この記事のレベル
| 初心者 | (3.5) |
| 重要度 | (3.5) |
| 難しさ | (2.0) |
こんにちは、編集長のカワウソです!
「フィッシングサイトってよく聞くけど、じつはイマイチ分かっていない……」と悩んでいませんか?
フィッシングサイトとは、本物に似せた「偽サイト」を作って、IDやパスワードなどの重要な情報を盗む手口のことです。
近年は、中小企業のホームページでもフィッシングサイトによる被害を受ける事例が報告されており、注意が必要です。
そこで今回は、ホームページ初心者の方向けに、フィッシングサイトのリスクについて解説します。
カワウソ
この記事は次のような人におすすめ!
- 初めて企業ホームページを作る人
- WordPressでホームページを作る人
- ホームページのセキュリティを高めたい人
この記事を読めば、フィッシングサイト対策や、万が一被害を受けたときの対処法まで分かります。
それではどうぞ!
フィッシングサイトとは
フィッシングサイトとは、本物とそっくりの「偽サイト」を作成し、ユーザーからID・パスワードやクレジットカードなどの重要な情報を盗み出したり、マルウェア(ウイルス)に感染させるサイトへ誘導したりする手口です。
なかでも、インターネットバンキングの偽ログイン画面で、IDやパスワードなどを盗まれると、口座から不正に送金される被害に直結します。
また、「Googleアカウント」のように、さまざまな情報の「マスターキー」になっているものはとくに危険。
フィッシングでGoogleアカウントが盗まれると、『Gmail』や『Googleドライブ』だけでなく、「Googleでログイン」連携をしている外部サービスまで一気に乗っ取られ、被害が連鎖的に拡大します。
カワウソ
偽サイトと気づかないだけで、「重要な情報を差し出しているのはユーザー自身」という点が、この手口の一番怖いところですね。
フィッシングサイトは2024年に急増している
フィッシング対策協議会の報告によると、2024年のフィッシングサイトのURL件数は、前年比で著しく増加しており、長期的に見ても右肩上がりの傾向です。
▲出典:フィッシング対策協議会「フィッシングレポート 2025」
フィッシングサイトが急増している背景には、いくつかの要因が重なっていると考えられます。
たとえば、生成AIを悪用したフィッシングサイト制作です。
これまでは専門知識が必要だった「精巧な偽サイト」の構築も、生成AIの悪用によって、不自然な日本語やデザインの崩れがないレベルまで、短期間で作れるようになりました。
事実、国内でも「生成AIを一部悪用して構築した大手ECサイトの偽サイト」を公開していたとして、2025年6月に逮捕者が出る事件も発生しています(参考:警察庁サイバー警察局「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」)。
また、以前は「有名な大企業」ばかりが狙われていましたが、現在は中小企業のホームページがサイバー犯罪の「踏み台」として悪用されるケースも珍しくありません。
大企業に比べて、中小企業のホームページは脆弱性が放置されているケースが多く、攻撃者にとっては格好の的になるのです。
カワウソ
「うちは小規模だから狙われない」という考えは、もはや通用しません。自社を守るためにも、適切に対策することが重要です。
フィッシングサイトは「なりすまし」と「踏み台」の2種類
フィッシングサイトと一口に言っても、大きく分けて以下2つのパターンがあります。
- 外部で「偽サイト」が公開される(なりすまし)
- 自社ホームページの内部が「フィッシング拠点」に変えられる(踏み台)
それぞれ簡潔に解説します。
外部で「偽サイト」が公開される(なりすまし)
一つ目は、自社の社名やロゴを無断で使用した「偽サイト」が、勝手に外部で公開される被害です。
自社が長年築いてきた「信頼」が、犯罪の道具として悪用されてしまいます。
偽サイトへの誘導は、本物になりすました「メール」や「SMS」に加え、最近では「SNS」「チャット」「Web広告」などを入り口にする手口が一般的です。
たとえば、偽のECサイトの場合はクレジットカード情報や商品代金、偽の採用サイトの場合は履歴書から個人情報が、だまし取られます。
知らないうちに自社の信用が「犯罪の看板」として使われ、顧客からのクレーム対応に追われたり、ブランドイメージが損なわれたりするおそれがあるのです。
自社ホームページの内部が「フィッシング拠点」に変えられる(踏み台)
二つ目が、自社ホームページの脆弱性を突かれ、運営者が気づかないうちに「改ざん」されてしまう被害です。
攻撃者は、対象ホームページの「信頼性」を悪用して、セキュリティソフトなどの監視の目を巧みに逃れようとします。
たとえば、ホームページ内に「銀行の偽ログイン画面」のページを作られたり、ユーザーを強制的に海外のマルウェア配布サイトへ飛ばしたり(リダイレクト)するといったものです。
知らないうちに自社のホームページが「犯罪の踏み台」となり、Googleの検索結果から除外されたり、運営者として「適切な対策を怠った」と判断された場合には、法的責任を問われたりするおそれもあります。
フィッシングサイトが招く「5つの深刻なリスク」
ここからは、フィッシングサイトによるリスクを具体的に解説します。
- クレーム対応に追われる
- 自社ホームページを見てもらえない
- 検索エンジンからの評価が下がる
- 取引先から契約解除を突き付けられる
- 売上返還や調査費用により金銭的損失が発生する
これらは適切なセキュリティ対策を施すことで、発生リスクを最小限に抑えることが可能です。
また、万が一自社が「加害者」としての責任を問われる事態になっても、日頃から「やるべき対策をしっかり行っていたか」という事実は、責任の度合いを判断する重要な要素となります。
ユーザーはもちろん、自社のビジネスを守るためにも、まずはどのようなリスクが潜んでいるのかを確認していきましょう。
クレーム対応に追われる
まず、覚えのないサービスや商品に関する「苦情の電話やメール」が殺到します。
被害者は社名やロゴを信じて騙されるため、その怒りの矛先は、偽サイトを作った犯人ではなく、名前を悪用された「自社」に向かうからです。
「お金を振り込んだのに商品が届かない」「カードを不正利用された」といった、対応困難なクレームが連日続くことになります。
本来の業務に支障をきたすだけでなく、従業員の精神的な疲弊も避けられません。
自社ホームページを見てもらえない
ユーザーが、自社のホームページにアクセスできなくなります。
自社のホームページが改ざんされると、「Google Chrome」などのブラウザがそれを「危険」と判定し、被害の拡大を防ぐためにアクセスを強制的にブロック(遮断)してしまうためです。
たとえば、画面一面に「危険なサイト」といった真っ赤な警告画面が表示されます。
これを見たユーザーは強い恐怖と不信感を抱き、以後自社のホームページを開こうとしないでしょう。
自社でコントロールできない「強制終了」によって、Web上での営業機会が失われるのです。
検索エンジンからの評価が下がる
改ざんにより、Google(検索エンジン)のポリシーに違反したホームページは、検索結果での掲載順位が下がったり、まったく表示されなかったりすることがあります。
これはGoogleがユーザーを保護し、検索結果の品質を高めるために厳格に行う処理です。
たとえば、以下のような要素を含むホームページは、Googleからスパム(迷惑行為)とみなされます。
- ハッキングされたコンテンツ
- マルウェアや悪意のある行為
- サイトの評判の不正利用
- 不正なリダイレクト
- 詐欺や不正行為
(参考:Google 検索セントラル「Google ウェブ検索のスパムに関するポリシー」)
これまでSEO(検索エンジン最適化)で積み上げてきた実績も、Googleからの信頼を失うことで一瞬にして崩壊するでしょう。
検索結果から自社のホームページが消えれば、積み上げてきた集客基盤を失う事態は避けられないのです。
なお、SEOについては以下の記事で詳しく解説しているので、参考にしてください。
取引先から契約解除を突き付けられる
被害の影響は自社内にとどまらず、BtoB(企業間)取引においても致命的なダメージとなります。
セキュリティ事故を起こした企業は「情報管理が甘い」とみなされ、コンプライアンス(法令遵守)の観点から取引継続が困難と判断されることがあるためです。
実際に、大手企業や官公庁との契約が打ち切られたり、新規の入札への参加資格を失ったりといった実害が発生する場合もあります。
ホームページのセキュリティの甘さが、会社全体の経営を揺るがす「信用失墜」へと直結するのです。
売上返還や調査費用により金銭的損失が発生する
EC機能を持つホームページでは、セキュリティ対策の不備が金銭的損失につながるおそれがあります。
たとえば、ホームページの脆弱性を突かれてクレジットカード情報が不正利用されると、カード会社から売上の返金(チャージバック)を求められることがあります。
商品を発送済みでも、代金だけを返すことになり、実質的な損失が生じるのです。
さらに、不正の原因を調査するための費用負担が発生するケースもあり、事故の規模によっては数百万円単位の高額になることもあります。 だからこそ、事前の対策が重要です。
カワウソ
クレジットカードの不正利用以外にも、個人情報の流出がきっかけで、顧客に対する誠意(補償)として、金券を配ったケースもあります。
フィッシングサイトの脅威へのセキュリティ対策
それでは肝心な、フィッシングサイトへの対策方法を見ていきましょう。
セキュリティ対策は突き詰めるとキリがありません。
まずは必要最低限の備えとして、以下の4点を押さえておくのが現実的です。
- (前提)ガイドラインの存在を知る
- レンタルサーバーでのセキュリティ対策
- WordPressでのセキュリティ対策
- (補足)バックアップ
(前提)ガイドラインの存在を知る
まず重要なのは、ガイドラインの存在を知ること。
ガイドラインには、フィッシングサイトへの対策から事後対応まで、包括的に書かれています。
ここでは、以下2つのガイドラインを押さえておきましょう。
フィッシング対策ガイドライン/フィッシング対策協議会
なりすまし(偽サイト・偽メール)対策をはじめ、被害の検知・対処法、利用者への啓発や被害状況の把握方法についてまとめられたもの。
(参考:フィッシング対策協議会「フィッシング対策ガイドライン 2025年度版」)
クレジットカード・セキュリティガイドライン/クレジット取引 セキュリティ対策協議
クレジットカードの安全な利用環境を整えるため、決済に関わる事業者が取り組むべき情報漏洩・不正利用防止策をまとめたもの。
(参考:クレジット取引 セキュリティ対策協議「クレジットカード・セキュリティガイドライン【6.0 版】」)
フィッシング対策ガイドラインには、「事業者向け」以外にも、「利用者向け」のものもあります。
ホームページ運営者といえど、ほかのサービスを使う場合は「利用者」になるので、あわせて確認しておくとよいでしょう。
(参考:フィッシング対策協議会「ガイドライン」)
レンタルサーバーでのセキュリティ対策
自社ホームページのサーバーに「レンタルサーバー」を使用している場合は、それに付随したセキュリティ対策機能を利用するのがおすすめです。
たとえば、弊社が提供する『エックスサーバー』には、以下のようなセキュリティ対策機能が用意されています。
| カテゴリ | 機能 | 説明 |
|---|---|---|
| 共通 | 無料独自SSL | 通信を暗号化することで、悪意のある第三者に傍受されるのを防ぎます。 |
| メール | DKIM (ディー・キム) | 送信メールの改ざん・なりすましを防ぐ技術です。 送信メールの信頼性向上やメール到達率の向上が期待されます。 |
| DMARC (ディー・マーク) | 「DMARC」とは、送信ドメイン認証のためのSPF(エス・ピー・エフ)やDKIMの認証が失敗した場合の対応策を定めたもので、 メールの受け手側に、認証に失敗したメールの対応方法を指定できます。 これにより、対象ドメインのなりすましやその他の不正なメールの送信を制限できます。 | |
| ホームページ | WAF | Webアプリケーション(WordPressなど)の脆弱性を悪用した攻撃から、ホームページを保護します。 |
| セコムセキュリティ診断 | セコムトラストシステムズ社のセキュリティ診断サービスで、ネットワーク上の脆弱性を厳格に診断します。 |
警察庁による案内でも、なりすましメールへの対策には「DMARC」などの「ドメイン認証技術」の導入が推奨されています(参考:警察庁「フィッシング対策」)。
カワウソ
近年はSSL化されたフィッシングサイトが増えていることから、通信の暗号化だけでは不十分なため、多角的な対策が求められています。
また、『エックスサーバー』はこのあと紹介する「WordPress(ワードプレス)」のセキュリティ対策機能も豊富です。
| WordPressセキュリティ機能 | 説明 |
|---|---|
| ログイン試行回数制限 | 短時間に連続してログイン処理(失敗)が行われた場合にアクセスを制限します。 |
| 国外からのアクセス制限 | 国外からのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台になるのを防ぎます。 |
| 大量コメント・トラックバック制限 | コメント・トラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限します。 |
| 国外からのコメント・トラックバック制限 | 国外からのコメント投稿やトラックバックを制限します。 |
法人向けの『XServerビジネス』なら、ホームページの改ざんやマルウェア、フィッシングURLの存在を365日自動で診断する「Web改ざん検知」機能も付いています。ただし、対象ページ数が「30」であるため、自社ホームページの規模に応じて、のちほど紹介する『XServer サイトセキュリティ(ページ数600)』も検討してください。
このように、レンタルサーバーないしは、ホームページ作成ツールやECカートなどを使っている場合は、それらに用意されたセキュリティ対策を有効に活用しましょう。
WordPressでのセキュリティ対策
WordPressはCMS(コンテンツ・マネジメント・システム)の一種で、HTMLやCSSなどのWeb制作スキルがなくても、ホームページを簡単に作成できる無料のシステムです。
CMSシェア世界No.1(2026年2月時点、W3Techs 調べ。)ということもあり、その利用者の多さから悪意のある第三者から攻撃されやすいと言われています。
同じ攻撃をするにしても、利用者の多いシステムを狙ったほうが、成功の確率が上がるためです。
とはいえ、そのほとんどは、基本的なセキュリティ対策を講じていれば、未然に防げます。
以下、WordPressでのセキュリティ対策例です。
- 実績が豊富なレンタルサーバーを選ぶ
- サーバーのセキュリティを強化する
- SSL化する(HTTPSを導入する)
- 定期的にバックアップを取る
- WordPress管理画面に強力なパスワードを設定する
- WordPress管理画面にアクセス制限をかける
- WordPress、テーマ、プラグインを最新バージョンに保つ
- 不要なWordPress、テーマ、プラグインは削除する
- ユーザー権限を適切に設定する
- セキュリティプラグインを導入する
カワウソ
WordPressのセキュリティ対策と言っても、じつはレンタルサーバーを選ぶ段階からすでに始まっています。これから契約する方は「セキュリティ対策が充実しているか」をチェックするとよいでしょう。
WordPressのセキュリティ対策については、以下の記事で詳しく解説しているので、ぜひ参考にしてください。
(補足)バックアップ
忘れてはいけないのが「バックアップ」です。
万が一、自社のホームページが改ざんされたとしても、バックアップがあれば、以前の状態に復元できます。
被害を最小限に抑え、できる限り早くビジネスを再開するためにも、かならずバックアップを取っておきましょう。
たとえば、レンタルサーバーには基本的に「自動バックアップ」機能が付いています。
参考に、弊社が提供する『エックスサーバー』の自動バックアップは、Web・メール・データベースのデータを毎日自動でバックアップし、14日間保持します。
バックアップデータは古いものから順に削除されるため、定期的にパソコンなどのローカル環境にダウンロードしておきましょう。
ただし、レンタルサーバーのバックアップ機能も完璧ではありません。
データが正しく取れていなかったときのことも考え、他の手段(例:WordPressのプラグイン)でもバックアップを取っておくと、より安心できます。
ホームページのバックアップについては、以下の記事で詳しく解説しているので、ぜひ参考にしてください。
フィッシングサイトの被害を受けているか確認する方法
ここからは、フィッシングサイトの被害を受けているか確認する方法を解説します。
- Google セーフ ブラウジングのサイト ステータス
- Google Search Console
- レンタルサーバーからの通知
- 自社ホームページ内部の異変調査
- (推奨)セキュリティ診断サービス
Google セーフ ブラウジングのサイト ステータス
すぐに確認したいときは、「Google 透明性レポート」で用意されている「セーフ ブラウジングのサイト ステータス」がおすすめです。
ホームページのURLを入力して検索することで、Googleから「危険」と判定されていないか(安全ではないコンテンツの有無)を即座に無料で確認できます。
▲出典:Google 透明性レポート「セーフ ブラウジングのサイト ステータス」
アカウント登録なしで、誰でも今すぐ使えるのが最大のメリットです。
ただし、必ずしも脅威を検出できるとは限らないので、ほかの方法も併用することをおすすめします。
Google Search Console
『Google Search Console(グーグル サーチ コンソール)』とは、Google検索におけるホームページの掲載順位を監視、管理、改善するのに役立つ無料サービスです。
いわば「かかりつけの医者」のような存在で、万が一自社のホームページに安全ではないコンテンツがある場合は、「セキュリティの問題」というレポートで教えてくれます。
セキュリティ問題の詳細が分かるだけでなく、解決するための手順なども示されるので、SEOに注力する企業でなくても導入しておくべきツールと言えるでしょう。
(参考:Search Console ヘルプ「セキュリティの問題レポート」)
なお、『Google Search Console』については以下の記事で詳しく解説しているので、あわせて参考にしてください。
レンタルサーバーからの通知
レンタルサーバーによっては、「不正アクセス」を検知した段階で契約者向けにメールを送信している場合があります。
アクセス権限を持たない第三者が、サーバーやシステム内部へ勝手に侵入する行為のこと。自社のホームページが改ざんされる被害も、この不正アクセスによって引き起こされます。
たとえば、弊社が提供する『エックスサーバー』の場合、件名「【エックスサーバー】■重要■ お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について(xsvc)」といったメールを送信しています。
メールのなかには、「不正プログラムと思われるファイル一覧」が記載されており、どのファイルを削除すればよいのか一目瞭然で分かるのが特徴です。
ただし、ほかのファイルが不正アクセスを受けているおそれもあるので、あくまでも「調査のきっかけ」として利用してください。最終的には、自社ですべてのファイルを精査する必要があります。
自社ホームページ内部の異変調査
自社ホームページ内部の異変をチェックすることで、改ざんの有無を確認できる場合があります。
たとえば、WordPressの場合は以下を確認してください。
| WordPressの異変調査 | 詳細 |
|---|---|
| 問題なくログインできるか | 正しいパスワードを入力してもログインできず、再発行メールも届かない場合は、ホームページを完全にのっとられているおそれがあります。 |
| メールアドレスが変更されていないか | 管理者のメールアドレスが書き換えられると、通知が届かないだけでなく、犯人がいつでもパスワードを再発行してホームページを支配できる状態になってしまいます。 |
| 見覚えのないコンテンツやページがないか | 既存ページの書き換えや、新規ページの追加がないか確認しましょう。発見しづらい「下書き」や「ゴミ箱」に隠している場合もあるため、油断は禁物です。 |
| 見覚えのないユーザー(管理者)が登録されていないか | 侵入経路を塞いでも、勝手に作られた管理者ユーザーが残っている限り、犯人はいつでも再侵入できてしまいます。 |
| 見覚えのないプラグインがインストールされていないか | 悪意のあるプラグインは、サイト内部で情報を抜き取るための不正プログラムです。これが残っている限り、いくらパスワードを変えても安全性は担保されません。 |
WordPressにログインするときは、普段使っている「ブックマーク」からアクセスし、URLが正確なものかどうか確認してからにしましょう。
検索結果やメールのリンクなどからアクセスすると、本物そっくりの「偽のログイン画面」に誘導され、IDやパスワードを盗まれるリスクがあるため、危険です。
ほか、HTMLとCSSでホームページを作っている場合は、FTPソフトやファイルマネージャなどで、公開サーバーに見覚えのないファイルがアップロードされていないかをチェックしてください。
また、ホームページを更新していないにも関わらず、更新日時が新しくなっているファイルは、改ざんされたおそれがあります。
なかでも、「.htaccess(ドットエイチティアクセス)」は、リダイレクト(転送)を設定するファイルでもあるので、確認は必須です。このファイルが改ざんされていると、海外のマルウェア配布サイトへのリダイレクトが設置されているおそれがあります。
FTP操作は誤って重要なファイルを移動したり、削除したりするおそれがあります。最悪の場合、ホームページが正しく表示できなくなるため、不慣れな方は無理をせず、技術者に相談しましょう。
(推奨)セキュリティ診断サービス
日々の監視コストや、万が一のときの負担を最小限に抑えたいのであれば、「セキュリティ診断サービス」の導入を検討してください。
サイバー攻撃は日々高度化しており、専門知識がないと被害を発見するのが難しく、人間が目視で監視し続けるのは現実的ではありません。
たとえば、『XServer サイトセキュリティ』というセキュリティ診断サービスなら、自社のホームページに対する「脆弱性診断」と「Web改ざん検知」の両方に対応可能です。
| スタンダードプラン | 特長 | |
|---|---|---|
| 対象ドメイン | 1ドメイン | 1契約につき、1ドメインの診断が可能です。 |
| 診断ページ数 | 最大600ページ | ページ数の多いホームページでも、下層ページまで網羅的に診断できます。※一部のページ(例:ログインが必要なページなど)は対象外です。 |
| 自動診断 | 毎日 | URL登録するだけで、脆弱性や改ざんの存在を自動で毎日診断できます。 |
| 手動診断 | 脆弱性診断:月1回 Web改ざん検知:月1回 | ホームページの更新作業後など、気になったタイミングで即座に診断可能です。 |
| サイトシール | 対応 | 「対策済み」の証を掲示することで、ユーザー(訪問者)に安心感を与えます。 |
| メール通知 | 対応 | 異常検知時に即アラートが届くため、被害の拡大を最小限に防げます。 |
XServer サイトセキュリティの公式サイトにある「サイトシール」をクリックした様子
また、世の中には「偽サイト(なりすまし)」を早期に検出するサービスも存在します。
こうしたサービスは基本的に有料となりますが、一度被害にあったときの「復旧コスト」や、自社に対する「信頼性の低下」を考えれば、極めて有効な投資と言えます。
もし、フィッシングサイトの被害にあってしまったら?
フィッシングサイトの被害が拡大しないように、迅速に対応することが重要です。
ここでは想定される以下のケースについて解説します。
カワウソ
事前に目を通しておけば、万が一のときに落ち着いて対応できるようになりますよ!
偽サイト(なりすまし)を発見した場合
偽サイト(なりすまし)を発見したときは、基本的にフィッシング対策ガイドラインで案内されている対応を参考にしてください。
- フィッシング被害の発見
- フィッシング被害状況の把握
- フィッシング被害対応活動
- フィッシングサイトテイクダウン活動
- フィッシングに対する注意勧告
- 関係機関への連絡、報道発表
- 生じたフィッシング被害への対応
- 事後対応
(引用:フィッシング対策協議会「フィッシング対策ガイドライン 2025年度版」)
自社のホームページが改ざんされた(踏み台)場合
自社のホームページが改ざんされた(踏み台)場合は、利用中のサービスのマニュアルやサポートに従って対応しましょう。
たとえば、レンタルサーバーの場合、不正アクセスを受けたときの復旧作業について案内していることがあります。
以下は、『エックスサーバー』で案内されている内容です。
- セキュリティチェック
- 不正なコンテンツの削除
- ホームページ再開の復旧作業
- 再発防止策の実施
(参考:エックスサーバー「不正アクセスされた際の対処方法」)
そのほか、『Google Search Console』の「セキュリティの問題」レポートで問題が報告されている場合は、修正後に審査をリクエストする必要があります。
詳しくは以下を参考にしてください。
(参考:Search Console ヘルプ「セキュリティの問題レポート」)
カード情報・個人情報が流出してしまった場合
クレジットカード番号をはじめ、不正アクセスが原因で個人データが漏洩した場合などは、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。
(参考:政府広報オンライン「個人データの漏えい等が発生したときは?」)
なお、クレジットカード番号が漏洩した場合は、「クレジットカード・セキュリティガイドライン」で紹介されているとおり、まずは契約しているクレジットカード会社やPSP(決済代行会社)などに連絡するところから始めましょう。
- カード会社やPSP(決済代行会社)へ速やかに連絡する
- 決済の一時停止やサーバーの切り離しを行う
- 専門機関による調査(フォレンジック)や再発防止策を講じる
(参考:クレジット取引 セキュリティ対策協議「クレジットカード・セキュリティガイドライン【6.0 版】」)。
フィッシングサイトに関するFAQ(よくある質問)
最後に、フィッシングサイトに関する「よくある質問」をまとめました。
- 偽サイト(なりすまし)を未然に防ぐために、ドメイン管理で注意すべきことは?
ドメイン名はユーザーが偽サイトかどうかを見極めるための重要な要素です。
以下を参考に、偽サイトによる被害を未然に防ぎましょう。- 「.co.jp」や「.jp」ドメインを選択する:「.co.jp」は日本の法人、「.jp」は日本に住所がある人のみ取得できるドメインです。「.com」や「.xyz」などは誰でも取得できるドメインのため、フィッシングサイトに利用されやすい傾向にあります。
- ドメインプロテクションを活用する:ドメイン登録事業者(レジストラ)が提供するドメインプロテクションを使えば、ネームサーバー、DNSレコード、Whois情報など、ドメインの重要な設定において不正な変更(乗っ取り)を防止できます。
- サービス終了後も10年は維持する:廃止後のドメインが第三者に再登録される「ドロップキャッチ」を防ぐため、サービス終了後も10年程度の継続保有が推奨されます。
- 外部サービス解約時のDNS整理:ホームページ作成ツールやECカートなどでドメイン名を運用している場合は、サブドメインが第三者に悪用されるおそれがあるため、サービス解約時にDNSの「CNAMEレコード」を削除する必要があります。
なお、廃止後のドメインが第三者に再登録された場合、取り返すのには高額な費用や時間がかかってしまうおそれがあります。
また、廃止したドメインは確実に取り戻せるわけではないので、慎重に判断しましょう。
- 偽サイト(なりすまし)を発見したが、どこに報告すればよい?
偽サイトの閉鎖(テイクダウン)には時間がかかるため、まずは「アクセスのブロック」や「警告の表示」などで、新たな被害者を出さないことを優先すべきです。
それらに対応してくれるセキュリティソフトやWebブラウザを提供するベンダーの窓口へ報告してください。
その後、「JPCERT/CC」や「フィッシングサイト協議会」に報告して、フィッシングサイト閉鎖の手助けをしてもらいましょう(参考:フィッシング対策協議会「フィッシング対策ガイドライン 2025年度版」)。
注意報告には偽サイトのURLが必要です。
ただし、アクセスするだけでウイルスに感染するリスクもゼロではないため、できる限り偽サイトは開かないようにし、URLのみコピーして報告しましょう。
万が一開いたとしても、個人情報の入力やファイルのダウンロードは絶対に行わないでください。また、念のため、お使いのウイルス対策ソフトで端末のフルスキャンを実行しておくことをおすすめします。
- 自社のホームページが改ざんされた場合、不正ファイルを削除すれば問題ない?
いいえ、不正ファイルを削除するだけでは不十分です。
攻撃者は一度侵入すると、再び簡単にアクセスできるように「バックドア(裏口)」を設置することが多いため、目に見える不正ファイルを消しただけでは、すぐに再発してしまうおそれがあります。
確実に復旧するためには、以下のステップで「クリーンな状態」に戻すことが強く推奨されます。
- すべてのファイルを削除する(推奨): どこに裏口が隠されているか特定するのは難しいため、一度ウェブ領域をリセットするのが最も安全です。
- クリーンなデータで復旧する:不正アクセスを受ける前のバックアップデータから復元する、あるいは、WordPressを一度初期化したうえで安全なデータのみを戻す、などの対応を行います。
- 再発防止策を講じる:侵入経路となった脆弱性(古いプラグインなど)の修正や、パスワードの変更を必ず行いましょう。
なお、バックアップデータに不正ファイルが含まれている場合は、復旧しても根本的な問題を解決できません。
不正アクセスを受けた日時が分からない場合は、すべてのデータを一から作り直すことも検討しましょう。
自社で判断できない場合は、専門家に相談することをおすすめします。
まとめ
この記事では、フィッシングサイトのリスクをはじめ、その対策や万が一被害にあったときの対処法まで解説しました。
- フィッシングサイトとは、ユーザーの重要な情報を盗むために作られた「偽サイト」のこと
- フィッシングサイトは、「偽サイト(なりすまし)」と「改ざん(踏み台)」の2種類がある
- フィッシングサイトにより、「自社の信頼度」「売上」「検索順位」などが下がるおそれがある
- フィッシングサイトを発見したときは被害が拡大しないようにし、迅速に復旧する
フィッシングサイトの手口は日々巧妙化していますが、適切な知識と対策があればリスクは抑えられます。
この記事の内容を参考に、まずは必要最低限のセキュリティ対策からでよいので、安全なホームページ運営を目指しましょう!
それでは、素敵なホームページの完成を願っております。
最後まで読んでいただきありがとうございました。
ホームページの開設を検討している方へ
エックスサーバーは、高速かつ高い安定性を誇る「高性能レンタルサーバー」です。
国内シェアNo.1※1のレンタルサーバーであり、24万社の導入実績※2があります。
2026年4月6日(月)17時まで、サーバー利用料金の半額がキャッシュバックされる期間限定キャンペーンを開催中です!
今なら実質月額495円~とお得にホームページを開設できます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
※1 2025年12月時点、W3Techs調べ。
※2 2025年12月時点、エックスサーバー・XServerビジネスにおける法人アカウント数の合計値。
XServerビジネスは、エックスサーバーを法人向けに特化したレンタルサーバーです。
サーバー月間稼働率99.99%以上を保証する「SLA」をはじめ、セキュリティやサポートが充実しています。
2026年4月14日(火)17時まで、月額料金が30%キャッシュバックされる期間限定キャンペーンを開催中です!
今ならお得にホームページを開設できます!
コーポレートサイトでよく使われる「.co.jp」のドメインも永久無料で、大変お得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
『エックスサーバー』と『XServerビジネス』の違いは、以下の記事で詳しく解説しています。
なお、当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!
ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!
カワウソ
当メディアはリンクフリーです。貴社のSNSやブログでご紹介いただけると嬉しいです。
