セキュリティ
フィッシング詐欺とは? 手口や被害事例・対策について解説
インターネット上にはECサイトやネットバンクなどをはじめとする便利なWebサービスが多く、公私を問わず利用している方は多いでしょう。Webサービス上で決済や個人情報を入力することもありますが、その際に注意したいサイバー攻撃の一つが「フィッシング詐欺」です。
この記事では、フィッシングの概要から手口や被害に遭わないためのポイント、具体的な対策、被害事例、被害に遭った場合の対処法まで紹介します。
- フィッシング詐欺とは?
- フィッシング詐欺の手口
- フィッシング詐欺に遭わないためのポイント
- フィッシング詐欺への具体的な対策
- フィッシング詐欺の被害事例
- フィッシング詐欺に遭った場合の対処法
- フィッシング詐欺について理解し、適切な対策をしましょう
フィッシング詐欺とは?
フィッシングとは、正規のサービス事業者を騙って利用者の個人情報や決済情報などを盗み取るサイバー攻撃の一つです。このフィッシングを英語にすると「phishing」ですが、これはfishing(釣り)と phreaking(電話ハック)から作られた造語といわれています。つまり、フィッシングとは利用者を騙して洗練された方法で釣り上げる(情報を盗み取る)という意味です。
Webサービスなどのログイン情報(アカウントID、パスワードなど)、氏名、住所、年齢、銀行口座番号、クレジットカード番号などのさまざまな情報が盗まれる対象になります。
多くの人がインターネット上のサービスを利用するようになった現在では、誰もが被害者になり得ます。情報処理推進機構(IPA)が公開する「情報セキュリティ10大脅威 2025」でも、情報セキュリティ10大脅威の中にランクインしています。そんなフィッシング詐欺は多様化が進み、さまざまな手法が登場しています。手法の一種であるファーミングやホエーリング攻撃については、こちらの記事で詳しく解説しているため、併せてご覧ください。
ファーミング(Pharming)とは? フィッシングとの違いや対策など
ホエーリング攻撃とは? フィッシングとの違いや対策など
フィッシング詐欺の手口
フィッシングを用いた詐欺の主な手口では、メールが起点として用いられます。メールやSMSで大手銀行や有名企業などを騙り、攻撃者が用意した偽のWebページに誘導することが一般的です。偽のWebページは一見すると公式サイトと見分けがつかないように精巧に作られており、利用者は公式サイトと勘違いしてアカウントID/パスワード、クレジットカード番号などを入力してしまいます。その結果、盗まれた情報を悪用されて金銭的被害を受けることも珍しくありません。
メール以外にもインターネットの掲示板などからフィッシング用のWebページに誘導することもあります。いずれの場合も正式な事業者と思わせ、危機感を煽るような文言で誘導します。
SMSを利用した手口(スミッシング)
スミッシングとは、SMS(ショートメッセージサービス)を利用して宅配業者や金融機関、ECサイトなどの実在する企業を装ったメッセージを送信するフィッシング詐欺の手口です。メッセージ内のURLをクリックさせて偽のWebサイトに誘導し、ID・パスワード・口座情報・クレジットカード情報などの個人情報を入力させて盗み取ります。SMSはメールよりも開封率が高く、正規のメッセージと見分けづらいため被害が拡大しやすい特徴があります。
電話を利用した手口(ビッシング)
ビッシングは「ボイスフィッシング」の略称であり、電話や音声ガイダンスを利用したフィッシングの手口です。役所や銀行、企業などの信頼できる組織になりすまして電話をかけ、クレジットカード番号や銀行口座番号などの情報を電話で聞き出します。緊急性や信憑性を強調し、被害者の心理を巧みに利用してくるため注意が必要です。また、SMSやメールで「至急連絡が必要」などと電話をかけるよう促す「リバース・ビッシング」の手口も存在します。
SEOを利用した手口(SEOポイズニング)
SEOポイズニングは、検索エンジンの検索結果上位に悪意のあるサイトを表示させ、ユーザーをフィッシングサイトやマルウェア配布サイトに誘導する手口です。攻撃者は特定のキーワードで上位表示されるようにSEO対策を行い、ユーザーが正規サイトと誤認してアクセスしやすくします。検索エンジンのアルゴリズムやユーザーの信頼を悪用した手法であり、偽サイトを通じて個人情報の入力やマルウェアのダウンロードを促します。
フィッシング詐欺に遭わないためのポイント
フィッシング詐欺に遭わないためには、まずはフィッシングについて理解しておくことが重要です。多くの場合、フィッシングの兆候が見られた際には公式サイトで情報が公開されています。日頃から利用するサービスなどでフィッシングが行われていないか、情報収集を行いましょう。
また、フィッシングサイトは公式サイトに酷似しているケースがあります。誘導するためのメール本文も以前は不自然な文章が多く、比較的容易に見分けることができましたが、現在は自然な文章のフィッシングも増えているのでドメインの確認が重要です。公式サイトと全く同じドメインを利用することはできないため、よく見ると違いが分かるでしょう。
また、誘導するためのメールで短縮URLを記載しているケースや、記載されているURLとリンクのURLが異なる場合も考えられるため、このあたりも含めて確認することが重要です。
フィッシング詐欺への具体的な対策
フィッシング詐欺の対策は、大きく「人的対策」と「技術的対策」に分けられます。人的対策は人そのものへの対策、技術的対策はシステム的な対策です。
人的対策の例
人的対策の例としては、次のような対策が挙げられます。
- 不審なメールやSMSのリンク、添付ファイルを不用意にクリックしない
- 公式サイトにはブックマークや公式アプリからアクセスする
- メッセージの文体や緊急性を強調する内容に注意する
- 定期的なセキュリティ教育や最新の詐欺手口の情報共有を行う
- 個人情報や認証情報は安易に入力しない
- 模擬フィッシング訓練を実施し、実践的な判断力を養う
人的対策では、各従業員がフィッシング詐欺のリスクや手口を理解し「怪しい」と感じる感度を高めることが重要です。加えて、定期的なセキュリティ教育や最新事例の共有、模擬訓練を通じて、従業員全体のリテラシー向上を図ることが被害防止につながります。また、前述のポイントも人的対策の一つといえるでしょう。
技術的対策の例
技術的対策としては、次のような対策が考えられます。
- 迷惑メールフィルタやURLフィルタリング機能の活用
- メール送信ドメイン認証(SPF/DKIM/DMARC)の実装
- セキュリティソフトやアンチウイルス、EDR(Endpoint Detection and Response)の導入
- 多要素認証(MFA)の導入
- ログ監視やインシデント対応体制の整備
- 脆弱性診断やシステム監視の実施
技術的対策は、システム面からフィッシング詐欺のリスクを低減するために不可欠です。この対策は「事前防御」と「事後防御」に分けて考えるとよいでしょう。例えば、メールフィルタリングやドメイン認証は、従業員のもとにフィッシングメールが届くことを防ぐ事前防御です。また、仮に従業員が誤ってフィッシングサイトにアクセスしてしまった、認証情報を入力してしまった、という場合でも、セキュリティソフトによるマルウェア侵入の防止や、多要素認証による不正アクセスの防止が実現できます。
人的対策と技術的対策は、相互に補完しあう存在であり、併せて実施することがおすすめです。
フィッシング詐欺の被害事例
最後に、フィッシング詐欺の被害事例を簡単に紹介します。
通販サイトを装ったフィッシング詐欺の被害事例
大手の通販サイトは多くの方が利用していることから、攻撃者も大手通販サイトを騙ることが多くなっています。この事例では「支払い方法に問題があるため情報を再入力してほしい」という旨のメールを送信し、QRコードやメール本文のリンクからフィッシングサイトに誘導しています。
フィッシングサイトも本物そっくりに作られており、フィッシングサイトを見ただけでは偽物と気づかないほど精巧です。ID/パスワード・住所・カード番号などのあらゆる情報の入力を促されるため、これらの情報を入力するとすべて盗まれてしまいます。
金融機関やクレジットカード会社を装ったフィッシング詐欺の被害事例
金融機関やクレジットカード会社を騙る事例も多くなっています。この事例は「不正な取引が確認できたため口座・クレジットカードをロックしました」「プライバシーポリシーの変更に伴いお客さま情報の更新をお願いします」などという文言でフィッシングサイトへと誘導するものでした。
金融機関やクレジットカード会社を騙る場合には、メールだけでなくSMSも頻繁に利用されています。前述したSMSを使ったフィッシングである「スミッシング」では、文字数制限があるSMSの特徴を悪用して短縮URLが使われることが多く、スマートフォンなどではWebページのドメインを確認するにもひと手間必要です。そのため、前述の対策をすり抜けてしまう可能性があり、十分に気をつける必要があります。
フィッシング詐欺に遭った場合の対処法
フィッシング詐欺に遭ってしまったら、まずは影響範囲を確認することが重要です。アカウント情報が盗み取られてしまった際は、アカウントのパスワードを変更し、同じパスワードを使い回している場合は、他のサービスも含めて速やかに変更しましょう。併せて、多要素認証が設定できるのであれば有効化することもおすすめです。
また、クレジットカード番号や口座情報などが盗み取られてしまった場合は、速やかにクレジットカード会社や金融機関に連絡します。クレジットカードや口座の利用停止と併せて、不正利用の報告を行いましょう。このとき、被害状況を警察やフィッシング対策協議会などの相談窓口に報告・相談することも検討します。
会社でフィッシング詐欺に遭った場合は、即座に利用しているパソコンをネットワークから遮断した上で上司やIT部門に相談します。今後の被害防止や原因究明のためにも、被害の経緯や内容をできるだけ詳細に記録しておくことも重要です。
フィッシング詐欺について理解し、適切な対策をしましょう
フィッシングは正規のサービス事業者を騙り、利用者の個人情報や決済情報などを盗み取るサイバー攻撃の一種です。一般的にはメールからフィッシングサイトへ誘導し、情報を入力させることで利用者の機密情報を盗み取ります。近年ではフィッシング詐欺の手口も多様化しており、スミッシングやビッシング、SEOポイズニングなどにも注意が必要です。
インターネット上のサービスを利用することが当たり前となった現在では、フィッシングは特に注意が必要なサイバー攻撃です。対策する場合はフィッシングがどのようなものなのか、どうすれば対策できるのか、といったように、フィッシングに関する知識を身に付けることも重要になります。
もしも被害に遭ってしまったら、落ち着いて速やかにこの記事で解説したとおりに対応しましょう。
日立ソリューションズ・クリエイトでは、フィッシング対策も含めたセキュリティ教育から、セキュリティのスペシャリストを育成するための「サイバーセキュリティトレーニング」を提供しています。ホワイトハットハッカーによる実践的なカリキュラムにより、個人・組織の両面からセキュリティの強化に利用いただけるサービスです。
参考:IPA「情報セキュリティ10大脅威 2023」