フィッシング(phishing)は、銀行・通販・SNS・社内システムなど正規サービスの見た目を模したメールやWebサイトで利用者を欺き、ID・パスワード・クレジットカード番号・ワンタイムコードといった認証情報を入力させて盗み取るオンライン詐欺の総称です。1996年にAOL(America Online)の利用者を狙った「fishing」スラングがハッカー集団warez界隈で用いられ、「p」を冠した phishing が定着しました。個人を狙う一般型から、特定組織を狙うスピアフィッシング、経営層を装うビジネスメール詐欺(BEC)まで、形を変えながら現在も最大級の被害を生み続けるソーシャルエンジニアリングの王道手口です。
この記事の目次
- 餌・偽サイト・回収の三段構え
- AOLからBECまで30年の進化
- 多要素認証と利用者教育の合わせ技
- 標的型・BEC・スミッシングの違い
- まとめ
餌・偽サイト・回収の三段構え
フィッシングは「餌」「偽サイト」「回収」の3段構えで動きます。餌の典型は、銀行・宅配・税務署・SNSなどから届いたように見えるメールやSMSで、「アカウントが停止されました」「不審なログインがありました」「再配達のお願い」「税の還付」など、受信者を不安にさせるか得をすると思わせる文面で誘導します。本文中のリンクから移動した先には、本物そっくりに作られた偽ログインページが用意されています。
偽サイトは正規ドメインに似た紛らわしいURLを使い、配色・ロゴ・フォーム位置まで本物を忠実に再現するのが基本です。近年はSSL証明書も自動取得できるため鍵マークが付くケースも多く、見た目だけでの判別はほぼ不可能になっています。入力された認証情報は攻撃者のサーバへ送信され、即座に正規サービスへ自動ログインされて、送金・通販決済・SNS乗っ取りなどに使われます。プロキシ型フィッシングではワンタイムコードまでリアルタイム中継して多要素認証も突破され、被害が拡大します。
AOLからBECまで30年の進化
フィッシングという言葉が最初に確認されたのは1996年のAOL Warez界隈とされ、ハッカーがチャットで「fishing for passwords」と表現していたものに、古いハッカー文化のphreaking(電話システムへの不正侵入)に通じる綴り改変を施し「phishing」と表記したのが起源とされています。2000年代に入るとオンラインバンキングの普及とともに金融機関を装う大規模フィッシングが急増し、2003年のeBay事件、2004年の米銀大手事件など連日のように報じられる脅威に成長しました。
2010年代以降は、特定組織の役員や経理担当を狙う「スピアフィッシング」と、経営者になりすまして偽の送金指示を送る「ビジネスメール詐欺(BEC)」が深刻化しました。FBIのIC3レポートによれば、BEC関連の被害は毎年数十億ドル規模に達し、ランサムウェアと並んで企業に最大の損害を与えるサイバー犯罪カテゴリとされています。SMSを使うスミッシング、音声通話を使うビッシング、QRコードを使うクイッシングなど媒体を変えた派生も継続的に登場しており、現在もなお進化を続けている手口です。
多要素認証と利用者教育の合わせ技
フィッシング対策の決め手は「人間の注意力に頼り切らない」設計です。FIDO2やパスキーのような公開鍵ベースの認証は、暗号鍵がドメインに紐づいて検証されるため、本人がうっかり偽サイトに認証情報を渡しても署名が成立せず無効化されます。「耐フィッシング多要素認証」とも呼ばれるこの仕組みは、SMS OTPやアプリOTPを上回る最強の対策で、業務システムの管理者・経理・法務など高リスク役割から順に必須化していくことが推奨されます。
メール側の防御としては、送信ドメイン認証SPF・DKIM・DMARCを正しく設定し、なりすましメールが受信ボックスに届くこと自体を減らします。DNSフィルタリングやセキュアWebゲートウェイで既知フィッシングドメインを遮断、従業員向けの模擬フィッシング訓練で「踏みやすさの傾向」を把握する施策も効果的です。そして最も重要なのが「不審なメールを踏んでも本物が破綻しない設計」と「送金や権限変更は必ず別経路で口頭・電話確認する」業務ルールで、技術と運用の両面で防御を組み立てます。
標的型・BEC・スミッシングの違い
フィッシングは大別すると、不特定多数を狙う一般型と、特定組織や個人を狙うスピア型に分かれます。一般型は「銀行を装う」「宅配を装う」のような汎用脅し文句で大量送信され、低い的中率でも数で稼ぐスタイルです。対するスピア型は、SNSや公開情報から事前に標的を調べ、上司や取引先の口調・業務内容に合わせて誘い込みます。BEC(ビジネスメール詐欺)はその究極形で、CEOや取引先財務担当者を装い、突発的な振込先変更や緊急の海外送金を指示する形で大金を奪取します。
媒体の違いに着目すると、SMSを使うスミッシング、音声通話を使うビッシング、QRコードを使うクイッシング、SNSのダイレクトメッセージで誘導するソーシャル型などがあります。いずれも「正規連絡を装って認証情報や金銭を奪う」という本質は同じで、対策の柱もFIDO2、強固な業務手順、組織横断的な訓練という共通解で対応できます。差分を意識しつつも、根っこの設計思想は一本化しておくと運用は揺らぎません。
まとめ
フィッシングは1996年のAOL Warez文化に始まり、現代のBECに至るまで進化を続ける息の長い脅威です。FIDO2やパスキーといった耐フィッシング多要素認証、メール送信ドメイン認証、そして「重要操作は別経路で確認」という業務ルールの三段重ねで、人間の注意力に依存しない防御を組み立てることが現代の解になります。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント