フィッシングとは

この記事は約 2 分で読めます

フィッシングとは、正規のサービスや企業を装った偽のウェブサイトやメールを使い、 ユーザーのパスワード、クレジットカード番号、個人情報などを騙し取るサイバー攻撃の 手口です。「 fishing (釣り)」と「 sophisticated (洗練された)」を組み合わせた造語で、 巧妙な手口でユーザーを「釣る」ことに由来します。 FBI の 2024 年の報告によると、 フィッシングはサイバー犯罪の被害件数で毎年トップを占めており、 生成 AI を悪用した攻撃の増加が新たな脅威として指摘されています。

歴史的背景

フィッシングの起源は 1990 年代半ばの AOL (America Online) に遡ります。 攻撃者が AOL のスタッフを装い、ユーザーのパスワードを聞き出す手口が最初期の 事例とされています。 2000 年代にはオンラインバンキングを標的としたフィッシングが 急増し、 2010 年代以降はクラウドサービスや SNS アカウントを狙う攻撃が主流に なりました。近年は生成 AI を悪用した、文法的に完璧なフィッシングメールの 作成が容易になり、従来の「不自然な日本語」という見分け方が通用しなくなっています。

フィッシングの種類と比較

一般的なフィッシングは不特定多数を標的にしますが、より高度な変種も存在します。スピアフィッシングは特定の個人や 組織を狙った標的型攻撃で、受信者の情報を事前に調査して信憑性の高いメールを 送ります。ホエーリングはスピアフィッシングの 中でも経営幹部 (CEO 、 CFO など) を標的にした攻撃で、「鯨 (whale)」を狙うことに 由来します。スミッシングは SMS を利用したフィッシング、ビッシングは電話を使った 手口です。攻撃の精度と被害額は、一般フィッシング → スピアフィッシング → ホエーリングの順に高くなる傾向があります。

フィッシング対策の基礎知識は、サイバーセキュリティ対策の書籍 (Amazon)で体系的に学べます。

現場での使用例

「今朝の CSIRT ミーティングで、経理部門を狙ったフィッシングメールが 3 通報告されました。 送信元ドメインが正規のものと 1 文字違いで、請求書 PDF を装ったマルウェアが添付されていました。」

攻撃フロー

見分けるポイント

フィッシングメールを見分けるには、送信元アドレスのドメインを確認することが重要です。 正規のドメインに似せた微妙に異なるアドレス (例: amaz0n.com) が使われることが 多くあります。また、「アカウントが停止されます」「 24 時間以内に対応してください」 といった緊急性を煽る文面は典型的なフィッシングの特徴です。リンク先の URL を クリック前に確認し、正規のドメインであることを必ず確かめましょう。

実務での対策と落とし穴

セキュリティ現場でよくある誤解は「自分は騙されない」という過信です。ソーシャルエンジニアリングの 研究によると、セキュリティ専門家でも巧妙なフィッシングに引っかかる事例は 珍しくありません。組織では定期的な模擬フィッシング訓練が効果的で、 訓練を実施している企業ではクリック率が平均 60% 以上低下するとされています。 サービスごとに異なるランダムなパスワードを使い分けることで、 万が一 1 つのサービスでフィッシング被害に遭っても、他のサービスへの被害拡大を 防げます。二段階認証の 設定も有効な対策です。情報セキュリティリテラシーの入門書 (Amazon)も日常的な防御力を高めるのに役立ちます。