フィッシングとは

フィッシング (Phishing) とは、信頼できる組織や人物になりすまして、パスワード、クレジットカード番号、個人情報などを騙し取るサイバー攻撃です。「fishing (釣り)」と「sophisticated (洗練された)」を組み合わせた造語とされています。

IPA (情報処理推進機構) の報告によると、フィッシングは毎年セキュリティ脅威のトップ 10 に入り続けており、被害件数は増加傾向にあります。技術的に高度な攻撃ではなく、人間の心理的な隙を突くソーシャルエンジニアリングの一種です。

代表的な手口

メールフィッシング: 銀行やサービス事業者を装ったメールで偽サイトに誘導する最も一般的な手口。「アカウントが停止されます」「不正アクセスを検知しました」など、緊急性を煽る文面が特徴。
スミッシング (SMS フィッシング): SMS を使った手口。宅配便の不在通知や料金未払いの通知を装うケースが急増している。
スピアフィッシング: 特定の個人や組織を狙い、事前に収集した情報を使って信憑性の高いメールを送る標的型攻撃。企業の経営層を狙う「ホエーリング」もこの一種。
クローンフィッシング: 過去に受信した正規のメールを複製し、リンクだけを偽サイトに差し替える手口。元のメールを見たことがある受信者は疑いにくい。

メールヘッダーの確認は有効な防御手段です。Return-Path や Received ヘッダーに記載された送信元ドメインが、表示上の差出人と一致しているかを確認します。たとえば差出人が「support@amazon.co.jp」でも、Return-Path が「noreply@xyz-random.com」であればフィッシングの可能性が高いと判断できます。

偽サイトの見分け方

以下のポイントを確認することで、フィッシングサイトを見分けられる可能性が高まります。

URL を確認する: 正規のドメインと 1 文字違い (例: amaz0n.com) や、サブドメインに正規名を含む偽ドメイン (例: amazon.security-check.com) に注意。
HTTPS の有無だけで判断しない: 現在はフィッシングサイトの約 80% が TLS/SSL 証明書を取得しており、鍵マークがあるだけでは安全とは言えません。
メールのリンクを直接クリックしない: ブラウザのブックマークや検索エンジンから公式サイトにアクセスする習慣をつけましょう。
日本語の不自然さ: 機械翻訳特有の不自然な表現、フォントの違い、句読点の使い方に違和感がないか確認します。

フィッシング URL の典型的なパターンも知っておくと役立ちます。https://amazon.co.jp.account-verify.com/login のように、正規ドメインをサブドメインやパスに含めて本物に見せかける手法が多用されます。ブラウザのアドレスバーでは、最後の .com の直前にあるドメイン名 (account-verify.com) が実際の接続先です。

被害に遭った場合の対処

フィッシングサイトに情報を入力してしまった場合は、速やかに以下の対応を取ってください。

該当サービスのパスワードを直ちに変更する
同じパスワードを使い回している他のサービスも変更する
クレジットカード情報を入力した場合はカード会社に連絡し、利用停止を依頼する
二要素認証を有効にする
フィッシング対策協議会 (https://www.antiphishing.jp/) に報告する

被害の拡大を防ぐために、入力した情報の種類に応じた追加対応も重要です。メールアドレスとパスワードを入力した場合、攻撃者はクレデンシャルスタッフィングで他のサービスへの不正ログインを試みる可能性があります。パスワードマネージャーで同じパスワードを使っているサービスを洗い出し、すべて変更してください。

よくある誤解

フィッシングメールは見ればすぐ分かる: 近年のフィッシングメールは非常に精巧で、正規のメールとほぼ見分けがつかないものも多い。特にスピアフィッシングでは、実在の取引先や同僚の名前を使うため、セキュリティの専門家でも騙されることがあります。
HTTPS (鍵マーク) があれば安全: Let's Encrypt などの無料 SSL 証明書の普及により、フィッシングサイトの大半が HTTPS に対応しています。鍵マークは通信が暗号化されていることを示すだけで、サイトの正当性を保証するものではありません。

フィッシング