバーセキュリティお助け隊サービス: 経済産業省が推進する中小企業向けのサービスで、セキュリティ監視・相談・インシデント対応がパッケージになっています。月額1,000〜5,000円程度で導入できるサービスもあります。
よくある失敗と回避策
失敗1: ツールを入れただけで安心してしまう
メールフィルタリングツールの検知率は高いものの、巧妙なフィッシングメールの一部はすり抜けてきます。「ツールが守ってくれるから大丈夫」と油断すると、すり抜けた1通で大きな被害が出ます。技術的対策と従業員教育の両輪で進めることが大切です。
失敗2: 報告しづらい雰囲気を作ってしまう
「怪しいメールをクリックしてしまった」と正直に報告した従業員を叱責すると、次からは黙って隠すようになります。被害の発覚が遅れるほど、損害は拡大します。「報告してくれてありがとう」と伝える文化を経営者自らが作りましょう。
失敗3: 訓練メールが形骸化する
フィッシング訓練を毎回同じテンプレートで実施すると、「またこのパターンか」と従業員が訓練メールの特徴を覚えてしまい、実際の攻撃への警戒心が薄れます。訓練のテンプレートは毎回変え、実際に流行している手口を反映させましょう。
失敗4: 個人のメールアドレスを公開しすぎている
会社のWebサイトに従業員の個人メールアドレスを掲載すると、そのアドレス宛にフィッシングメールが大量に届きます。問い合わせ窓口は「info@〜」のような共有アドレスにし、個人アドレスの公開は最小限に抑えましょう。
本記事のまとめ
フィッシングメール対策は、4つのステップで段階的に進められます。
・ステップ1: メールフィルタリングを強化して、不審なメールの到達を減らす
・ステップ2: 送信ドメイン認証を設定して、なりすましメールを検知する
・ステップ3: 従業員向けの教育と訓練で、人の判断力を高める
・ステップ4: インシデント対応手順を整備して、万が一の被害を最小化する
コストは従業員30名で月額6,000〜12,000円程度から始められ、IT導入補助金の活用で負担をさらに軽減できます。フィッシング被害1件の損失額を考えれば、早めの対策が経営判断として合理的です。
セキュリティ対策の基礎知識をさらに深めたい方は、姉妹サイトセキュリティマスターズ.TOKYOで詳しく解説しています。
自社のフィッシングメール対策、十分ですか?
フィッシングメールの手口は年々巧妙になっていますが、正しい手順で対策すれば中小企業でも被害を防げます。
中小企業のDXを身近な業務改善から始めたい方へ、メルマガで実践的なDX推進ノウハウをお届けしています。
コメント