セキュリティ
フィッシング詐欺とは? 手口や被害事例・対策について解説

インターネット上にはECサイトやネットバンクなどをはじめとする便利なWebサービスが多く、公私を問わず利用している方は多いでしょう。Webサービス上で決済や個人情報を入力することもありますが、その際に注意したいサイバー攻撃の一つが「フィッシング詐欺」です。
この記事では、フィッシングの概要から手口や被害に合わないためのポイント、具体的な対策や被害事例まで紹介します。
フィッシングとは?
フィッシングとは、正規のサービス事業者を騙って利用者の個人情報や決済情報などを盗み取るサイバー攻撃の一つです。このフィッシングを英語にすると「phishing」ですが、これは釣り(fishing)と洗練(sophisticated)から作られた造語といわれています。つまり、フィッシングとは利用者を騙して洗練された方法で釣り上げる(情報を盗み取る)という意味です。
Webサービスなどのログイン情報(アカウントID、パスワードなど)氏名、住所、年齢、銀行口座番号、クレジットカード番号などのさまざまな情報が盗まれる対象になります。
多くの人がインターネット上のサービスを利用するようになった近年では、誰もが被害者になり得ます。情報処理推進機構(IPA)が公開する「情報セキュリティ10大脅威 2023」では、個人部門の1位に「フィッシングによる個人情報等の詐取」が挙げられており、数あるサイバー攻撃のなかでも特に注意が必要です。
フィッシング詐欺の手口
フィッシングを用いた詐欺の主な手口では、Eメールが起点として用いられます。EメールやSMSで大手銀行や有名企業などを騙り、攻撃者が用意した偽のWebページに誘導することが一般的です。偽のWebページは一見すると公式サイトと見分けがつかないように精巧に作られており、利用者は公式サイトと勘違いしてアカウントID/パスワード、クレジットカード番号などを入力してしまいます。その結果、盗まれた情報を悪用されて金銭的被害を受けることも珍しくありません。
Eメール以外にもインターネットの掲示板などからフィッシング用のWebページに誘導することもあります。いずれの場合も正式な事業者と思わせ、危機感を煽るような文言で誘導します。
フィッシング詐欺に遭わないためのポイント
フィッシング詐欺に遭わないためには、まずはフィッシングについて理解しておくことが重要です。多くの場合、フィッシングの兆候が見られた際には公式サイトで情報が公開されています。日頃から利用するサービスなどでフィッシングが行われていないか、情報収集を行いましょう。
また、フィッシングサイトは公式サイトに似せてあるとはいえ、完全に同じものとは限りません。誘導するためのEメールの本文もどこか日本語に違和感があることが多いため、注意深く観察します。その他には、Webページのドメインを確認することも重要です。公式サイトと全く同じドメインを利用することはできないため、よく見ると違いが分かるでしょう。
また、誘導するためのEメールで短縮URLを記載しているケースや、記載されているURLとリンクのURLが異なる場合も考えられるため、このあたりも含めて観察することが重要です。
フィッシング詐欺への具体的な対策
フィッシング詐欺の対策は、大きく「人的対策」と「技術的対策」に分けられます。人的対策は人そのものへの対策、技術的対策はシステム的な対策です。人的対策の例としては、Eメールに記載されたURLを無闇にクリックしない、公式サイトにはブックマークからアクセスする、といった対策が挙げられます。前述のポイントも人的対策の一つといえるでしょう。
技術的対策としては、迷惑メールフィルターなどのサービスを導入する、フィッシングサイトを検知してブロックするソリューションを導入する、などが考えられます。人的対策と技術的対策は、相互に補完しあう存在であり、併せて実施することがおすすめです。
フィッシング詐欺の被害事例
最後に、フィッシング詐欺の被害事例を簡単に紹介します。
通販サイトを装ったフィッシング詐欺の被害事例
大手の通販サイトは多くの方が利用していることから、攻撃者も大手通販サイトを騙ることが多くなっています。この事例では「支払い方法に問題があるため情報を再入力してほしい」という旨のEメールを送信し、QRコードやメール本文のリンクからフィッシングサイトに誘導しています。
フィッシングサイトも本物そっくりに作られており、フィッシングサイトを見ただけでは偽物と気づかないほど精巧です。ID/パスワード・住所・カード番号などのあらゆる情報の入力を促されるため、これらの情報を入力するとすべて盗まれてしまいます。
金融機関やクレジットカード会社を装ったフィッシング詐欺の被害事例
金融機関やクレジットカード会社を騙る事例も多くなっています。この事例は「不正な取引が確認できたため口座・クレジットカードをロックしました」「プライバシーポリシーの変更に伴いお客様情報の更新をお願いします」などという文言でフィッシングサイトへと誘導するものでした。
金融機関やクレジットカード会社を騙る場合には、EメールだけでなくSMSも頻繁に利用されています。SMSを使ったフィッシングは「スミッシング」と呼ばれる手法です。SMSの場合は文字数制限があるため短縮URLが使われることが多く、スマートフォンなどではWebページのドメインを確認するにもひと手間必要です。そのため、前述の対策をすり抜けてしまう可能性があり、十分に気をつける必要があります。
フィッシングは正規のサービス事業者を騙り、利用者の個人情報や決済情報などを盗み取るサイバー攻撃の一種です。一般的にはEメールからフィッシングサイトへ誘導し、情報を入力させることで利用者の機密情報を盗み取ります。
インターネット上のサービスを利用することが当たり前となった現在では、フィッシングは特に注意が必要なサイバー攻撃です。対策する場合はフィッシングがどのようなものなのか、どうすれば対策できるのか、といったように、フィッシングに関する知識を身に付けることも重要になります。
日立ソリューションズ・クリエイトでは、フィッシング対策も含めたセキュリティ教育から、セキュリティのスペシャリストを育成するための「サイバーセキュリティトレーニング」を提供しています。ホワイトハットハッカーによる実践的なカリキュラムにより、個人・組織の両面からセキュリティの強化に利用いただけるサービスです。
参考:IPA「情報セキュリティ10大脅威 2023」