対象試験と出題頻度
詳細をクリックして確認
ITパスポート試験
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
★★★★★
ランクS(必須・超頻出)
用語の定義
フィッシングとは、一言で言うと「偽のメールやWebサイトで本物と誤認させ、IDやパスワード、クレジットカード情報などを騙し取る詐欺手法」のことです。
イメージとしては、「釣り(fishing)のように餌(偽メール)を撒いて、獲物(個人情報)を釣り上げる行為」と同じです。
「Phishing」という綴りは、「fishing(釣り)」と「sophisticated(洗練された)」を組み合わせた造語とされています。銀行やECサイト、SNSなど、誰もが使うサービスを装った偽メールで、巧みにユーザーを騙します。
解説
フィッシングは、サイバー攻撃の中で最も身近で、最も被害件数が多い手口の一つです。IPAが発表する「情報セキュリティ10大脅威」でも、個人向け脅威として常に上位にランクインしています。フィッシングの典型的な流れは以下の通りです。
- ステップ1:偽メールの送信 – 「アカウントが停止されます」「不正アクセスを検知しました」など、不安を煽る件名でメールを送る
- ステップ2:偽サイトへの誘導 – メール内のリンクをクリックさせ、本物そっくりの偽Webサイトに誘導する
- ステップ3:情報の入力 – 偽サイトでID、パスワード、クレジットカード番号などを入力させる
- ステップ4:情報の悪用 – 詐取した情報で不正ログイン、不正送金、なりすましなどを行う
フィッシングには様々な派生形があります。特定の個人や組織を狙う「スピアフィッシング」、SMSを利用する「スミッシング」、音声通話を利用する「ビッシング」、経営者を装って送金を指示する「ビジネスメール詐欺(BEC)」など、手口は年々巧妙化しています。
具体的な活用例・対策
フィッシングの被害を防ぐために、以下のような対策が有効です。
- URLの確認: リンクをクリックする前に、URLが正規のドメインか確認する(例:「amazon.co.jp」が「amaz0n.co.jp」になっていないか)
- 送信元アドレスの確認: 表示名だけでなく、実際のメールアドレスを確認し、正規のドメインか検証する
- 公式サイト・アプリから直接アクセス: メール内のリンクを使わず、ブックマークや公式アプリから直接ログインする
- 多要素認証(MFA)の設定: パスワードが漏れても、二段階認証で不正ログインを防ぐ
- セキュリティソフトの活用: フィッシングサイトを自動検知・ブロックする機能を利用する
- 不安を煽るメールに注意: 「今すぐ対応しないとアカウント停止」など、焦らせる文面は詐欺の典型パターン
試験ではこう出る!
ITパスポート・情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験のすべてで超頻出です。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- スピアフィッシング(特定の標的を狙うフィッシング)
- スミッシング(SMS + フィッシング)
- ビッシング(Voice + フィッシング、電話を使う)
- ビジネスメール詐欺(BEC:Business Email Compromise)
- ワンクリック詐欺
- 多要素認証(MFA)・二段階認証
試験問題で「偽のメールやWebサイトでIDやパスワードを詐取する」「金融機関を装ったメールで偽サイトに誘導する」といった記述があれば、それは「フィッシング」に関する記述です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. フィッシングに関する説明として、最も適切なものはどれでしょうか?
- A. ファイルを暗号化して使用不能にし、復旧と引き換えに身代金を要求する攻撃手法
- B. 大量のアクセスを集中させてサーバーをダウンさせ、サービスを停止に追い込む攻撃手法
- C. 偽のメールやWebサイトで本物と誤認させ、IDやパスワードなどを騙し取る詐欺手法
正解と解説を見る
正解:C
解説:
フィッシング(Phishing)とは、偽のメールやWebサイトを使って、銀行やECサイトなどの正規サービスを装い、ユーザーにID・パスワード・クレジットカード情報などを入力させて詐取する手法です。「釣り(fishing)」に例えられる詐欺行為です。
Aは「ランサムウェア」、Bは「DoS攻撃・DDoS攻撃」の説明です。フィッシングは「偽サイトに誘導して情報を騙し取る」点が特徴であり、他の攻撃手法と区別して覚えておきましょう。
