2024年に国内で報告されたフィッシング件数は171万件超(フィッシング対策協議会)。前年の約1.4倍に膨れ上がり、日本は「世界最大級の標的」とまで呼ばれています。あなたのスマホに届く「お荷物のお届けにあがりましたが不在でした」というSMS、あれもフィッシングの一種です。IPA試験でも毎年顔を出すこの定番攻撃を、仕組みから見抜き方まで一気に整理します。
対象試験と出題頻度
フィッシングは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者の全区分で出題されるセキュリティ用語です。
他のサイバー攻撃の手口と並べて「どの説明がフィッシングか」を選ばせる比較問題が定番で、ファーミング・スミッシング・ビジネスメール詐欺といった近縁の用語と正確に区別できるかが合否を分けます。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
セキュリティの学習を始めると、「フィッシングって、要するに偽サイトに引っかかること?それとも偽メールのこと?」と境界があいまいになりがちです。
フィッシング(Phishing)とは、一言で言うと
「実在する企業を装ったメールなどで偽サイトに誘導し、IDやパスワードなどの情報をだまし取る詐欺」
のことです。
イメージとしては、「銀行員になりすました人物から届いた手紙」です。便箋も封筒も本物そっくりで、「口座確認のため暗証番号を返送してください」と書かれている。指示どおり書いて投函すれば、中身は詐欺師の手に渡ります。
本物に見える「入れ物」で油断させ、利用者自身の手で情報を差し出させる。これがフィッシングの本質です。
📊 フィッシングの基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Phishing(fishing=釣り の捩り) |
| 分類 | ソーシャルエンジニアリングを利用した詐欺 |
| 狙われる情報 | ID・パスワード、クレジットカード番号、口座情報など |
| 主な侵入経路 | メール、SMS、SNSのメッセージ、偽の広告 |
解説
システムの脆弱性を突くタイプの攻撃と違い、フィッシングが狙うのは「人の心」です。
サーバの穴をふさいでも、利用者が自分で偽サイトにパスワードを入力してしまえば突破される。だからこそ技術対策だけでは防ぎきれず、長年廃れずに残り続けています。
攻撃の流れ(4ステップ)
典型的なフィッシングは、次の4ステップで進みます。
攻撃者がどこで「本物らしさ」を演出するかに注目してください。
誘い
「アカウントが凍結されました」など不安をあおる文面で、本物そっくりのメールを大量にばらまく。
誘導
本物と見分けのつかない偽サイトへ誘導。鍵マーク(TLS)付きの偽サイトも増えている。
入力
ログイン画面に見えるフォームへ、被害者自身がIDやパスワードを入力してしまう。
悪用
本物のサイトにログインし、不正送金・なりすまし・カード悪用などの実害につなげる。
▲ 攻撃の主役はあくまで「人」。被害者自身に入力させる点が他の攻撃と決定的に違う
なぜ成功してしまうのか
フィッシングが成立する理由は、技術ではなく心理にあります。
「アカウント停止」「不正利用の検知」といった文面で時間的・精神的に追い込み、冷静な確認をさせないまま行動させる。受信者が慌てて判断するほど成功率が上がる構造です。
送信元の表示名やドメインも巧妙に偽装されるため、見た目だけでは真偽を判断できません。
混同しやすい近縁の手口
試験では「フィッシングと何が違うか」を問う比較が頻出です。
誘導の手段や経路で整理すると一気に見分けやすくなります。
| 手口 | 経路・特徴 | 見分けキーワード |
|---|---|---|
| フィッシング | 偽メールで偽サイトへ誘導し情報を入力させる | なりすましメール、偽サイト |
| スミッシング | SMS(ショートメッセージ)を使ったフィッシング | SMS、宅配不在通知 |
| ファーミング | DNS等を改ざんし、正しいURLを入力しても偽サイトへ誘導 | DNS書き換え、URLは正しい |
| ビジネスメール詐欺(BEC) | 取引先や役員になりすまし、送金を指示する | 経理担当、振込先変更 |
とくに重要なのが、URL欄に正しいアドレスが表示されているのに偽サイトへ飛ばされるファーミングとの違いです。
フィッシングは「偽のURLに気づけば防げる」のに対し、ファーミングは見た目で見抜けない点で一段やっかいです。
代表的な対策
対策は「だまされても被害を最小化する」発想が軸です。
代表的なものを挙げます。
| 対策 | 効果 |
|---|---|
| 多要素認証(MFA) | パスワードを盗まれても、追加認証でログインを阻止できる |
| 送信ドメイン認証 (SPF / DKIM / DMARC) |
なりすましメールを受信側で検知・拒否する技術的対策 |
| URLを直接確認 | メールのリンクではなく、ブックマークや公式アプリからアクセスする |
| 利用者教育 | 「慌てさせる文面ほど疑う」という習慣づけ |
💡 覚えるのはここだけ|フィッシング3行整理
・正規企業になりすました偽メールで偽サイトへ誘導し、利用者自身に情報を入力させる詐欺
・URLが正しいのに偽サイトへ飛ばすファーミング、SMSを使うスミッシングと区別する
・多要素認証とSPF/DKIM/DMARCが代表的な対策
仕組みと近縁用語の違いを押さえたら、いよいよ過去問での出され方を確認していきます。
試験ではこう出る!
全区分で「攻撃手法の説明文を選ばせる」形式が中心です。出題実績を見ておきましょう。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP H23秋 午前 問39 |
フィッシングによる被害はどれかを選ぶ問題。 | ・正解は「メールのURLにアクセスし個人情報を詐取された」 ・アドウェア・DDoS・ウイルス被害がひっかけ |
| FE H18秋 問66 |
フィッシングの手口の説明を選ぶ問題。 | ・XSSやウイルスの説明が選択肢に混在 ・「偽サイトへ誘導して入力させる」が決め手 |
| IP H28春 問63 |
フィッシングに該当する事例を選ぶ問題。 | ・有名企業を装ったメールで情報を詐取するのが特徴 ・他の攻撃の事例が並ぶ |
| IP R6春 問66 |
フィッシングの説明として適切なものを選ぶ問題。 | ・近年はスミッシング・SMS悪用の文脈も追加 ・経路違いの手口との識別が問われる |
📝 IPA試験での出題パターン
パターン1:「該当する事例・被害を選べ」
4つの被害事例が並び、フィッシングに当たるものを選ぶ形式。「有名企業を装ったメールのURLから偽サイトへ誘導し、入力させた情報を盗む」という流れが書かれた選択肢が正解。アドウェアやウイルス感染、DDoSの説明がひっかけとして混ざる。
パターン2:「似た手口と識別させる」
ファーミング(URLは正しいのに偽サイト=DNS改ざん)、スミッシング(SMS経由)との違いを突く形式。「正しいURLを入力したのに偽サイトに飛ぶ」と書かれていればファーミングであり、フィッシングではない点が最大のひっかけ。
【確認テスト】理解度チェック
Q. フィッシング(Phishing)の説明として、最も適切なものはどれでしょうか?
- A. 多数のコンピュータから標的のサーバへ一斉に大量のパケットを送りつけ、サービスを停止に追い込む。
- B. 実在する企業を装ったメールなどで偽のWebサイトに誘導し、利用者にIDやパスワードを入力させて情報を盗む。
- C. Webページの入力内容を表示する箇所に悪意のスクリプトを埋め込み、閲覧者のブラウザ上で実行させる。
正解と解説を見る
正解:B
解説:
フィッシングは、正規の企業になりすましたメールやSMSで偽サイトに誘導し、利用者自身にID・パスワードなどを入力させて詐取する詐欺です。「なりすまし」と「偽サイトへの誘導・入力」という2つの要素がそろっているBが正解です。
選択肢AはDDoS攻撃の説明です。大量のパケットでサーバを過負荷にして停止させる攻撃であり、情報を盗む詐欺ではありません。選択肢CはXSS(クロスサイトスクリプティング)の説明です。Webアプリの脆弱性を突いてスクリプトを埋め込む攻撃であり、利用者をだまして自ら情報を入力させるフィッシングとは性質が異なります。
よくある質問(FAQ)
Q. URLが「https://」で鍵マークが付いていれば安全ですか?
いいえ、安全とは言い切れません。鍵マーク(TLS/SSL)は「通信が暗号化されている」ことを示すだけで、「そのサイトが本物である」ことの保証ではありません。攻撃者も無料証明書を取得できるため、鍵マーク付きの偽サイトは多数存在します。ドメイン名そのものが正規かどうかを確認することが重要です。
Q. 特定の人物や組織だけを狙うフィッシングに名前はありますか?
あります。特定の個人・団体を標的に、相手の業務や人間関係に合わせて文面を作り込むものをスピアフィッシング(spear phishing)と呼びます。「槍(spear)で一匹を狙う」イメージです。さらに経営層など重要人物を狙うものはホエーリング(whaling)と呼ばれます。不特定多数にばらまく通常のフィッシングより成功率が高く、標的型攻撃の入口としても使われます。
Q. もしフィッシングで情報を入力してしまったら、まず何をすべきですか?
最優先は、入力したパスワードを直ちに変更し、同じパスワードを使い回している他サービスもすべて変更することです。クレジットカード情報を入力した場合は、メールのリンクではなく公式の窓口へ電話し、カードの利用停止を依頼します。情報処理推進機構(IPA)やフィッシング対策協議会への報告窓口も用意されているので、状況の記録を残しておくと対応がスムーズになります。
Q. 企業として技術的にフィッシングを防ぐなら何が最優先ですか?
自社ドメインのなりすまし防止と、従業員アカウントの保護を同時に進めるのが定石です。前者は送信ドメイン認証のDMARCを「reject(拒否)」ポリシーまで運用すること、後者は全社的な多要素認証の義務化が効きます。前者は「自社を装った偽メールを他者に届かせない」対策、後者は「万一パスワードが盗まれてもログインさせない」対策で、役割が異なるため両輪で実装します。
この用語の前後関係
前提知識:ソーシャルエンジニアリング / なりすまし
関連用語:スミッシング / ファーミング / ビジネスメール詐欺(BEC) / サイバー攻撃
対策・発展:多要素認証 / SPF・DKIM・DMARC / スピアフィッシング
