クラウドサービスの認証情報を狙うフィッシング、個人が今やるべきこと
クラウドサービスのフィッシング対策で最も効果が高いのは多要素認証(MFA)の有効化とパスキーの設定です。パスワードだけでは防げない攻撃が増えているため、ログインアラートの有効化とアプリパスワードの定期見直しも合わせて行ってください。
結論から先に
Microsoft 365・Google Workspaceなどのクラウドサービスを狙う偽ログイン画面が2026年も多数確認されています。パスワードだけでの認証は既に十分な防衛線にならないため、多要素認証(MFA)の有効化とパスキーの設定が最優先の対策です。加えてログインアラートを有効にすることで、不審なアクセスをいち早く検知できます。
偽ログイン画面の典型例
クラウドサービスを狙うフィッシングはどのように行われるか、典型的な手口を3つ示します。
手口1:偽のMicrosoftログイン画面 「アカウントのパスワードが期限切れになります」「不審なログインが検出されました」といったメールが届く。本文中のリンクをクリックすると、Microsoftの公式サイトとほぼ同じデザインの偽ログイン画面が表示される。IDとパスワードを入力すると攻撃者に渡る。
手口2:AiTM(中間者攻撃型)フィッシング 偽ログイン画面が正規のMicrosoftサーバーとリアルタイムで通信するように設計されている。MFAを設定していても、ユーザーが入力したワンタイムコードが中継されて攻撃者に使われる可能性がある。SMSや認証アプリだけでは防げない場合がある。
手口3:Google Workspaceを狙った共有ドキュメント詐欺 正規のGoogleドライブの共有通知を模倣したメールが届く。共有リンクをクリックすると偽のGoogleログイン画面に誘導される。企業内の複数のアカウントが連続して侵害された事例が2026年に入っても報告されている。
フィッシングの見分け方(ログイン前)
- URLを確認する(microsoft.com・google.comが正規)
- メールの差出人アドレスのドメインを確認する
- 「急ぎ」「期限切れ」「警告」などの言葉で焦らせる内容に注意する
多要素認証とパスキーの設定
対策の優先順位は次のとおりです。パスキーを設定できる場合は最優先で設定してください。
パスキーの設定(最も強固)
パスキーはパスワードを使わずに端末の生体認証(顔・指紋)やPINで認証します。フィッシングサイトに入力するものがないため、AiTM攻撃にも強い。
Googleアカウントでのパスキー設定
myaccount.google.comにログインする- 「セキュリティ」→「Google へのログイン方法」→「パスキーと確認コード」を選ぶ
- 「パスキーを作成する」をタップして端末の生体認証を設定する
Microsoftアカウントでのパスキー設定
account.microsoft.comにログインする- 「セキュリティ」→「高度なセキュリティオプション」→「パスキーを追加」を選ぶ
- 端末のロック方法(顔認証・指紋・PIN)でパスキーを登録する
多要素認証(MFA)の有効化
パスキーが設定できない場合は認証アプリを使ったMFAを有効にします。SMSよりも認証アプリが推奨されます。
Googleアカウントでの設定
myaccount.google.com→「セキュリティ」→「2段階認証プロセス」- 認証アプリ(Google Authenticatorなど)を選択して設定する
Microsoftアカウントでの設定
account.microsoft.com→「セキュリティ」→「2段階認証」- Microsoft Authenticatorアプリを設定する
認証アプリはスマートフォンにインストールします。設定時にQRコードを読み取り、表示されるワンタイムコードで正しく設定されたか確認します。
ログイン履歴の確認
ログインアラートを有効にすると、自分の知らないデバイス・場所からのログインがあった際に通知が届きます。
Googleアカウントのログイン履歴確認
myaccount.google.com→「セキュリティ」→「最近のセキュリティ上の問題」- 「お使いのデバイス」で認識していないデバイスがないか確認する
Microsoftアカウントのサインイン履歴
account.microsoft.com→「セキュリティ」→「サインイン アクティビティの表示」- 見覚えのない国・都市からのサインインがないか確認する
不審なログインを見つけた場合
- すぐにパスワードを変更する
- 全デバイスからサインアウトする操作を実行する(Googleは「すべてのセッションからサインアウト」、Microsoftは「すべてのデバイスからサインアウト」)
- 他のサービスで同じパスワードを使っていた場合はそちらも変更する
アプリパスワードの確認と削除 アプリパスワードは古いメールソフト等のために発行する専用パスワードです。使っていないものが残っていると攻撃の入口になります。
Googleの場合:myaccount.google.com→「セキュリティ」→「アプリパスワード」で一覧を表示して不要なものを削除。
Microsoftの場合:アカウントのセキュリティページ→「アプリパスワード」から管理。
今すぐできるチェックリスト
5分でできる確認事項をリストにまとめます。
- Googleアカウント:パスキーまたは認証アプリのMFAを設定している
- Microsoftアカウント:パスキーまたはAuthenticatorを設定している
- 両サービスのログイン履歴を確認した
- 使っていないアプリパスワードを削除した
- パスワードマネージャーを使って各サービスに異なるパスワードを設定している
- 「パスワード漏洩チェック」でアカウントの流出状況を確認した(Have I Been Pwnedなど)
Q&A
Q. 組織のIT管理者でなくても設定できますか? A. 個人アカウント(Gmail・Outlook.com等)は自分で設定できます。企業のMicrosoft 365・Google WorkspaceはIT管理者が組織全体のポリシーを設定する場合があります。個人ができる範囲で設定し、残りは管理者に相談してください。
Q. パスキーを設定した端末を紛失したらどうなりますか? A. 端末を紛失してもパスキー単体では意味がなく(PINや生体認証が必要)、すぐに他者が悪用するリスクは低い。ただし端末紛失後はそのパスキーをアカウントのセキュリティ設定から削除することを勧めます。
Q. 認証アプリのスマートフォンを機種変更したらどうなりますか? A. 機種変更前に認証アプリのバックアップ・移行手順を実施してください。Google Authenticatorはクラウドバックアップ機能があります。Microsoft Authenticatorも新端末への移行機能を持っています。
Q. フィッシングメールを受け取ったら報告すべきですか? A. フィッシング対策協議会(report@antiphishing.jp)に転送・報告できます。報告が多いURLはブラックリストに登録されて他の人への被害防止につながります。
Q. セキュリティキー(YubiKeyなど)はどうですか? A. 物理セキュリティキーはパスキーと同様にAiTM攻撃に強く、最も確実な認証手段の一つです。特に重要なアカウントを持つ場合は導入を検討してください。
参考資料
広告
参考資料
掲載時点で確認した資料です。制度やガイドラインは変わることがあるため、手続き前には各機関の最新情報も確認してください。
関連記事
Gmailが突然受信できなくなった、何が原因?
IT・スマホ どうする?Gmailが突然受信できなくなった、何が原因?
結論まず別端末・ブラウザでGmail.comを直接確認。ストレージ容量・迷惑メール・フィルタを順にチェック。ほとんどは設定起因で解決可能。
「国民年金未納」の偽SMSが届いた。本物との見分け方は?
IT・スマホ どうする?「国民年金未納」の偽SMSが届いた。本物との見分け方は?
結論国民年金の督促は紙の通知書か電話。SMSでの「未納のお知らせ」「URLから手続き」は詐欺。リンクは絶対に開かない。
Apple Watchが急に充電できなくなった。修理に出すべき?
IT・スマホ どうする?Apple Watchが急に充電できなくなった。修理に出すべき?
結論充電器・本体の接点を綿棒で清掃し、別のUSB電源で試す。30分置いても1%も増えない場合は強制再起動。膨らみがあればすぐ使用停止。
ノートパソコンが急に充電できない — 原因の切り分けと自宅対処の手順
IT・スマホ どうする?ノートパソコンが急に充電できない — 原因の切り分けと自宅対処の手順
結論まずケーブルを別のものに交換、コンセントを変更、バッテリーリセット(再起動・電源長押し)で多くが解決。改善しなければ修理見積もり(1.5〜3万円)か買い替え判断を。
同じテーマの記事
タグ #フィッシング #多要素認証 #パスキー を含む他のカテゴリの記事も見る
