情報セキュリティマネジメント試験 科目A 重要キーワード解説
フィッシング(phishing)とは、銀行・通販サイト・配送業者などの正規の組織を装ったメールやSMSで偽サイトへ誘導し、ID・パスワード・クレジットカード番号などを入力させて盗み取る詐欺の手口です。利用者の心理を突いて自ら情報を入力させる点が特徴です。
「fishing(釣り)」と「sophisticated(洗練)」を掛けた造語とされ、本物そっくりの偽サイトで利用者を"釣り上げる"イメージです。IPAの「情報セキュリティ10大脅威」でも、個人向け脅威の上位常連となっています。
| 種類 | 内容 |
|---|---|
| フィッシングメール | 正規組織を装ったメールで偽サイトへ誘導する基本型。 |
| スミッシング(SMSフィッシング) | SMSで「荷物の不在通知」などを装い偽サイトへ誘導する。 |
| スピアフィッシング | 特定の個人・組織を狙い撃ちにする標的型のフィッシング。 |
| ビッシング(音声フィッシング) | 電話で公的機関などを装い情報を聞き出す。 |
「アカウントがロックされました」「不正利用を確認しました」など緊急性・不安をあおる文面で、冷静な判断をさせずにリンクをクリックさせる手口が典型です。
「お荷物のお届けにあがりましたが不在でした」というSMSから偽サイトに誘導し、IDやキャリア決済情報を盗む、あるいは不正アプリを入れさせる被害が多発しています。日常的な内容を装うため引っかかりやすいのが特徴です。
銀行やクレジットカード会社、大手ECを装ったフィッシングで認証情報が盗まれ、不正送金・不正利用される被害が続いています。多要素認証を設定していたユーザーは被害を免れたケースが多く報告されています。