← 攻撃手法一覧
ソーシャルエンジニアリング詐欺・なりすまし1990年代〜現在

フィッシング攻撃とは

フィッシング(Phishing)は銀行・EC サイト・SNS などの正規サービスを装った 偽メール・偽サイトでユーザーを騙し、パスワードやクレジットカード情報を 詐取するサイバー攻撃です。技術的な脆弱性ではなく人間の心理を悪用するため、 どれだけセキュリティ対策を施したシステムでも防ぎきれない脅威です。

目次
1. フィッシングの概要2. フィッシングの種類3. 攻撃の仕組み4. 実際のフィッシングメール例5. 被害事例6. フィッシングの見分け方7. 対策・予防方法

1. フィッシングの概要

フィッシングという名称は「fishing(釣り)」と「phreaking(電話ハッキング)」を組み合わせた造語です。 餌(偽メール・偽サイト)で魚(ユーザー)を釣るという比喩から来ています。 IPAの調査では、日本のフィッシング報告件数は年々増加しており、2023年には月10万件を超えています。

認証情報の詐取
銀行・Amazon・LINE・Yahoo!などを装い、IDとパスワードを入力させる
クレジットカード詐取
決済サービスや通販サイトを装い、カード番号・有効期限・CVVを入力させる
マルウェア配布
添付ファイルや偽のダウンロードリンクからマルウェアに感染させる
ビジネスメール詐欺(BEC)
企業の経営幹部を装い、従業員に不正送金や情報提供をさせる

2. フィッシングの種類

メールフィッシング危険度:
最も一般的な手法。大量の偽メールを送信し、少数の被害者を狙う。Amazon・楽天・銀行・宅配業者などの名前を騙ることが多い。
スピアフィッシング危険度: 最高
特定の個人・組織を標的にした精密なフィッシング。標的の氏名・役職・業務内容を調査した上で個人化されたメールを送る。成功率が高く企業へのAPT攻撃に使われる。
スミッシング(SMS)危険度:
SMSを使ったフィッシング。宅配業者・銀行・政府機関を装ったSMSに偽サイトのURLを含める。日本でも宅配業者を装ったスミッシングが急増している。
ボイスフィッシング(ビッシング)危険度:
電話を使ったフィッシング。銀行・クレジットカード会社・警察を装って電話し、口座情報や暗証番号を聞き出す。
ビジネスメール詐欺(BEC)危険度: 最高
CEO・CFOなどの経営幹部や取引先を装い、従業員に不正送金を指示する。被害額が非常に大きく、世界で年間数兆円の被害が発生している。
クローンフィッシング危険度:
実在する正規のメールをほぼそのままコピーし、リンクや添付ファイルのみ悪意あるものに置き換えて再送信する手法。

3. 攻撃の仕組み

STEP 1
偽サイトの作成
正規サービスのWebサイトをコピーして偽サイトを作成する。URLだけが異なる(amazon.co.jp → amaz0n.co.jp など)
STEP 2
フィッシングメールの送信
正規サービスを装ったメールを大量送信。「アカウントが停止されます」「不正アクセスを検知」などの緊急性を煽る文言を使う
STEP 3
偽サイトへの誘導
メール内のリンクをクリックさせ偽サイトに誘導する。URLを偽装したり短縮URLを使ったりして本物に見せかける
STEP 4
情報の入力
被害者が偽サイトでID・パスワード・クレジットカード情報などを入力する
STEP 5
情報の詐取・悪用
入力された情報が攻撃者のサーバーに送信される。正規サイトにリダイレクトして被害者が気づかないようにすることも多い

4. 実際のフィッシングメール例

⚠ フィッシングメールの典型例
送信者: Amazon.co.jp <noreply@amazon-security-alert.com>
件名: 【重要】アカウントの確認が必要です

本文:
Amazonカスタマーサービスです。
お客様のアカウントに不審なアクセスが検出されました。
アカウントを保護するため、24時間以内に以下のリンクから本人確認を行ってください。
確認が完了しない場合、アカウントを停止させていただきます。

▶ https://amazon-verify-account.xyz/login
このメールの怪しい点
送信元ドメインが amazon.co.jp ではなく amazon-security-alert.com
「24時間以内」という緊急性を煽る文言
リンク先のURLが amazon-verify-account.xyz(Amazonとは無関係のドメイン)
文法・表現が不自然(機械翻訳の場合が多い)

5. 被害事例

2016年米大統領選挙・ヒラリー陣営
スピアフィッシングメールによりジョン・ポデスタ選挙対策本部長のGmailアカウントが乗っ取られた。大量のメールが流出し選挙に影響を与えたとされる。
2019年〜日本の銀行・決済サービス利用者
三菱UFJ・みずほ・楽天・PayPayなどを装ったフィッシングが急増。年間数億円規模の被害が発生している。
2020年WHO・医療機関(COVID-19便乗)
コロナウイルスに便乗してWHOや医療機関を装ったフィッシングが世界中で急増。ワクチン情報・給付金などを餌にした詐欺が横行した。
2021年Colonial Pipeline(関連事例)
フィッシングにより盗まれたVPN認証情報が米国最大のパイプライン会社への侵入に使われ、東海岸の燃料供給が数日間停止した。

6. フィッシングの見分け方

送信元メールアドレスを確認
表示名ではなくメールアドレス本体を確認する。正規のドメインかどうか注意する(amazon.co.jp ✓ / amazon-jp.com ✗)
URLをクリック前に確認
リンクにマウスをホバーして実際のURLを確認する。短縮URLは展開して確認する。HTTPSでもフィッシングサイトは存在する
緊急性・脅迫的な文言に注意
「今すぐ」「24時間以内」「停止されます」などの緊急性を煽る表現はフィッシングの典型的な手口
個人情報の入力を求めるメールは疑う
正規の企業はメールでパスワードやカード番号の入力を求めない
公式アプリ・ブックマークを使う
メールのリンクからではなく、ブックマークや公式アプリから直接アクセスする習慣をつける

7. 対策・予防方法

最重要多要素認証(MFA)を有効化する。パスワードが盗まれても不正ログインを防げる
最重要パスワードマネージャーを使用する。正規サイトでしか自動入力されないためフィッシング対策になる
推奨フィッシング対策機能付きのブラウザ・セキュリティソフトを使用する
推奨メールのリンクは極力クリックせず、公式サイトに直接アクセスする
推奨FIDO2/WebAuthn(パスキー)を使用してパスワードレス認証に移行する
組織向けメール認証技術(SPF・DKIM・DMARC)を設定してなりすましメールを防ぐ
組織向け定期的なフィッシングシミュレーション訓練で従業員の意識を高める

まとめ

フィッシングは技術的な脆弱性ではなく人間の心理を悪用するため、 どんなに高度なセキュリティシステムも完全には防げません。 最も効果的な対策は多要素認証の有効化とパスワードマネージャーの使用です。 また「緊急性を煽るメールは疑う」という習慣を身につけることが最大の防御になります。

参考・関連リンク

IPA - フィッシング詐欺対策フィッシング対策協議会APWG - Anti-Phishing Working Group