フィッシング詐欺とは？スミッシング・ビッシングとの違いと見分け方

フィッシングとは何か

フィッシング（Phishing）とは、銀行・通販サイト・SNSなどの正規サービスを装った偽メールや偽Webサイトでユーザーを騙し、ID・パスワード・クレジットカード番号などの個人情報を不正に取得する攻撃手法です。

「フィッシング」という名称は「fishing（釣り）」のスペルをもじったものとされています。ユーザーを「釣る」イメージです。

フィッシングの手口

1. 「セキュリティ確認が必要です」「アカウントが停止されます」などの緊急性を演出したメールを送る
2. 本物そっくりの偽サイトのリンクをメールに記載する
3. ユーザーが偽サイトにIDとパスワードを入力してしまう
4. 攻撃者が取得した認証情報で不正ログインする

関連する攻撃手法

スミッシング（SMSフィッシング）

SMSを使ったフィッシング詐欺です。「荷物を再配達します」「宅配ボックスに入れました」などのSMSで偽サイトに誘導します。スマートフォンユーザーを狙った手口として増加しています。

ビッシング（音声フィッシング）

電話を使ったフィッシング詐欺です。「銀行の者ですが、カードが不正利用されています」などと電話をかけ、暗証番号やカード番号を聞き出します。

スピアフィッシング

特定の個人や組織を狙い撃ちにしたフィッシングです。ターゲットの名前・所属・業務内容を調べた上で、説得力の高い偽メールを送ります。企業の経理担当者に「社長からの緊急送金依頼」を送る「ビジネスメール詐欺（BEC）」もここに分類されます。

ファーミング

DNSを改ざんして、正規のURLを入力しても偽サイトに誘導する攻撃です。URLを確認しても気づきにくいため、フィッシングより高度な攻撃とされます。

見分け方と対策

フィッシングメールの特徴

• 差出人のメールアドレスが公式ドメインと微妙に異なる（例：amaz0n.co.jp）
• 「緊急」「至急」「アカウント停止」など焦りを誘う文言がある
• リンク先のURLが公式サイトと異なる（ホバーして確認できる）
• 日本語が不自然・誤字がある（翻訳ツール使用の痕跡）

対策

• URLを直接入力する：メールのリンクをクリックせず、ブックマークやURL直接入力でアクセスする
• 多要素認証（MFA）を設定する：パスワードが盗まれてもログインされにくくする
• フィッシング対策ソフトを使う：ブラウザの警告機能を有効にする

よくある間違いとひっかけ

フィッシングはメールだけでなく、SMS（スミッシング）、電話（ビッシング）、SNSメッセージなどさまざまなチャネルで行われます。

HTTPS（SSL証明書）はデータが暗号化されていることを示しますが、サイト自体が本物かどうかとは無関係です。フィッシングサイトでもHTTPSを使うことができます。

まとめ

• フィッシングは偽メール・偽サイトで個人情報を騙し取る攻撃
• SMS版はスミッシング、電話版はビッシング
• 特定ターゲットを狙うスピアフィッシングは被害が大きい
• URLを直接入力・多要素認証で対策する
• HTTPSでも偽サイトの可能性がある点に注意