そのメール、本物に見えませんか?
「このメール、押して大丈夫ですか?」と聞かれることがあります。
差出人は知っている会社。
ロゴもある。
文面も自然。
「本人確認が必要です」と書かれている。
ここまでそろうと、大人でも一瞬迷います。
フィッシング対策協議会が2026年6月1日に公開した発表とフィッシングレポート2026によると、2025年に協議会へ寄せられたフィッシング報告は2,454,297件でした。
2024年の約1.43倍です。
フィッシングは、実在する組織をかたり、ユーザー名、パスワード、アカウントID、暗証番号、クレジットカード番号などを盗み取ろうとするものです。
ただ、個人的には「怪しいメールを見抜こう」だけでは、もう少し足りない気がしています。
フィッシングは、偽物のメールというより、人間が何を本物だと感じるかを利用した設計です。
そう見ると、プログラミング教育で教えられることも変わってきます。
偽物は、完璧でなくても動いてしまう
2025年に悪用されたブランドは229ありました。
クレジットカード、金融、証券、通信、メール、オンラインサービス、EC、決済サービスなど、分野も広いです。
さらに、手口は見た目だけではありません。
Google翻訳のURL、amazonaws.com、sendgrid.comやsendgrid.netのように、一見すると信頼されやすいドメインやサービスが使われる例もあります。
Unicodeや文字コードを使って、URLの見た目を紛らわしくする手口もあります。
ここで見えてくるのは、偽物が「完璧なコピー」である必要はない、ということです。
ロゴがある。
知っているサービス名がある。
急がせる言葉がある。
得をしそうな言葉がある。
それだけで、人は細部を見る前に押してしまうことがあります。
ハナアブの擬態に少し似ている
この構造は、自然界の擬態にも少し似ています。
たとえば、ハナアブの中にはスズメバチに似た黄色と黒の模様を持つものがいます。
毒針を持たないハナアブが、危険なスズメバチのように見えることで、捕食者から避けられやすくなる。
これはベイツ型擬態と呼ばれる現象です。
進化生物学の研究では、ハナアブ類とスズメバチの腹部模様の類似度を客観的に測定した研究もあります。
もちろん、生物の進化と犯罪であるフィッシングを同じものとして扱うことはできません。
ただ、構造として似ているところがあります。
相手の判断ルールを利用する、という点です。
捕食者は、毎回じっくり観察してから判断しているわけではありません。
危険そうな模様を見たら避ける。
そのほうが生き残りやすい場面があります。
人間も似ています。
有名な会社名、見慣れた色、急ぎの文面、公式っぽいURL。
そうした部品がそろうと、脳は「たぶん本物」と処理してしまうことがあります。
フィッシングが狙っているのは、メールそのものではなく、この判断の近道なのかもしれません。
人間の脳は、毎回じっくり考えられない
CISAは、フィッシングやソーシャルエンジニアリングについて、人間の反応や行動を利用して情報やアクセスを得ようとする攻撃だと説明しています。
また、ソーシャルエンジニアリングを人間の認知機能の弱点を突く心理的攻撃として整理した研究レビューもあります。
人間は、すべての画面を毎回ゼロから疑って読むことはできません。
忙しいとき、焦っているとき、得をしそうなとき、怖い言葉を見たとき。
判断は短くなります。
「不正利用を検知しました」
「本日中に確認してください」
「ポイントが失効します」
こうした言葉は、内容を伝えるだけではありません。
読む人の速度を上げます。
フィッシングの怖さは、知識がない人だけを狙うところにあるのではありません。
知っている人でも、急いでいるときには判断を省略する。
そこを狙うところにあります。
教育機関でも、入口になりやすい
英国政府が2026年4月30日に公開した教育機関向けの調査では、過去12か月に侵害や攻撃を認識した割合が、小学校で49%、中等学校で73%、継続教育カレッジで88%、高等教育機関で98%とされています。
攻撃を認識した教育機関では、フィッシングが主要な脅威でした。
小学校で90%、中等学校で96%、継続教育と高等教育を合わせた区分で96%です。
これは英国のデータです。
日本の学校にそのまま当てはめることはできません。
それでも、学校、家庭、習い事、オンライン教材、連絡アプリがつながる時代に、教育とフィッシングを別の話として扱うのは難しくなっています。
英国NCSCの解説では、ネット上にある個人情報が、詐欺メッセージをより本物らしく見せる材料になり得るとも説明されています。
名前、学校、好きなゲーム、使っているサービス。
ほんの少し情報が混ざるだけで、メッセージは急に「自分宛て」に見えてきます。
プログラミングで育つのは、画面の裏側を見る力
キノコードでは、セキュリティを「怖いから触らないもの」としてだけ扱うより、Webの仕組みを分解する学びとして扱うほうが実用的だと考えています。
HTMLを学ぶと、リンクの表示文字と実際の移動先が別であることが分かります。
フォームを学ぶと、入力した文字がどこへ送られるのかを考えます。
JavaScriptを学ぶと、ボタンを押したあとに画面がどう動くのかを見ます。
この経験があると、画面を見るときの問いが変わります。
このボタンは、何をさせようとしているのか。
このフォームは、何を入力させようとしているのか。
このURLは、いつものサービスのものなのか。
この画面に来る前の入口は、公式アプリだったのか、メールのリンクだったのか。
これは「怪しいものを見抜く練習」より、少し深い学びです。
フィッシング対策協議会にも、「怪しいメール」は見抜けない!?、メール内リンクはウソをつく!?という教材的な切り口があります。
見た目で判断するより、仕組みで見る。
この方向は、子どもの学びにもかなり相性がよいと思います。
子どもに教えたいのは、怖がることではない
家庭や教室でまず決めやすいのは、入口のルールです。
メールやSMSのリンクからログインしない。
確認するときは、公式アプリを開く。
または、自分で登録したブックマークから入る。
これは、子どもに高度な判定を求めないための工夫です。
URLを見れば全部わかる、という話でもありません。
だからこそ、入口を減らします。
もう一つは、画面を一緒に観察することです。
「この画面は、何を入力させようとしている?」
「なぜ今、カード番号が必要なんだろう?」
「急がせる言葉が入っていない?」
こう聞くだけでも、画面を受け身で見る状態から少し離れられます。
フィッシングを完全に見抜ける子にする、というより、画面の意図を考えられる子にする。
そこに、プログラミング教育の意味があります。
コードを書くことは、画面の裏側を知ることでもあります。
裏側を知ると、目の前の画面をそのまま信じるのではなく、部品に分けて考えられるようになります。
本物っぽいものを、本物だとすぐに決めない。
これは、防犯のためだけの力ではありません。
ニュース、広告、SNS、アプリの画面。
これから子どもたちが出会う多くの情報に向き合うための、かなり実用的なリテラシーだと思います。