【保存版】業務中に狙われるのは「メール」だけじゃない：ビジネスパーソンのサイバー攻撃7選と対策

2026.02.24
読了時間目安 6分

業務中、ビジネスパーソンが攻撃される可能性が高いのは、端的に言えば「メール」「認証（ログイン）」「決裁プロセス」「端末」です。近年の攻撃は「ウイルスをばらまく」だけではなく、正規のクラウドサービス（Microsoft 365/SharePoint など）やメール配送の仕組みの隙、そして“人の心理”を利用して、静かに業務へ入り込みます。
結論として、個人の注意だけに頼るのではなく、（1）認証を強くする（2）送金・購入の業務手順を固くする（3）端末を安全に保つ（4）怪しい導線を遮断するの4点をセットで整えることが最短の対策です。

1. まず押さえるべき「攻撃される対象」4つ
2. 気を付けるべきサイバー攻撃7選（業務で本当に起きやすい順）
3. 今日から使える「業務別」ミニ対策チェックリスト
4. もし「怪しい」と思ったときの初動（被害を最小化）
5. まとめ：守るべきは「メール」より“業務の流れ”です
参考・出典

1. まず押さえるべき「攻撃される対象」4つ

（1）メール：入口として最も狙われる

メールは取引先・社内連絡・請求・契約など、業務の中心にあります。攻撃者はここに「偽装」「誘導」「返信の奪取」を混ぜて侵入します。

（2）認証（ログイン情報・セッション）：突破されると被害が連鎖

ID/パスワードが漏れるだけでなく、最近はAiTM（Adversary-in-the-Middle）のように、ログインの途中で認証情報やトークンを盗み、多要素認証（MFA）を迂回する手口が目立ちます。
Microsoftは、SharePoint を悪用した多段階のAiTMフィッシングからBEC（Business Email Compromise）へつなげるキャンペーンを報告しています。

（3）決裁・支払いプロセス：BECの主戦場

攻撃者が狙う最終成果は「送金」や「金銭価値のある行為」です。特にギフトカード購入は典型的で、業務チャットやメールで急かして買わせます。
警察・捜査機関も、ギフトカード購入を伴うBECへの注意喚起を出しています。

（4）端末（PC/スマホ）：最終的にRAT等で操作される

メールやブラウザで誘導され、最終的に端末へマルウェアが入ると、社内システムやクラウドへの侵入が継続します。
Microsoftは、ユーザーに“修復手順”を装って操作させる ClickFix系の亜種（CrashFix）が、Python RATなどを展開する事例を報告しています。

2. 気を付けるべきサイバー攻撃7選（業務で本当に起きやすい順）

① フィッシング（認証情報の詐取）—「最頻出」

よくあるパターン

「共有ファイルが届きました」「請求書です」「Teams/SharePointの通知です」
リンクを押すと、Microsoft 365のログイン画面そっくりなページへ

対策（個人で即できる）

リンクは押す前にホバーしてドメイン確認（スマホは長押しでURL表示）
ログインはメールのリンクからではなく、ブックマーク/公式アプリから行う
「今日中」「至急」など急かす文面は、まず疑う

組織で効く対策

条件付きアクセス、フィッシング耐性MFA（可能なら）など「盗まれても破られにくい」設計へ

② AiTM（中間者）フィッシング — 「MFAでも突破される現実」

AiTMは、ユーザーと正規サイトの間に攻撃者が入り、入力した認証情報やセッショントークンを横取りします。結果としてMFAがあっても、ログイン済み状態（セッション）を奪われる可能性があります。

対策

「ログインした覚えがないのに承認が来る」など異常があれば、即パスワード変更＋全セッション失効
“ログインは公式入口から”を徹底（メールリンク経由を減らす）
端末のセキュリティ更新を切らさない（ブラウザ経由の攻撃面を減らす）

③ BEC（ビジネスメール詐欺）—「最もお金に直結」

BECは「ウイルス感染」よりも、業務フローを乗っ取って送金させるのが本質です。
代表例は以下です。

取引先になりすまし、振込先変更を依頼
経営層になりすまし、ギフトカード購入や緊急送金を指示

対策（仕組みで潰す）

振込先変更はメール返信だけで確定しない（別経路で確認：電話・既存の連絡先）
「購入」「送金」は二者承認（上長承認＋経理確認）を必須化
“今すぐギフトカード”は原則詐欺として扱う（例外はプロセス化）

④ ドメインなりすまし（メールの送信元偽装）—「見た目で判断させる」

最近の攻撃者は、メール配送のルーティングや設定ミスを突き、ドメインを偽装して信頼させる手口を悪用します。
対策（受信者側）

表示名ではなく、実アドレス・返信先（Reply-To）を見る
請求・支払い関連は、いつもと違う文面/署名/添付形式を“異常”として扱う

対策（組織側）

SPF/DKIM/DMARCの整備・監視（設定は情シス領域ですが、重要性は周知できます）

⑤ SharePoint/クラウド共有の悪用 — 「“正規サービス”に見えるのが厄介」

攻撃メールが「SharePointの共有通知」風だと、受信者は警戒しにくくなります。Microsoftも、SharePoint悪用を含む攻撃キャンペーンを報告しています。

対策

共有通知は、送信者（共有元）が誰かを必ず確認
共有されたファイルが「社内で想定される文書か」を見る（請求書、採用、規程など“よくある題材”に注意）

⑥ ClickFix/CrashFixのような“操作誘導型”攻撃 — 「あなた自身に実行させる」

このタイプは「ウイルスが勝手に入る」のではなく、“直すためにこれを実行してください”と誘導して、結果的にRAT等を入れます。

対策

Webページやメールが指示する「コマンド実行」「スクリプト実行」は原則NG
不具合対応は、社内の正規手順（ヘルプデスク等）に戻す

⑦ 端末の紛失・盗難、アカウント乗っ取り（特にスマホ）—「攻撃はオンラインだけではない」

スマホは業務メールや認証アプリが入っており、紛失時の影響が大きいです。Appleも、iPhoneの盗難時の保護や、盗難デバイスの保護に関する案内を提供しています。

対策

画面ロック強化（生体認証＋強力なパスコード）
紛失時に即対応：遠隔ロック、パスワード変更、端末の所在確認など（組織ルールに従う）

3. 今日から使える「業務別」ミニ対策チェックリスト

メールを開く前（30秒で確認）

件名が「至急」「未払い」「アカウント停止」など恐怖・焦りを煽っていないか
送信元表示名ではなく、ドメインがいつも通りか
Reply-Toが別ドメインになっていないか
添付の拡張子や、ログイン誘導リンクが不自然でないか

ログイン時（MFAがあっても）

メールリンクからログインしない（公式入口へ）
“MFA承認”が突然来たら拒否し、情シスへ連絡
ログイン後、違和感（言語/転送設定/署名変更）があれば即確認

お金が動くとき（最重要）

振込先変更・緊急送金は別チャネルで本人確認
ギフトカード購入の指示は社内ルール上の例外手順がない限り停止
承認フローを「人」ではなく「手順」で固定（抜け道を作らない）

4. もし「怪しい」と思ったときの初動（被害を最小化）

リンクを押した/入力した：すぐにパスワード変更、可能なら全セッション失効
MFAを承認してしまった：即時に情シスへ連絡、該当端末の点検
送金してしまった：社内の経理・法務・金融機関へ即連絡（時間が勝負）
端末で何か実行した：ネットワークから切り離し、指示があるまで触らない

5. まとめ：守るべきは「メール」より“業務の流れ”です

業務中に狙われるのは、メールそのものというより、メールを起点にした認証・クラウド共有・支払い判断・端末操作の流れです。

フィッシングやBECは、攻撃が巧妙で「気を付けていても引っかかる」ことがあります。だからこそ、個人の注意喚起だけで終わらせず、ログイン経路を統一する、送金を別経路確認する、怪しい指示を実行しないといった“仕組み化”が効果的です。
今日からは、まず「送金・購入は別経路確認」「ログインは公式入口から」「不具合修正の指示に従わない」の3つだけでも徹底してみてください。被害確率を大きく下げられます。

参考・出典

本記事は、以下の資料を基に作成しました。

Microsoft Security Blog：Resurgence of a multi-stage AiTM phishing and BEC campaign abusing SharePoint（2026年1月21日）（アクセス日：2026年2月19日）
https://www.microsoft.com/en-us/security/blog/2026/01/21/multistage-aitm-phishing-bec-campaign-abusing-sharepoint/
Phishing actors exploit complex routing and misconfigurations to spoof domains（2026年1月6日）（アクセス日：2026年2月19日）
https://www.microsoft.com/en-us/security/blog/2026/01/06/phishing-actors-exploit-complex-routing-and-misconfigurations-to-spoof-domains/
ClickFix variant “CrashFix” deploying Python RAT trojan（2026年2月5日）（アクセス日：2026年2月19日）
https://www.microsoft.com/en-us/security/blog/2026/02/05/clickfix-variant-crashfix-deploying-python-rat-trojan/
Microsoft On the Issues：Microsoft disrupts cybercrime（2026年1月14日）（アクセス日：2026年2月19日）
https://blogs.microsoft.com/on-the-issues/2026/01/14/microsoft-disrupts-cybercrime/
FBI Internet Crime Complaint Center（IC3）：Cybersecurity Advisory（CSA）（2026年1月8日）（アクセス日：2026年2月19日）
https://www.ic3.gov/CSA/2026/260108.pdf
Singapore Police Force：Police Advisory On Business Email Compromise Scams Involving The Purchase Of Gift Cards（2026年1月28日）（アクセス日：2026年2月19日）
https://www.police.gov.sg/Media-Hub/News/2026/01/20260128_police_advisory_on_business_email_compromise_scams_involving_the_purchase_of_gift_cards
Apple Support：About Stolen Device Protection for iPhone（2025年12月12日）（アクセス日：2026年2月19日）
https://support.apple.com/en-us/125892
Apple Support：If your iPhone or iPad was stolen（2025年12月12日）（アクセス日：2026年2月19日）
https://support.apple.com/en-us/125884