フィッシングとは?
フィッシングとは、実在する企業や公的機関、知人などを装った偽のメールやメッセージを送り、受信者を偽のウェブサイトに誘導してパスワードやクレジットカード情報などを盗み取る詐欺・なりすまし(人の心理を狙う)手法です。「Phishing」は「釣り(Fishing)」と「洗練された(Sophisticated)」を組み合わせた造語で、餌(偽情報)で獲物(被害者)を釣り上げることを意味します。
攻撃者は、銀行、クレジットカード会社、通販サイト、宅配業者、税務署、警察などを装い、「アカウントが不正利用されています」「至急確認が必要です」「荷物をお預かりしています」といった緊急性を感じさせる内容で不安を煽ります。メール内のリンクをクリックすると、本物そっくりに作られた偽サイトに誘導され、そこで入力した情報がすべて攻撃者に送信されます。
フィッシングは、技術的な脆弱性を突くのではなく、人間の心理的な隙を突くサイバー攻撃です。「信頼できる組織からの連絡」「緊急の対応が必要」という状況を作り出すことで、冷静な判断力を失わせ、個人情報を入力させます。詐欺・なりすまし(人の心理を狙う)の中でも最も広く使われ、被害者数が多いサイバー攻撃の一つです。
フィッシングを簡単に言うと?
警察官を装った詐欺師が電話をかけてきて、「あなたの銀行口座が犯罪に使われています。すぐにキャッシュカードと暗証番号を確認させてください」と言ってくる状況に似ています。本物の警察官のように聞こえる話し方をし、緊急性を強調することで、被害者は疑うことなく情報を渡してしまいます。
デジタルの世界では、攻撃者は本物の銀行やAmazon、楽天などの企業のロゴ、デザイン、文章をそっくりに真似たメールを送ります。「あなたのアカウントに不審なログインがありました。すぐに確認してください」といった内容で、メール内のリンクをクリックすると、本物そっくりの偽サイトが表示されます。そこでIDやパスワード、クレジットカード情報を入力すると、すべての情報が攻撃者に盗まれます。見た目も内容も本物そっくりなので、多くの人が騙されてしまいます。
フィッシングで発生する被害は?
フィッシングによる被害は、盗まれた情報を悪用されることで発生します。銀行口座からの不正送金、クレジットカードの不正利用、個人情報の流出、アカウントの乗っ取りなど、被害は多岐にわたります。詐欺・なりすまし(人の心理を狙う)として、技術的な防御をすり抜けて直接被害者から情報を引き出すため、セキュリティ対策が困難なサイバー攻撃です。
フィッシングで発生する直接的被害
- 金融資産の窃取と不正送金
フィッシングで銀行口座のID・パスワードや、クレジットカード情報が盗まれると、口座から勝手に送金されたり、高額な商品を購入されたりします。オンラインバンキングの認証情報が盗まれれば、数分で全額が別の口座に移されることもあります。クレジットカードの不正利用では、海外サイトでの高額決済や、電子マネーへのチャージなどが行われ、被害に気づいたときには数十万円から数百万円の請求が発生していることもあります。
- アカウントの完全乗っ取り
メールアカウント、SNS、通販サイトなどのログイン情報が盗まれると、アカウントが乗っ取られ、パスワードやメールアドレスを変更されて本人がログインできなくなります。乗っ取られたメールアカウントから友人や取引先に詐欺メールが送信されたり、SNSアカウントから詐欺の投稿がされたりして、被害が周囲に拡大します。また、盗まれたアカウントを使って他のサービスのパスワードリセットが実行され、芋づる式に複数のアカウントが乗っ取られることもあります。
- 個人情報の大量流出と悪用
氏名、住所、電話番号、生年月日、マイナンバーなどの個人を特定できる情報がフィッシングで盗まれると、詐欺・なりすまし(人の心理を狙う)のターゲットリストとして売買されたり、なりすまし犯罪に悪用されたりします。盗まれた個人情報は、さらに巧妙なフィッシング攻撃や振り込め詐欺、ローンの不正申込み、携帯電話の不正契約などに使われます。一度流出した情報は回収できず、長期間にわたって悪用され続けるリスクがあります。
フィッシングで発生する間接的被害
- 二次被害と連鎖的な情報流出
フィッシングで盗まれたメールアカウントには、他のサービスの登録情報やパスワードリセット用のリンクが保存されています。攻撃者はこれらの情報を利用して、銀行、証券会社、通販サイトなど、複数のサービスに不正アクセスし、被害を拡大させます。また、盗まれたメールの連絡先リストを使って、知人や取引先にもフィッシングメールが送信され、被害が連鎖的に広がります。
- 社会的信用の失墜と人間関係の悪化
乗っ取られたメールやSNSアカウントから、友人や取引先に「お金を貸してほしい」「このリンクをクリックして」といった詐欺メッセージが送信されます。受け取った人は本人からのメッセージだと信じて被害に遭い、「あなたのせいで騙された」と責められることがあります。企業の場合、顧客や取引先からの信頼を失い、契約解除や取引停止につながることもあります。
- 復旧コストと法的対応の負担
フィッシング被害からの復旧には、すべてのアカウントのパスワード変更、クレジットカードの再発行、銀行への不正送金の申告、警察への被害届の提出など、多大な手間と時間がかかります。不正送金された金額が全額返金されるとは限らず、被害者の過失が認められれば一部または全額が自己負担になることもあります。企業が顧客情報を流出させた場合は、個人情報保護法に基づく報告義務や顧客への賠償責任が発生します。
フィッシングの対策方法
フィッシングの対策は、メールやメッセージの真偽を見極める知識と、冷静な判断力を持つことが最も重要です。詐欺・なりすまし(人の心理を狙う)手法であるため、技術的なセキュリティ対策だけでなく、日常的な注意と警戒心が被害を防ぐ鍵となります。
基本的な対策として、メール内のリンクを安易にクリックしないことが重要です。たとえ送信者が信頼できる組織に見えても、公式サイトのURLを自分でブラウザに入力してアクセスするか、以前から使っているブックマークからアクセスします。メール内のリンクにマウスを重ねると、実際の飛び先URLが表示されるので、不審なドメインでないか確認します。
不審なメールの特徴を知っておくことも効果的です。差出人のメールアドレスが公式ドメインと微妙に異なる、日本語が不自然、「緊急」「至急」「24時間以内に対応」などの言葉で焦らせる、個人情報やパスワードの入力を求める、添付ファイルを開かせようとする、などがフィッシングの典型的な特徴です。
多要素認証を有効にすることで、たとえパスワードが盗まれても不正ログインを防げます。銀行、メール、SNS、通販サイトなど重要なアカウントでは必ず設定します。また、パスワード管理ツールを使用すると、正規サイトでのみパスワードが自動入力され、偽サイトでは入力されないため、フィッシング検知の補助になります。
セキュリティソフトのフィッシング対策機能やブラウザの警告機能を有効にし、既知のフィッシングサイトへのアクセスをブロックします。また、定期的にアカウントのログイン履歴を確認し、身に覚えのないアクセスがないかチェックすることも重要です。
フィッシングの対策を簡単に言うと?
電話や訪問販売での詐欺を防ぐのと同じ心構えが必要です。「警察や銀行が電話で暗証番号を聞くことは絶対にない」と知っているように、「正規の企業がメールでパスワードを聞くことはない」と理解します(基本知識)。知らない人から突然電話がかかってきたら疑うように、急に届いた「緊急の対応が必要」というメールは疑います(健全な疑い)。
電話で重要な話をされたら、一度切って公式の電話番号に自分からかけ直すように、メールのリンクはクリックせず、公式サイトに自分でアクセスします(確認行動)。さらに、玄関に二重鍵をつけるように、アカウントには多要素認証を設定します(追加防御)。そして、新しい詐欺の手口を学ぶように、最新のフィッシング手法の情報を定期的にチェックします(継続的な学習)。詐欺・なりすまし(人の心理を狙う)サイバー攻撃への対策は、日常生活の防犯意識と同じです。
フィッシングに関連した攻撃手法
フィッシングは、詐欺・なりすまし(人の心理を狙う)の中でも最も基本的かつ広く使われる手法であり、他の攻撃手法の起点や補助として機能することが多いサイバー攻撃です。
ソーシャルエンジニアリングは、フィッシングを含む、人間の心理的な隙を突く攻撃手法の総称です。フィッシングはソーシャルエンジニアリングの一種であり、メールやウェブサイトを使った遠隔的な詐欺・なりすまし(人の心理を狙う)手法です。ソーシャルエンジニアリングには、フィッシングの他にも、電話で直接だまし取るビッシング、対面でなりすます手法、ゴミ箱から情報を盗むなど、様々な形態があります。フィッシングもソーシャルエンジニアリングも、どちらも「信頼」「権威」「緊急性」「恐怖」といった人間の心理的な弱点を悪用する点で共通しており、技術的なセキュリティ対策だけでは防ぎきれないサイバー攻撃です。
スミッシング/ビッシング/SNS詐欺は、フィッシングの派生形や別の媒体を使った同様の攻撃です。スミッシングはSMS(ショートメッセージ)を使ったフィッシング、ビッシングは音声電話を使ったフィッシング、SNS詐欺はSNSのメッセージやコメントを使ったフィッシングです。手法は異なりますが、すべて「正規の組織や知人になりすまして情報を騙し取る」という点でフィッシングと同じ詐欺・なりすまし(人の心理を狙う)サイバー攻撃です。近年はスミッシングが急増しており、「荷物の不在通知」「未納料金の連絡」などを装って偽サイトに誘導する手口が多発しています。
ビジネスメール詐欺(BEC)は、フィッシングの技術を応用した高度な詐欺・なりすまし(人の心理を狙う)攻撃です。攻撃者は事前にフィッシングなどで企業の経営者や取引先のメールアカウントを乗っ取り、そのアカウントから従業員に「至急この口座に送金してほしい」といった偽の指示を送ります。または、経営者や取引先を巧妙になりすましたメールを送り、高額な送金を実行させます。ビジネスメール詐欺(BEC)の多くは、最初のアカウント侵害の段階でフィッシングが使われており、フィッシング対策がビジネスメール詐欺(BEC)の予防にもつながります。
フィッシングのよくある質問
送信者のメールアドレスのドメインを確認し、公式ドメインと一致するか見ます。日本語の不自然さ、緊急性を煽る文言、個人情報の入力要求などもフィッシングの特徴です。疑わしい場合は、公式サイトに直接アクセスして確認してください。
すぐに正規サイトにアクセスしてパスワードを変更します。同じパスワードを使っている他のサービスもすべて変更してください。銀行やクレジットカード情報を入力した場合は、金融機関に連絡してカードの停止や口座の監視を依頼します。
リンクにマウスを重ねる(クリックせずに)と、実際の飛び先URLが表示されます。公式ドメインと異なる、スペルが微妙に違う、不審に長いURLなどは危険です。ただし、最も安全なのは、リンクをクリックせず自分で公式サイトにアクセスすることです。
はい、公式を装ったフィッシングメールは非常に巧妙です。正規の企業は通常、メールでパスワードやクレジットカード情報の入力を求めません。重要な連絡は、公式サイトやアプリにログインして確認するか、企業に直接問い合わせてください。
はい、むしろスマートフォンの方が被害に遭いやすい傾向があります。画面が小さくURLが見づらい、SMS(スミッシング)での攻撃が増えている、外出先で急いで操作するため冷静な判断ができないなどの理由があります。特に宅配業者を装ったスミッシングに注意してください。
セキュリティソフトやブラウザのフィッシング対策機能は、既知のフィッシングサイトをブロックする点で有効です。ただし、新しく作られたフィッシングサイトは検知できない場合があるため、ソフトだけに頼らず、自分自身の判断力を養うことが重要です。
従業員へのセキュリティ教育が最優先です。定期的にフィッシングメールの模擬訓練を実施し、見分け方を学ばせます。技術的対策として、多要素認証の導入、メールフィルタリングの強化、DMARC・SPF・DKIMなどのメール認証技術の実装が効果的です。
更新履歴
- 初稿公開
