クラウドサービスの認証情報を狙うフィッシング、個人が今やるべきこと

結論から先に

Microsoft 365・Google Workspaceなどのクラウドサービスを狙う偽ログイン画面が2026年も多数確認されています。パスワードだけでの認証は既に十分な防衛線にならないため、多要素認証（MFA）の有効化とパスキーの設定が最優先の対策です。加えてログインアラートを有効にすることで、不審なアクセスをいち早く検知できます。

偽ログイン画面の典型例

クラウドサービスを狙うフィッシングはどのように行われるか、典型的な手口を3つ示します。

手口1：偽のMicrosoftログイン画面 「アカウントのパスワードが期限切れになります」「不審なログインが検出されました」といったメールが届く。本文中のリンクをクリックすると、Microsoftの公式サイトとほぼ同じデザインの偽ログイン画面が表示される。IDとパスワードを入力すると攻撃者に渡る。

手口2：AiTM（中間者攻撃型）フィッシング 偽ログイン画面が正規のMicrosoftサーバーとリアルタイムで通信するように設計されている。MFAを設定していても、ユーザーが入力したワンタイムコードが中継されて攻撃者に使われる可能性がある。SMSや認証アプリだけでは防げない場合がある。

手口3：Google Workspaceを狙った共有ドキュメント詐欺 正規のGoogleドライブの共有通知を模倣したメールが届く。共有リンクをクリックすると偽のGoogleログイン画面に誘導される。企業内の複数のアカウントが連続して侵害された事例が2026年に入っても報告されている。

フィッシングの見分け方（ログイン前）

• URLを確認する（microsoft.com・google.comが正規）
• メールの差出人アドレスのドメインを確認する
• 「急ぎ」「期限切れ」「警告」などの言葉で焦らせる内容に注意する

多要素認証とパスキーの設定

対策の優先順位は次のとおりです。パスキーを設定できる場合は最優先で設定してください。

パスキーの設定（最も強固）

パスキーはパスワードを使わずに端末の生体認証（顔・指紋）やPINで認証します。フィッシングサイトに入力するものがないため、AiTM攻撃にも強い。

Googleアカウントでのパスキー設定

1. myaccount.google.com にログインする
2. 「セキュリティ」→「Google へのログイン方法」→「パスキーと確認コード」を選ぶ
3. 「パスキーを作成する」をタップして端末の生体認証を設定する

Microsoftアカウントでのパスキー設定

1. account.microsoft.com にログインする
2. 「セキュリティ」→「高度なセキュリティオプション」→「パスキーを追加」を選ぶ
3. 端末のロック方法（顔認証・指紋・PIN）でパスキーを登録する

多要素認証（MFA）の有効化

パスキーが設定できない場合は認証アプリを使ったMFAを有効にします。SMSよりも認証アプリが推奨されます。

Googleアカウントでの設定

1. myaccount.google.com→「セキュリティ」→「2段階認証プロセス」
2. 認証アプリ（Google Authenticatorなど）を選択して設定する

Microsoftアカウントでの設定

1. account.microsoft.com→「セキュリティ」→「2段階認証」
2. Microsoft Authenticatorアプリを設定する

認証アプリはスマートフォンにインストールします。設定時にQRコードを読み取り、表示されるワンタイムコードで正しく設定されたか確認します。

ログイン履歴の確認

ログインアラートを有効にすると、自分の知らないデバイス・場所からのログインがあった際に通知が届きます。

Googleアカウントのログイン履歴確認

• myaccount.google.com→「セキュリティ」→「最近のセキュリティ上の問題」
• 「お使いのデバイス」で認識していないデバイスがないか確認する

Microsoftアカウントのサインイン履歴

• account.microsoft.com→「セキュリティ」→「サインイン アクティビティの表示」
• 見覚えのない国・都市からのサインインがないか確認する

不審なログインを見つけた場合

1. すぐにパスワードを変更する
2. 全デバイスからサインアウトする操作を実行する（Googleは「すべてのセッションからサインアウト」、Microsoftは「すべてのデバイスからサインアウト」）
3. 他のサービスで同じパスワードを使っていた場合はそちらも変更する

アプリパスワードの確認と削除 アプリパスワードは古いメールソフト等のために発行する専用パスワードです。使っていないものが残っていると攻撃の入口になります。

Googleの場合：myaccount.google.com→「セキュリティ」→「アプリパスワード」で一覧を表示して不要なものを削除。 Microsoftの場合：アカウントのセキュリティページ→「アプリパスワード」から管理。

今すぐできるチェックリスト

5分でできる確認事項をリストにまとめます。

• Googleアカウント：パスキーまたは認証アプリのMFAを設定している
• Microsoftアカウント：パスキーまたはAuthenticatorを設定している
• 両サービスのログイン履歴を確認した
• 使っていないアプリパスワードを削除した
• パスワードマネージャーを使って各サービスに異なるパスワードを設定している
• 「パスワード漏洩チェック」でアカウントの流出状況を確認した（Have I Been Pwnedなど）

Q&A

Q. 組織のIT管理者でなくても設定できますか？ A. 個人アカウント（Gmail・Outlook.com等）は自分で設定できます。企業のMicrosoft 365・Google WorkspaceはIT管理者が組織全体のポリシーを設定する場合があります。個人ができる範囲で設定し、残りは管理者に相談してください。

Q. パスキーを設定した端末を紛失したらどうなりますか？ A. 端末を紛失してもパスキー単体では意味がなく（PINや生体認証が必要）、すぐに他者が悪用するリスクは低い。ただし端末紛失後はそのパスキーをアカウントのセキュリティ設定から削除することを勧めます。

Q. 認証アプリのスマートフォンを機種変更したらどうなりますか？ A. 機種変更前に認証アプリのバックアップ・移行手順を実施してください。Google Authenticatorはクラウドバックアップ機能があります。Microsoft Authenticatorも新端末への移行機能を持っています。

Q. フィッシングメールを受け取ったら報告すべきですか？ A. フィッシング対策協議会（report@antiphishing.jp）に転送・報告できます。報告が多いURLはブラックリストに登録されて他の人への被害防止につながります。

Q. セキュリティキー（YubiKeyなど）はどうですか？ A. 物理セキュリティキーはパスキーと同様にAiTM攻撃に強く、最も確実な認証手段の一つです。特に重要なアカウントを持つ場合は導入を検討してください。

参考資料

• 情報処理推進機構（IPA）クラウドサービス利用のセキュリティ
• フィッシング対策協議会