フィッシングとは

フィッシング(Phishing)とは、銀行やクレジットカード会社といった金融機関をはじめ、SNS、オンラインゲーム、Webメールなど、信用ある会社やブランド等を装った電子メールを送り、IDやパスワードなどの認証情報や、住所、氏名、銀行口座番号、クレジットカード番号といった個人情報を詐取する行為のこと。「Phishing」は、「釣り」(Fishing)の意に加え、「ユーザーを釣るための餌となるメールが洗練されている、手が込んでいる(Sophisticated)」ところから来たという説などがある。

フィッシングにより、IDやパスワードが盗まれると、マイレージやECサイトのポイント、ギフト券といったオンライン上のポイントが盗まれる「金銭的被害」に遭う可能性があるほか、「なりすまし」によりインターネットへの不正な投稿やウィルス拡散などの犯罪行為に加担させられる可能性、SNS等で繋がる友人がマルウェアに感染させられたりする可能性などがある。最近では、オンラインバンキングの認証情報が盗まれ、第三者(犯罪者)の口座に不正送金される被害も多発している。

典型的なフィッシングの手口は、信用ある企業を名乗る偽装メール(フィッシングメール)が送られてくる。メールは、本文に記載されたURL等をクリックするように仕向け、ユーザーを偽サイト(フィッシングサイト)に誘導する。フィッシングサイトは正規のサイトをそのままコピーするなど、外見から偽物であることを見分けることは困難で、ログイン画面が表示されIDやパスワード等の個人情報を入力するよう促すというものだ。

基本的には不特定多数のユーザーに向けて仕掛けられるものだが、最近では、特定の企業や組織、人物を標的にしてメール文面を巧妙に加工する「標的型攻撃」(「スピア・フィッシング」などと呼ばれることもある)も多数報じられている。また、LINEをはじめとするコミュニケーションアプリのアカウントを乗っ取り、そのアカウントとつながる友だちに1件1件、詐欺メッセージを送るという事例もあり、手口はメールだけにとどまらない。

フィッシングの被害を未然に防ぐためには、個人情報の入力を求めるメールは疑ってかかる、メールに記載されたURLは安易にクリックしないなど、メール等の取扱いに注意するとともに、アクセスしたWebサイトが本物かどうか「アドレスバー」のドメイン名を目視確認することが重要だ。とくに、EV SSLに対応しているサイトはアドレスバー上で組織名が緑色で表示されるため、サイト運営者が組織名として表示されていることを目視確認することが推奨される。

そして、IDやパスワードの設定、管理は厳重に行うことも併せて行いたい。パスワードの文字列は大文字と小文字、数字や記号を混ぜ、可能であれば12文字以上のできるだけ長い文字列に設定するようにし、サービス事業者が2要素認証などのアカウント認証を強化する機能を提供しているときは、これを利用することが推奨される。

また、パソコンのOSやアプリケーションなどのソフトウェア、ブラウザーのプラグインを最新の状態に更新することや、最新のセキュリティソフトを使用し、ウィルス定義ファイルを常に最新の状態に保つといった基本的なマルウェア対策を継続することも重要だ。

あなたのパスワードが狙われている!フィッシングの被害を防ぐための4つのポイント(今すぐ見直したいセキュリティ対策)
情報が漏えいしたときの被害は深刻!? IDとパスワードの管理は厳重に行おう(今すぐ見直したいセキュリティ対策)
パソコンやスマートフォンのソフトウェアを最新に保ち、脆弱性を解消する対策を継続しよう(今すぐ見直したいセキュリティ対策)

セキュリティ用語辞典一覧ページへ

辻 伸弘のセキュリティ防衛隊

関連キーワード:
1
参考になったらボタンを押してね
情報セキュリティブログ10周年記念企画
  • IPAが「情報セキュリティ10大脅威 2016」を発表
  • カテゴリートップへ
  • GNUプロジェクトのCライブラリ(glibc)にバッファオーバーフローの脆弱性(CVE-2015-7547)が確認される