前職のIT推進部で800名分のTeamsライセンスを管理していたとき、月に2〜3件は「この会議リンク、本物ですか」と問い合わせが来ていた。当時は社内ユーザーの誤転送が大半で、実害はほぼゼロ。状況が変わったのは2025年後半からだ。

IPA(情報処理推進機構)の2026年第1四半期レポートによると、フィッシング相談件数は前四半期比34.4%増の139件。なかでも目立つのが、Zoom・Teams・Google Meetの会議招待を装った偽リンクによるマルウェア配布だ。北朝鮮系グループ「BlueNoroff」が2026年2月〜4月に164ドメインをばらまいた事例もTechRepublicが報告している

結論。会議リンクのドメインを確認する習慣さえあれば、この手の攻撃の9割は防げる。30秒で済むチェックと、組織規模別の導入コストを並べた。

2026年に急増した「偽ビデオ会議リンク」の手口

攻撃の典型パターンは3つに分かれる。

パターン1: 取引先のアカウント乗っ取り型

LinkedIn・Slack・Telegramなどで取引先のアカウントが不正に奪われ、過去の会話履歴をそのまま利用して「続きをTeamsで話そう」とリンクを送ってくる手口だ。Malwarebytesが2026年2月に報告した事例では、Zoomを装った偽サイトで「アップデートが必要です」とカウントダウンが表示され、許可なくインストーラがダウンロードされた。相手が知り合いだから安心する、その心理を突いている。

パターン2: 緊急会議メール型

「緊急: 本日15時の臨時ミーティング」のような件名で、社長や上司の名前を騙ったメールが届く。リンク先は本物そっくりの会議ロビー画面で、参加者の名前がリアルタイムで「入室中」と表示される。焦って参加ボタンを押すと、認証情報の入力画面に誘導される仕組みだ。

パターン3: 偽アップデート配布型

Netskope社の調査によると、「GoogleMeet.exe」「ZoomWorkspaceinstallersetup.msi」といったファイル名で配布され、正規の電子署名が盗用されているためウイルス対策ソフトをすり抜ける。筆者のコンサル先(50名規模)でも、2026年4月に営業チームのメンバーがZoomの偽アップデートをクリックしかけた事例があった。インストール完了前に気づいたから良かったものの、一歩遅れていたら端末1台が丸ごと遠隔操作されていた可能性がある。

正規ドメイン一覧と偽ドメインの実例

会議リンクを受け取ったら、URLのドメイン部分だけ見ればいい。

サービス正規ドメイン偽ドメインの実例
Zoomzoom.us*.zoom.us(例: company.zoom.us)zoom-meet.uszoom-join.comus-zoom.co
Microsoft Teamsteams.microsoft.comteams.live.comteams-microsoft.orgmicrosoft-teams.net
Google Meetmeet.google.comgoogle-meet.orgmeet-google.com
Webex*.webex.comwebex-meeting.com

ポイントは「ドメインの末尾」を見ること。zoom.uszoom-meet.us は、末尾が同じ .us でもドメイン本体がまったく別物だ。ブラウザのアドレスバーで https:// の直後から最初の / までがドメイン。ここだけ確認すれば判定できる。

なお、企業がZoomのバニティURL(例: company.zoom.us)を使っている場合は正規扱いとなる。zoom.us のサブドメインであることが条件だ。

受信から参加まで「30秒チェック」

会議リンクを受け取ったときに確認する手順。全部で30秒もかからない。

Step 1: リンクにカーソルを合わせる(5秒)

メール・チャットの会議リンクにマウスカーソルを乗せて、画面左下に表示されるURLを確認する。表示テキストが「Zoomミーティングに参加」でも、実際のリンク先が zoom-meet.us なら偽物だ。スマホの場合はリンクを長押しすればプレビューが出る。

Step 2: ドメインを一覧表と照合する(10秒)

ドメイン部分を正規一覧と突き合わせる。一致しなければ開かない。判断に迷ったら、リンクをクリックせずにブラウザで直接 zoom.usteams.microsoft.com を開いてログインし、カレンダーから該当の会議を探す方が安全だ。

Step 3: 送信者に別経路で確認する(15秒)

「Slackで届いたTeamsリンク」や「メールで届いたZoomリンク」など、普段と異なる経路で送られてきた場合は特に注意が必要になる。送信者本人に電話やSMSなど別の連絡手段で「さっきのリンク、本当にあなたが送った?」と確認する。前述のアカウント乗っ取り型は、この一手で防げる。

Step 4: 「アップデートが必要です」と表示されたら閉じる

正規のZoom・Teamsは、会議リンクをクリックした直後にアプリのアップデートを求めたりしない。アップデートは会議とは独立したタイミングで配信される。会議参加の途中で何かをダウンロードさせようとしてきたら、そのタブを即座に閉じるべきだ。

組織として導入すべき対策と現実的なコスト

個人の注意力だけに頼るのは限界がある。筆者がコンサル先で実際に導入した対策を、コストと工数付きで並べる。

対策初期工数年間コスト(50名規模)効果
全社アナウンス+正規ドメイン一覧の社内Wiki掲載管理者1名×1時間0円認知向上のベースライン
メールフィルタで偽ドメインをブロック(Google Workspace / M365標準機能)管理者1名×2時間0円(標準機能)既知の偽ドメインを自動遮断
フィッシング訓練メール(KnowBe4等)管理者1名×4時間約30万〜50万円クリック率を定量把握
メールセキュリティGW(Proofpoint / Mimecast等)導入PJ 1〜2ヶ月約120万〜200万円未知の偽ドメインも検知

50名規模なら、最初の2つ(コスト0円・工数3時間)だけで十分に防御力は上がる。フィッシング訓練は年間30万円超のため、ROIで見ると200名以上の組織から損益分岐に乗ると判断する。前職で800名分のM365を運用していた経験から言えば、規模が大きいほど「1人のクリックで全社のドメイン信頼度が下がる」リスクが跳ね上がるため、大企業はメールセキュリティGWまで入れるのが合理的だ。

コンサル先の50名規模のスタートアップでは、Google Workspaceの管理コンソールでOAuth連携アプリを洗い出した際に、IT部門が把握していないアプリが40本以上見つかった。SaaSの無断利用とビデオ会議フィッシングは根っこが同じで、「正規のものと偽物の区別がついていない」状態を放置した結果だ。正規ドメイン一覧をWikiに貼るだけでも、その区別がつく社員の比率は確実に上がる。時給換算で3,000円の管理者が1時間で作れる対策としては、コスト効率が極めて高い。

FAQ

偽リンクをクリックしてしまった場合、まず何をすべき?

IDやパスワードを入力していなければ、ブラウザのタブを閉じてキャッシュを削除すれば問題ない。入力してしまった場合は、該当サービスのパスワードを即座に変更し、二段階認証を有効にする。会社の管理者に報告して、同じリンクが他のメンバーにも送られていないか確認するのが先決だ。

スマホからでもドメインを確認できる?

リンクを長押しすると、iOS・Androidともにリンク先URLのプレビューが表示される。表示されたURLのドメイン部分を正規一覧と照合すればよい。タップする前に長押しする習慣をつけるだけで、スマホ経由のフィッシングはほぼ防げる。

Teamsの「外部ユーザーからのメッセージ」は全部危険?

「外部」ラベルが付いたメッセージは、自社のM365テナント外から送られたものを意味する。全部が危険とは限らない。ただしMicrosoft公式は、外部ユーザーからの不審なリンクやファイル添付には注意を促しており、管理者は外部アクセス設定で許可ドメインを制限できる。

自社のビデオ会議ツールがフィッシングに悪用されていたらどうする?

自社ドメインを騙った偽サイトが存在する場合、各サービスの不正利用報告窓口(ZoomはZoom Trust & Safety、MicrosoftはReport a scam)にドメインのテイクダウンを依頼できる。並行してGoogle Safe Browsingへの報告も行うと、Chrome・Safariでアクセス時に警告が表示されるようになる。

参考文献