フィッシング(本物を装って情報を釣り上げる)
正規の組織を装ったメールやサイトで利用者を誘導し情報を盗む攻撃。
📌フィッシングとは
フィッシングとは、銀行やショッピングサイトなど正規の組織になりすましたメールやWebサイトで利用者を誘導し、ID・パスワードやカード番号を盗む攻撃のことです。
名前は「魚釣り(fishing)」をもじったもので、エサ(本物そっくりの偽メール)で利用者を釣り上げるイメージです。利用者は本物だと信じ込み、自分から情報を差し出してしまいます。
ポイントは利用者自身に入力させる点です。システムを力ずくで破るのではなく、人をだまして情報を引き出すため、見た目が本物に近いほど成功しやすくなります。上の図解のように、メールから偽サイトへ誘導する流れが基本形です。
📌主な手口
フィッシングでよく使われる手口には、次のようなものがあります。
・不安・緊急性をあおる:「アカウントが停止されます」「不正利用を検知しました」などと書き、冷静に確認させずに行動させる
・偽サイトへ誘導:メール内のリンクから、本物そっくりに作った偽サイトへ飛ばす
・SMSやSNSの利用:メールだけでなく、ショートメッセージ(SMS)やSNSのメッセージで誘導する手口(スミッシングとも呼ばれる)
偽サイトはロゴや配色まで正規サイトを真似ているため、ぱっと見では区別がつきにくいのが特徴です。利用者は本物のログイン画面だと思い込み、IDやパスワードをそのまま入力してしまいます。
身近な例で考えると、銀行員を装った訪問者に「通帳と印鑑を確認させてください」と言われて差し出してしまう詐欺に似ています。相手が本物に見えるからこそ、つい応じてしまうのです。
📌見破る方法
フィッシングを見破り、被害を防ぐには次のような行動が有効です。
・リンクを押さず公式の経路から開く:メールのリンクではなく、ブックマークや公式アプリから正規サイトを開く
・ドメイン名を確認する:アドレスバーのドメイン(=サイトの住所のこと)が正規のものか、見慣れない文字が混じっていないかを確認する
・急かす内容を疑う:「至急」「停止」などと焦らせる連絡ほど、いったん立ち止まって確認する
あわせて、多要素認証(=パスワードに加えてスマホの確認などを組み合わせる仕組み)を設定しておくと、万一パスワードを盗まれても、それだけでは不正ログインされにくくなります。
合言葉は「メールのリンクは押さない、自分で正規サイトを開く」です。少し手間でも、この一手間が偽サイトへの誘導を断ち切る一番確実な方法になります。
📌なぜ人はだまされるのか
フィッシングがうまくいく理由は、人間の自然な心理を巧みに利用するからです。次の3つが組み合わさると、冷静な判断が難しくなります。
・権威への弱さ:「銀行」「公式」などの名前が出ると、つい信用してしまう
・焦り・恐怖:「アカウント停止」「不正利用」などと言われると、確認より行動を急いでしまう
・習慣の油断:いつも使っているサービスに見えると、いつも通り入力してしまう
なぜこの心理が効くのか。普段の生活では「銀行からの連絡は本物」「急ぎの案件は対処を急ぐ」が正しい行動です。攻撃者はその正常な反応をそのまま利用します。だから「だまされるのは注意が足りないせい」ではなく、心理の仕組みを利用された結果なのです。
対策として効くのは、「急かされたときこそいったん止まる」という意識を習慣にすることです。「焦らせてくる連絡は怪しい」と頭に入れておくだけで、冷静に確認できる可能性が上がります。
📌フィッシングの亜種と見分け方
フィッシングには、手段や対象によっていくつかの呼び方があります。仕組みは基本的に同じ(偽の誘導→情報入力させる)ですが、特徴を知ると見分けやすくなります。
・フィッシング:不特定多数に一斉メールを送り、ひっかかった人の情報を盗む。量で稼ぐ方法
・スピアフィッシング(=槍(やり)で狙うイメージ):特定の人・会社に絞って攻撃する。名前・役職・社名を調べて使い、本物らしさを高める
・スミッシング:SMS(=携帯電話のショートメッセージ)でURLを送り、偽サイトへ誘導する
なぜ亜種が増えるのか。メールフィルターが普及してフィッシングメールが届きにくくなったため、攻撃者はSMSやSNSなど別の経路に移っています。また、一斉送信より個人情報を調べてから狙うスピアフィッシングのほうが騙しやすいため、増えています。
どの形でも共通の見破り方は変わりません。届いたリンクは押さない、自分でブックマークや公式アプリから開くが一番確実な防衛手段です。
