フィッシング(phishing)とは、金融機関・クレジットカード会社・ECサイトなどの正規の組織を装った偽メールや偽ウェブサイトを通じて、ユーザーのパスワード・暗証番号・クレジットカード番号などの機密情報をだまし取るサイバー詐欺です。
「フィッシング」という名称は、個人情報を「魚」に、攻撃者を「釣り人」にたとえた比喩表現に由来します。英語の「fishing(魚釣り)」とは異なり、「phishing」と表記されます。これは、巧妙な手口で獲物を引っかける様子を「洗練された(sophisticated)」釣りになぞらえ、「ph」に置き換えたとされています。
フィッシング詐欺の典型的な手口は、まず本物そっくりに作り込まれた偽メールをユーザーに送りつけることから始まります。「アカウントに不正アクセスがありました」「支払い情報の確認が必要です」などの緊急性を煽る文面でユーザーの不安を刺激し、メール内のリンクをクリックさせます。リンク先は本物のサイトと見分けがつかないほど精巧に作られた偽サイトで、そこでIDやパスワード、クレジットカード情報を入力させることで情報を窃取します。
近年ではフィッシング攻撃の手口がより巧妙化・多様化しており、SMSを利用した「スミッシング」や、電話を悪用した「ビッシング」など、メール以外の手段を組み合わせた攻撃も増加しています。また、特定の個人や組織を標的に絞り、受信者の名前や役職などの個人情報を盛り込んで信頼性を高める「スピアフィッシング」と呼ばれる高度な手口も報告されており、一般的なフィッシングよりも被害に遭いやすいとされています。
フィッシング詐欺の被害は個人の金銭的損失にとどまらず、窃取された認証情報が企業への不正アクセスや情報漏えいに悪用されるなど、組織全体に波及するリスクもあります。
対策としては、メールやSMSに記載されたリンクを安易にクリックせず、公式サイトへはブックマークや検索から直接アクセスする習慣が基本です。また、多要素認証の設定により、万が一パスワードが盗まれた場合でも不正ログインを防ぐことができます。送信元のメールアドレスやURLのドメインをよく確認し、少しでも不審に感じた場合は公式の問い合わせ窓口に直接確認することが重要です。フィッシング詐欺の手口を正しく知り、冷静に判断する意識を持つことが最大の防御策といえます。
フィッシング(phishing)による被害はどれか。
| ア | インターネットからソフトウェアをダウンロードしてインストールしたところ,設定したはずのない広告がデスクトップ上に表示されるようになった。 |
| イ | インターネット上の多数のコンピュータから,公開しているサーバに一斉にパケットが送り込まれたので,当該サーバが一時使用不能になった。 |
| ウ | 知人から送信されてきた電子メールに添付されていたファイルを実行したところ,ハードディスク上にあった全てのファイルを消失してしまった。 | エ | "本人情報の再確認が必要なので入力してください"という電子メールで示されたURLにアクセスし,個人情報を入力したところ,詐取された。 |
