フィッシング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. フィッシング
             

フィッシング

フィッシング(Phishing)とは、偽のWebサイトや電子メール、SMSなどを利用して、ユーザーの個人情報や認証情報を盗み取る詐欺行為のことです。

フィッシング攻撃は、オンラインバンキングやSNS、ショッピングサイト、企業の社内システムなどを装って行われることが多く、受け取ったユーザーが公式サイトと誤認しやすい内容で仕掛けられます。

ユーザーが偽のリンクをクリックして情報を入力すると、攻撃者の手に渡り、なりすましや不正取引、情報漏洩などの被害が発生することがあります。

フィッシングの種類

フィッシング攻撃は、手口に応じていくつかの種類に分けられ、それぞれ異なる手法でユーザーの情報を狙います。

1. スピアフィッシング

スピアフィッシングは、特定の個人や企業をターゲットにしたフィッシング手法で、受信者に合わせて内容がカスタマイズされています。例えば、ターゲットの役職や関心事に関連するメールを送ることで、信頼感を高めてリンクをクリックさせやすくします。攻撃者は、ソーシャルメディアやインターネット上の公開情報を活用してメール内容を特定のターゲット向けに調整します。

2. クジラ釣り(ホエールフィッシング)

ホエールフィッシングは、企業の経営層や幹部といった、組織内で重要な権限を持つ人物をターゲットにしたフィッシング手法です。企業の資産管理者や重役をターゲットにして、取引情報や機密情報、資金移動などの権限を持つ人物に対して、業務関連の緊急連絡を装った内容でフィッシングを試みます。

3. スミッシング(SMSフィッシング)

スミッシングは、SMS(ショートメッセージ)を使って行われるフィッシング詐欺です。携帯電話やスマートフォンに「アカウントに異常なアクセスがありました」「すぐに確認してください」など、緊急を装ったメッセージを送り、記載のリンクをクリックさせて偽サイトに誘導します。

4. ビッシング(音声フィッシング)

ビッシングは、電話を使ったフィッシング詐欺です。銀行やクレジットカード会社を名乗って電話をかけ、ユーザーに口座番号やパスワードなどの個人情報を伝えさせる手口です。音声や会話を使うため信憑性が増し、特に年配の方がターゲットにされることが多いです。

5. クイッシング(QRコードフィッシング)

クイッシングは、QRコードを使ってユーザーをフィッシングサイトに誘導する方法です。QRコードをスキャンさせることで偽サイトに誘導し、認証情報や個人情報を入力させる手口です。特にイベント会場や公共の場に置かれたQRコードを悪用するケースがあります。

フィッシングの手口

フィッシング詐欺では、さまざまな手口が使われ、利用者の不安を煽る内容や公式の通知に見せかけたリンクが多用されます。

偽装メールや偽サイト

フィッシング詐欺では、公式機関や企業のロゴ、フォント、デザインなどを模倣して、受信者が信じやすいメールやサイトを作成します。銀行やオンラインサービスのロゴを使った「確認が必要です」などの緊急メッセージが典型です。

脅迫的なメッセージ

フィッシング詐欺は、「アカウントがロックされます」「異常なログインがありました」といった脅迫的な内容で、ユーザーの不安を煽ることが多いです。これによりユーザーはメール内のリンクやボタンをクリックし、偽サイトに誘導されやすくなります。

クリック誘導のテクニック

「詳細はこちら」や「今すぐ確認」というリンクやボタンがあり、クリックすることで偽サイトへ誘導されます。これにより、利用者が無意識に認証情報や個人情報を入力するように誘導されます。

フィッシングの被害例

フィッシング詐欺によって、個人や企業が被害を受けるケースが年々増えています。以下は、代表的な被害例です。

1. 金融情報の流出

フィッシング詐欺を通じて銀行口座情報やクレジットカード情報を盗まれ、預金が引き出されたり、カードが不正に利用されたりする被害が報告されています。

2. SNSアカウントの乗っ取り

フィッシングにより、SNSのアカウント情報が盗まれ、アカウントが乗っ取られる事例も多く見られます。乗っ取られたアカウントを使って、友人や知人をターゲットにさらなるフィッシング詐欺を仕掛けるケースもあります。

3. 企業機密の漏洩

企業の役員や経理担当者がスピアフィッシングやホエールフィッシングの被害に遭うと、内部情報が漏洩したり、取引先や顧客の情報が外部に流出する危険性があります。これにより、企業全体の信用が損なわれるリスクも発生します。

フィッシング対策

1. メールやリンクの確認

不審なメールを受け取った場合は、送信元やリンク先のURLを確認することが大切です。URLが公式サイトと異なる場合や、送信者が不明な場合は、リンクをクリックせず削除することが推奨されます。

2. 多要素認証(MFA)の導入

多要素認証を有効にすることで、フィッシング詐欺でパスワードが盗まれた場合でも、第三者がアカウントに不正アクセスするリスクを低減できます。二段階認証や生体認証などを導入し、セキュリティを強化することが重要です。

3. フィッシング対策ソフトの活用

フィッシング対策が組み込まれたセキュリティソフトやブラウザ拡張機能を利用することで、偽サイトへのアクセスを防ぐことができます。多くのセキュリティソフトには、フィッシングサイトをブロックする機能が搭載されています。

4. 定期的なパスワード変更

定期的にパスワードを変更することで、仮にフィッシングで情報が盗まれても、後からアクセスされるリスクを軽減できます。複雑で推測されにくいパスワードを設定し、異なるサービスでパスワードを使い回さないことが重要です。

5. 社内教育や啓発活動

企業では、従業員にフィッシング詐欺の手口や対策を教育し、注意喚起を行うことが重要です。社員がフィッシング詐欺を認識しやすくなり、被害を防ぐための意識向上が期待できます。

まとめ

フィッシング詐欺は、メールやSMS、偽のWebサイトなどを利用して個人情報や認証情報を盗む犯罪行為です。スピアフィッシング、ホエールフィッシング、スミッシングなど、手口は多様化しており、巧妙なフィッシング詐欺が日常生活や企業活動に大きな影響を及ぼす可能性があります。防止には、多要素認証の導入、不審なメールやリンクの確認、パスワード管理の徹底など、基本的なセキュリティ対策を意識することが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。