🎣 ITパスポート | テクノロジ系
フィッシング
本物そっくりの偽メール・偽サイトで「釣り上げる」攻撃。パスワード・クレジットカード番号など個人情報を騙し取る。
🎬 こんなシーンを想像
!
スマホに「【重要】Amazon:ご利用のアカウントが不正使用された可能性があります。今すぐ確認してください」というメールが届いた。
URLをタップすると…Amazonとそっくりなログインページが!
IDとパスワードを入力すると、情報が盗まれた。
→ これがフィッシング。「本物に見える偽サイトで釣り上げる」攻撃。
🎣 フィッシングの攻撃フロー
攻撃者
①偽メール
【重要】アカウント
確認が必要です
http://amaozn.co...
②誘導
偽Amazonサイト
ID / パスワード
③入力
情報を盗取!
ID/PW/カード番号
④攻撃者の手に!
被害者
(利用者)
攻撃者が
本物そっくりの偽メール
を大量送信する(銀行・EC・宅配等を騙る)
メール内の
偽URLをクリック
させ、本物そっくりの偽サイトに誘導する
偽サイトで
ID・パスワード・カード番号
を入力させる
入力した情報が攻撃者のサーバに送られ
盗取
される
📱 フィッシングの仲間(手口の種類)
フィッシング(メール型)
偽メールから偽サイトに誘導。最も一般的な手口。
スミッシング(SMS型)
SMS(ショートメッセージ)を使って偽サイトに誘導する。宅配業者を騙ることが多い。
ビッシング(電話型)
電話(Voice)で銀行・役所を騙り、口頭でPINや個人情報を聞き出す。
ファーミング(DNS汚染)
本物のURLにアクセスしても偽サイトに飛ばす。URLを見ても気づけない高度な手口。
🛡️ フィッシング対策
URLを毎回確認する(本物と1字違いのドメインに注意)
メール内リンクは踏まず、ブックマーク・直接入力で公式サイトへ
多要素認証(MFA)を設定しておく(IDとPWを盗まれても不正ログインを防ぐ)
フィッシング対策ソフトウェア・フィルタを活用する
「緊急」「今すぐ確認」などの煽り文句を見たら立ち止まる
⚠️ ひっかけ注意ポイント
ファーミングとフィッシングの違い
フィッシングは「偽メールでURLを踏ませる」。ファーミングは「
正規URLにアクセスしても偽サイトに飛ばす
(DNS書き換え)」。URLを確認しても気づけない点が違う。
スパムメールとフィッシングは違う
スパムは「迷惑な一方的メール(広告・詐欺全般)」。フィッシングは「
特定の偽サイトに誘導して情報を盗む
」目的を持つ攻撃。スパムの中にフィッシングが含まれることもある。
HTTPSだから安全、ではない
偽サイトでもHTTPS証明書は取れる。「鍵マークがある=本物」は間違い。URLのドメイン名が本物かを確認することが重要。
標的型フィッシング(スピアフィッシング)
特定の個人・企業を狙って、名前や業務内容を使ったリアルな文面で騙す高度なフィッシング。大量送信型より見抜きにくい。
🧠 覚え方(無理やりゴロ)
フィッシングは
「魚釣り=人を釣り上げる」
fishing(釣り)→ phishing(釣り詐欺)← pは無音
「偽メール→偽サイト→情報入力→盗取」
の4ステップ!
ファーミングだけは「URLを踏まなくても飛ばされる」特殊パターン