フィッシングとは

[セキュリティ・キャンプ実施協議会，＠IT]

　フィッシング（phishing）とは、対象者に対してメッセージを送り、対象者から機微情報などを取得する攻撃である。フィッシングそのものは、不正アクセス禁止法に抵触する行為であり、フィッシングによって得た機微情報は詐欺行為などにも使われる。取得する情報の例としては、SNSや会員サービスのログイン情報（アカウント名とパスワード）、クレジットカードや銀行口座の情報が挙げられる。

　フィッシングで使われるメッセージは電子メール（SMSを含む）とSNSのメッセージング機能の2つが考えられる。この場合のフィッシングの大まかな手順は次の通りである。

1. 犯罪者Xは標的に対して「餌」に相当する文面（メール、SMS、SNSのメッセージなど）を送る
2. 文面にはリンクがあり、それをクリックすると、当該サービスにそっくりのログイン画面や、パスワードなどの入力を求める画面が開く
3. 開いた画面で情報を入力して送信すると、送信された情報がXの手元に届く

　フィッシングの具体例として、オンラインバンキングでは、「メールを受信されたお客さまをその金融機関とは全く関係のない虚偽のページにアクセスさせ、暗証番号などの重要な情報を入力させる」ケースがある（参考）。また、Twitterでは複数のアカウントの間でスパム活動が伝染した事例もある。

　フィッシング対策は、リンクを安易にクリックしないのはもちろんのこと、送信元を注意深く確認することが挙げられる。しかし、SNSなどでは、既にフィッシングに引っ掛かって乗っ取られたアカウントが、自分が信頼しているアカウントであるにもかかわらず、悪意のある文面を送りつけてきたということが起こる。この場合、送信元を見るだけでは防げない。

　乗っ取られたアカウントからの文面を無視できない場合は、対応する前に、当事者に電話や別のSNSなどの連絡手段で確認するなどの用心深い行動が必要である（このときメールに掲載された連絡先を信用してはならない）。

関連用語

■ソーシャルエンジニアリング

■更新履歴

【2004/1/1】初版公開。

【2018/2/26】最新情報に合わせて内容を書き直しました（セキュリティ・キャンプ実施協議会 著）。