フィッシング（Phishing）

フィッシングとは、本物そっくりのメールやWebページを使って、利用者のID・パスワード・クレジットカード番号などをだまし取る手口のことです。魚釣り（fishing）に似ていることから、この名前がつけられました。えさに似せた“偽の情報”で利用者を誘い、個人情報を「釣り上げる」わけですね。

よくある事例としては、金融機関やECサイトを装ったメールです。「セキュリティ確認のため、パスワードを再設定してください」などと書かれていて、リンク先のページが本物そっくりな見た目をしていることが多いです。ですが、そのURLをよく見ると、微妙に違う綴りだったり、不自然なドメインだったりします。

攻撃者の目的は、情報を盗み出し、それを悪用することです。例えば、不正にログインして買い物をしたり、登録されていたクレジットカードを使ったり。最近では、SNSのアカウントを乗っ取り、そこからさらにフィッシング攻撃を広げる例も見られます。

対策としては、「メールやSMSのリンクはむやみにクリックしない」が基本です。疑わしい場合は、正規のWebサイトに自分でアクセスし直しましょう。また、公式アプリの通知や、二段階認証などのしくみを活用すると安心です。

企業側にとっても、フィッシング対策は重要です。自社を装った偽ページが出回ると、ユーザーの信頼を失うだけでなく、問い合わせ対応などの業務負担も増えてしまいます。そのため、注意喚起の情報発信や、SPFやDKIM、DMARCといったメール認証技術の導入が求められます。

フィッシングは、誰もがだまされる可能性のある攻撃です。だからこそ「知っているかどうか」が分かれ道になります。日々の生活や業務の中で、ちょっとした違和感に気付ける目を養っていきたいですね。