フィッシングとは

概要

フィッシング (phishing) は、銀行、SNS、通販サイトなどの正規サービスを装った偽のメールや Web サイトを使い、ユーザーのログイン情報やクレジットカード番号を騙し取る詐欺手法である。語源は「fishing (釣り)」で、餌 (偽サイト) を使ってターゲットを釣り上げるイメージに由来する。フィッシング対策協議会の報告によると、日本国内のフィッシング報告件数は年間 100 万件を超えており、最も身近なサイバー犯罪の一つである。

フィッシングの典型的な手口

最も一般的な手口は、正規サービスを装ったメールやSMSである。「アカウントが不正利用されました」「本人確認が必要です」「支払いに問題があります」といった緊急性を煽る文面で、偽サイトへのリンクをクリックさせる。偽サイトは本物そっくりに作られており、URL を注意深く確認しなければ見分けがつかない。

近年は手口が巧妙化している。正規のドメインに似た文字列 (例: amaz0n.com、g00gle.com) を使うタイポスクワッティング、QR コードを使って偽サイトに誘導するクイッシング (QR + phishing)、特定の個人を狙って精巧なメールを送るスピアフィッシングなど、バリエーションは増え続けている。

質問箱ユーザーが注意すべきフィッシング

質問箱のオーナーは、フィッシングの標的になりやすい。SNS で質問箱の URL を公開しているため、メールアドレスや SNS アカウントが攻撃者に知られている。「質問箱サービスからの重要なお知らせ」を装ったフィッシングメールが届く可能性がある。

見分けるポイントは 3 つある。第一に、送信元のメールアドレスが正規のドメインかどうか。第二に、リンク先の URL が正規のサービスのドメインかどうか (リンクにマウスを乗せると実際の URL が表示される)。第三に、パスワードやクレジットカード番号の入力を求めているかどうか。正規のサービスがメールでパスワードの入力を求めることはない。

フィッシングから身を守る方法

最も効果的な対策は、メールやSMSのリンクを直接クリックしないことである。「アカウントに問題がある」という通知を受け取ったら、メール内のリンクではなく、ブラウザのブックマークや検索エンジンから正規のサイトにアクセスして確認する。この習慣だけで、フィッシングの大半を回避できる。

技術的な対策としては、二段階認証の設定が最も効果的である。仮にフィッシングサイトにパスワードを入力してしまっても、二段階認証が有効であれば攻撃者はログインできない。パスワードマネージャーの利用も有効で、正規のドメインでなければ自動入力が動作しないため、偽サイトでの入力を防げる。ブラウザやセキュリティソフトのフィッシング検出機能も常に有効にしておくべきである。

フィッシング詐欺の手口と見分け方を学びたい方は、フィッシング対策の関連書籍も参考になります。