フィッシングとは

この記事は約 2 分で読めます

フィッシングとは、正規のサービスや企業を装った偽のウェブサイトやメールを使い、 ユーザーのパスワード、クレジットカード番号、個人情報などを騙し取るサイバー攻撃の 手口です。「fishing (釣り)」と「sophisticated (洗練された)」を組み合わせた造語で、 巧妙な手口でユーザーを「釣る」ことに由来します。FBI の 2024 年の報告によると、 フィッシングはサイバー犯罪の被害件数で毎年トップを占めており、 生成 AI を悪用した攻撃の増加が新たな脅威として指摘されています。

歴史的背景

フィッシングの起源は 1990 年代半ばの AOL (America Online) に遡ります。 攻撃者が AOL のスタッフを装い、ユーザーのパスワードを聞き出す手口が最初期の 事例とされています。2000 年代にはオンラインバンキングを標的としたフィッシングが 急増し、2010 年代以降はクラウドサービスや SNS アカウントを狙う攻撃が主流に なりました。近年は生成 AI を悪用した、文法的に完璧なフィッシングメールの 作成が容易になり、従来の「不自然な日本語」という見分け方が通用しなくなっています。

フィッシングの種類と比較

一般的なフィッシングは不特定多数を標的にしますが、より高度な変種も存在します。スピアフィッシングは特定の個人や 組織を狙った標的型攻撃で、受信者の情報を事前に調査して信憑性の高いメールを 送ります。ホエーリングはスピアフィッシングの 中でも経営幹部 (CEO、CFO など) を標的にした攻撃で、「鯨 (whale)」を狙うことに 由来します。スミッシングは SMS を利用したフィッシング、ビッシングは電話を使った 手口です。攻撃の精度と被害額は、一般フィッシング → スピアフィッシング → ホエーリングの順に高くなる傾向があります。

フィッシング対策の基礎知識は、サイバーセキュリティ対策の書籍 (Amazon)で体系的に学べます。

現場での使用例

「今朝の CSIRT ミーティングで、経理部門を狙ったフィッシングメールが 3 通報告されました。 送信元ドメインが正規のものと 1 文字違いで、請求書 PDF を装ったマルウェアが添付されていました。」

攻撃フロー

見分けるポイント

フィッシングメールを見分けるには、送信元アドレスのドメインを確認することが重要です。 正規のドメインに似せた微妙に異なるアドレス (例: amaz0n.com) が使われることが 多くあります。また、「アカウントが停止されます」「24 時間以内に対応してください」 といった緊急性を煽る文面は典型的なフィッシングの特徴です。リンク先の URL を クリック前に確認し、正規のドメインであることを必ず確かめましょう。

実務での対策と落とし穴

セキュリティ現場でよくある誤解は「自分は騙されない」という過信です。ソーシャルエンジニアリングの 研究によると、セキュリティ専門家でも巧妙なフィッシングに引っかかる事例は 珍しくありません。組織では定期的な模擬フィッシング訓練が効果的で、 訓練を実施している企業ではクリック率が平均 60% 以上低下するとされています。 パスつく.com で生成したランダムなパスワードをサービスごとに使い分けることで、 万が一 1 つのサービスでフィッシング被害に遭っても、他のサービスへの被害拡大を 防げます。二段階認証の 設定も有効な対策です。情報セキュリティリテラシーの入門書 (Amazon)も日常的な防御力を高めるのに役立ちます。