フィッシング

フィッシング（Phishing）とは、実在する企業や組織を装った偽のメール、SMS、Webサイトなどを用いて、ユーザーのID、パスワード、クレジットカード情報などの機密情報を騙し取るサイバー攻撃手法です。「釣り（Fishing）」が語源で、餌（偽メール）で獲物（被害者）を釣り上げるという意味が込められています。

フィッシング攻撃の手口

典型的なフィッシング攻撃は、以下のような流れで行われます：

1. 攻撃者が銀行やECサイトなどを装った偽メールを送信
2. 「アカウントが停止されます」「セキュリティ上の問題が発生しました」などの緊急性を煽る文面で偽サイトへ誘導
3. 被害者が偽サイトでID・パスワードや個人情報を入力
4. 入力された情報が攻撃者に送信され、不正利用される

フィッシングの種類

スピアフィッシング（Spear Phishing）

特定の個人や組織を狙った標的型フィッシングです。ターゲットの情報を事前に収集し、個人名や所属部署などを含めたパーソナライズされたメールを送ることで、信憑性を高めます。成功率が高く、企業や政府機関への攻撃によく使われます。

ホエーリング（Whaling）

経営幹部や役員など、組織内で高い権限を持つ人物を標的としたフィッシングです。「大物（クジラ）」を狙うことからこの名前がついています。

ビジネスメール詐欺（BEC：Business Email Compromise）

経営幹部や取引先を装い、財務担当者などに送金指示を出す詐欺です。メールアカウントの乗っ取りや、類似ドメインの使用により、本物と見分けがつきにくくなっています。FBI によると、BECによる被害額は年間数十億ドルに達しています。

スミッシング（Smishing）

SMS（ショートメッセージサービス）を使ったフィッシングです。「お荷物の配達に失敗しました」などの文面で偽サイトに誘導します。スマートフォンの普及により被害が増加しています。

ヴィッシング（Vishing）

電話（Voice）を使ったフィッシングです。銀行やサポートセンターを装って電話をかけ、口座情報やパスワードを聞き出します。

効果的な対策

• 送信元の確認：メールアドレスのドメインが正規のものか確認
• URLの検証：リンクにカーソルを合わせて実際のURLを確認、HTTPSの有無をチェック
• 多要素認証（MFA）の導入：パスワードが漏洩しても不正ログインを防止
• セキュリティ意識向上トレーニング：従業員への定期的な教育と模擬フィッシングテスト
• メールフィルタリング：AI/MLを活用した高度なフィッシングメール検知