フィッシング ふぃっしんぐ
なりすまし偽サイト詐欺メールソーシャルエンジニアリングクレデンシャルスティーリングスミッシング
フィッシングについて教えて
簡単に言うとこんな感じ!
銀行やAmazonのふりをした「偽メール」で「偽サイト」に誘導して、パスワードやクレジットカード番号を盗み取る詐欺だよ!魚釣り(fishing)みたいに「えさ」で人を引っかけるからフィッシングって呼ばれてるんだ。
フィッシングとは
フィッシング(Phishing) とは、銀行・EC サイト・行政機関などの 実在する組織や人物を装ったメール・SMS・偽サイト を使って、ユーザーを騙し、パスワード・クレジットカード番号・個人情報などを盗み取るサイバー攻撃の手口です。技術的な脆弱性を突くのではなく、人間の信頼や焦りの心理 を利用する「ソーシャルエンジニアリング(心理的操作によるだまし)」の代表例です。
スペルが “ph” で始まる理由には諸説ありますが、1990年代の電話詐欺師「フリーカー(phreaker)」の文化と、釣り(fishing)を合わせた造語と言われています。「えさ(偽メール)で魚(利用者)を釣り上げる」というイメージそのものです。
現在のフィッシングは単純な偽メールにとどまらず、AIを使った精巧な文面生成・本物そっくりのドメイン取得・多要素認証を突破するリアルタイム中継攻撃 など、手口が急速に高度化しています。システム発注や契約など金銭が動く場面では特に狙われやすく、ビジネスパーソンが最も注意すべき脅威の一つです。
フィッシングの仕組みと典型的な手口
フィッシング攻撃の流れ
攻撃者 被害者
│ │
│── ① 偽メール送信 ──────────▶│
│ 「口座が凍結されました」 │
│ │ クリック
│◀── ② 偽サイトへ誘導 ────────│
│ (本物そっくりのURL) │
│ │ ID/PW入力
│── ③ 情報を盗取 ─────────────▶│
│ パスワード・カード番号 │
│ │
│── ④ 不正利用・転売 ─────────▶ 金銭被害発生主なフィッシングの種類
| 種類 | 手口 | 特徴 |
|---|---|---|
| メールフィッシング | 偽のメールで偽サイトへ誘導 | 最も一般的。大量送信型 |
| スピアフィッシング | 特定個人・企業を狙い打ち | 名前・役職・取引先を使った精巧な文面 |
| スミッシング | SMSで偽サイトへ誘導 | 「宅配不在通知」などが典型 |
| ビッシング | 電話音声で騙す | 「銀行サポートです」と偽装 |
| ホエーリング | 経営幹部・役員を狙う | 高額振込指示など被害額が巨大 |
| ファーミング | DNS改ざんで正規URLのまま偽サイトへ | URLを見ても気づきにくい |
偽メールの典型的な「煽り文句」パターン
| パターン | 例文 |
|---|---|
| 緊急・恐怖 | 「あなたのアカウントが不正アクセスされました。今すぐ確認を」 |
| 利益・当選 | 「Amazonギフト券5万円が当選しました」 |
| 行政・公的機関 | 「マイナポータルから重要なお知らせがあります」 |
| 宅配・物流 | 「お荷物をお届けできませんでした。住所を再確認してください」 |
覚え方:「お・か・し・い・な」チェック
| 文字 | チェックポイント |
|---|---|
| お | 送り主のアドレスが怪しくないか? |
| か | 書かれているURLが本物のドメインか? |
| し | 至急・緊急など焦らせる表現がないか? |
| い | 個人情報の入力を求めていないか? |
| な | なんとなく文章がおかしくないか? |
歴史と背景
- 1990年代前半:AOL(米国大手ISP)ユーザーを狙ったアカウント詐欺が「phishing」の語源とされる
- 1996年:フリーカー(電話ハッカー)コミュニティで “phishing” という用語が使われ始める
- 2000年代初頭:PayPalや米国大手銀行を騙る偽メールが急増、フィッシングが社会問題化
- 2006年:フィッシング対策国際団体 APWG(Anti-Phishing Working Group) が急増を警告、月10万件超を記録
- 2010年代:スマートフォン普及でSMS(スミッシング)を使った攻撃が急増
- 2016年:米大統領選でスピアフィッシングにより選挙関係者のGmailが侵害、世界的ニュースに
- 2020年代:AIによる精巧な文面生成・リアルタイム多要素認証バイパス(AiTM攻撃)が登場
- 2024年以降:生成AIを悪用した多言語・個人特化型フィッシングが急増中
フィッシングへの対策と関連技術
主な対策手段
フィッシング対策メール技術(SPF / DKIM / DMARC)
| 技術 | 役割 | 一言で言うと |
|---|---|---|
| SPF | 送信元IPアドレスを検証 | 「このドメインから送れるサーバーはこれだけ」と宣言 |
| DKIM | メール本文に電子署名を付与 | 「この内容は改ざんされていない」を証明 |
| DMARC | SPF・DKIM失敗時の処置を指示 | 「怪しいメールは拒否 or 隔離してください」と設定 |
これら3つを組み合わせることで、自社ドメインを騙った偽メールが相手に届くのを防ぎます。自社を守るだけでなく、取引先を守ることにもなります。
フィッシングと似た攻撃の比較
| 攻撃手法 | 主な手段 | 人の心理を使うか |
|---|---|---|
| フィッシング | メール・SMS・偽サイト | ✅ 使う |
| マルウェア感染 | 添付ファイル・ドライブバイ | △ 一部 |
| SQLインジェクション | Webアプリの脆弱性を技術的に突く | ❌ 使わない |
| ビジネスメール詐欺(BEC) | フィッシングの上位版・送金指示 | ✅ 使う(高額被害) |
関連する規格・ガイドライン
| 規格・団体・文書 | 内容 |
|---|---|
| APWG | Anti-Phishing Working Group。フィッシング件数の統計・報告機関 |
| フィッシング対策協議会 | 日本の対策機関。被害報告・注意喚起を発信 |
| NIST SP 800-177 | メールセキュリティガイドライン(SPF/DKIM/DMARC含む) |
| RFC 7208 | SPF(Sender Policy Framework)の仕様 |
| RFC 6376 | DKIM(DomainKeys Identified Mail)の仕様 |
| RFC 7489 | DMARC の仕様 |
関連用語
- ソーシャルエンジニアリング — 技術ではなく人間の心理を操作して情報を盗む攻撃手法の総称
- スミッシング — SMSを使ったフィッシング攻撃
- スピアフィッシング — 特定の個人・組織を狙い打ちにした精巧なフィッシング
- 多要素認証(MFA) — パスワード+別の認証要素を組み合わせた不正ログイン対策
- DMARC — なりすましメールを防ぐメール認証プロトコル
- ビジネスメール詐欺(BEC) — フィッシングを応用した経営幹部・経理部門狙いの高額詐欺