フィッシング攻撃
掲載:2023年12月18日
用語集
実在する企業やサービスになりすまし、アカウントIDやパスワード、クレジットカード番号などを詐取する手法を「フィッシング攻撃」といいます。送信者を詐称したメールやSMSから偽サイトに誘導し、個人情報を入力させて盗んだり、マルウェアをダウンロードさせたりするのが典型的な手口です。
ログイン認証情報が盗まれると、アカウントを乗っ取られて企業データや金銭を奪われたり、登録された電話帳が使われるなどして自分がフィッシングSMSの発信源になってしまうこともあります。
フィッシング攻撃の主な手法
他のサイバー攻撃と同様、年々巧妙で多様になっていますが、代表的な手法は以下のとおりです。
- メールフィッシング:
- 不特定多数に向けた一般的な手法。日常よく使ったり、信頼できるサービスや組織、個人を詐称してメールを送りつける
- スピアフィッシング:
- 特定の個人や組織を狙い、事前に集めた情報を使って、より説得力のあるメッセージや体裁で仕掛ける
- ボイスフィッシング(ヴィッシング):
- 電話を使って、個人情報や企業情報をだまし取る
- スミッシング:
- スマートフォンのショートメール(SMS)を悪用する。銀行や宅配業者、ECサイトを騙ることが多い
フィッシング攻撃の被害を防ぐには
インターネットやデバイスの普及とともにフィッシング攻撃の被害も拡大し、重大な社会課題のひとつとなっています。自身や組織を守るためには、技術的な対策とともに教育や訓練など人的な対策も大切になっています。
- 〈フィッシング攻撃の具体的な対策〉
- ・リンクを安易に開かず、アプリやブックマークから公式サイトへ
- ・IDやパスワードは使いまわさない
- ・OSやアプリ、ソフトウェアを常に最新化
- ・マルチファクタ認証にする
- ・セキュリティ対策ソフトの導入
- ・スパムフィルタの利用
詐欺メールの作成に生成AIが使われるなど、その攻撃手法は常に進化しています。日ごろから警戒を怠らず、最新のサイバーセキュリティ動向にも注意を払うようにしましょう。
おすすめ記事
- フォームジャッキング攻撃
- クレジットカード・セキュリティガイドライン「4.0版」を公表 経産省
- クロスサイトスクリプティング
- 「WarpDrive」プロジェクトのスマホ版に「訓練プログラム」を追加、セキュリティの知識習得へ NICT
- 「サイバーセキュリティ関係法令Q&Aハンドブック」の「Ver2.0」を公表 NISC
- 1,000万円超を詐取されたビジネスメール詐欺(BEC)の事例を解説 IPA
- チェックリストを収録、2024年版「フィッシング対策ガイドライン」を公開 フィッシング対策協議会
- 「迷惑メール白書 2022-2024」を発行 迷惑メール対策推進協議会
- SPI Ⅲの改定案「スマートフォン プライバシー セキュリティ イニシアティブ」などについて意見公募を実施 総務省