フィッシング 【phishing】 フィッシング詐欺

概要

フィッシング（phishing）とは、捏造・偽装した電子メールやWebサイトなどを用いて利用者を騙し、重要な情報を入力させて盗み取ったりマルウェアに感染させる攻撃。金融機関を装ってネットバンキングサービスのログインパスワードを盗む攻撃などが該当する。

解説 「釣り」を意味する “fishing” が語源で、偽の案内に利用者が騙される様子を、釣り針の先に付けた餌やルアーに獲物が食いつく様に例えた表現である。先頭が “ph-” なのは、偽装の手法が洗練されていることから “sophisticated” と組み合わせたとする説がある。

手口

フィッシングの代表的な手口は以下の通り。攻撃者は送信者名を金融機関に似せたメールを無差別に送りつける。本文には、偽のWebサイトへのリンクと、サイトにアクセスして暗証番号やパスワードなどの秘密の情報を入力するよう促す案内文が記載されている。

その金融機関と実際に契約している利用者が騙されてリンクを開くと、本物そっくり似せた偽のサイトが表示される。利用者が入力フォームに秘密の情報を入力すると、攻撃者に送信されてしまう。攻撃者はこの情報を用いて利用者になりすましてログインし、不正に預金を引き出すなどの犯行に及ぶ。

攻撃者がなりすます対象は金融機関だけでなく、官公庁や通信会社、交通機関、インフラ事業者、ECサイト、オンラインモールなど様々な業種が狙われる。きっかけとなるメッセージの送信手段としてSMSを用いる「スミッシング」（smishing）や、電話による自動音声案内を用いる「ビッシング」（vishing）も定着している。

主な対策

送信元を偽装したメールを用いたフィッシングについては、技術的な対策としてSPFやDKIM、DMARCなどの送信ドメイン認証があり、受信側である程度機械的に見破ることができる。Webメールサービスの場合には、事業者側のフィルタープログラムや他の利用者の申告などに基づいて、怪しいメッセージに警告表示が現れることがある。

利用者側でできる対策としては、送信者欄や送信元アドレスを鵜呑みにしない、Webブラウザに表示されたURLを確認する、接続先WebサーバのSSLサーバ証明書の所有者欄を確認する、リンクを開かず検索エンジンやWebブラウザのブックマーク、公式アプリなどから当該サイトにアクセスするといった方法がある。

近年では、リンク先のURLの一部に本物のドメイン名が含まれるような文字列を使ったり、本物そっくりのドッペルゲンガードメインを取得して送信元アドレスの偽装や偽サイト構築に用いるなど、偽装手段は巧妙化する一方であり、利用者の用心に頼った対策の限界を指摘する声もある。