ざっくりと
- ユーザー騙して情報を盗む
- 偽のWebサイトで情報を誘導
- SNSアカウント乗っ取りで拡大
フィッシングとは、偽サイトで欺く手法です。
概要説明
フィッシングとはユーザーを騙して情報を盗むことである。なぜならば、偽のWebサイトに誘導し、個人情報やIDの入力を促すからだ。
例えば、本物そっくりの偽の銀行サイトである。そして、ユーザーが情報を入力するとそれを盗み取る。
つまり、自分のデータを守るためには正しい知識が必要である。だから、フィッシングについて知り、正しい対処を学ぶことが大切。
職業職種
- 情報セキュリティ担当者
情報セキュリティ担当者は、フィッシングの脅威を常に監視している。なぜなら、企業の情報を守るためだ。例えば、社員への啓発活動。 - ネットバンクの利用者
ネットバンクの利用者は、フィッシングに注意する必要がある。なぜなら、偽のサイトに騙されるリスクがあるからだ。例えば、メールのリンクを無意識にクリックすること。 - SNS利用者
SNS利用者は、アカウント乗っ取りのリスクがある。なぜなら、知らないリンクをクリックしてしまい、情報が漏れる可能性があるからだ。例えば、怪しいダイレクトメッセージ。
フィッシングは、英語の”phishing”から来ている。この言葉は「釣る」という意味の”fishing”と似ていて、情報を「釣り上げる」行為を表しています。
手順例
以下は、フィッシング攻撃を実行する手順です。- ターゲットの選択
攻撃者は、狙いを定める。なぜなら、成功率を上げるため。例えば、金融機関の顧客や大手企業の従業員。 - 偽のWebサイトの作成
攻撃者は、本物そっくりのサイトを作る。なぜなら、ユーザーを騙すため。例えば、銀行のログインページを模倣する。 - 欺瞞的なメールの送信
ユーザーに偽のサイトへ誘導するメールを送る。なぜなら、情報を入力させるため。例えば、「パスワードの更新が必要」という内容のメール。 - 情報の収集
ユーザーが偽のサイトで情報を入力すると、攻撃者はそれを収集する。なぜなら、その情報で不正アクセスするため。例えば、銀行口座の乗っ取り。 - 他のユーザーへの拡散
得られたアカウントを使って、さらに他のユーザーを狙う。なぜなら、被害を拡大するため。例えば、SNSアカウントを乗っ取って、友人にフィッシングメールを送る。
フィッシングを実行してはいけません。
類似語
- スピアフィッシング
スピアフィッシングは、特定の個人や組織を狙ったフィッシングである。なぜなら、具体的なターゲットを狙うから。例えば、大手企業のCEOを狙う攻撃。 - ワーリング
ワーリングは、組織の上層部を狙ったフィッシングである。なぜなら、大きな金額や重要な情報を狙うため。例えば、企業のCFOに偽の請求書を送る。 - スモッシング
スモッシングは、SMSを使ったフィッシングである。なぜなら、携帯電話のSMS機能を利用して攻撃するから。例えば、偽の銀行からのセキュリティ確認のメッセージ。
反対語
- セキュアブラウジング
セキュアブラウジングは、安全なWeb閲覧の実践である。なぜなら、ユーザーをフィッシングや他の脅威から守るため。例えば、HTTPSのウェブサイトを優先して利用する。 - 認証
認証は、ユーザーの正当性を確認するプロセスである。なぜなら、不正なアクセスや情報の漏洩を防ぐため。例えば、二要素認証の導入。 - データ保護
データ保護は、個人情報や重要データを守る行為である。なぜなら、不正アクセスやデータ漏洩のリスクを減少させるため。例えば、暗号化技術の利用。
会話例
- IT部門のミーティング
「最近フィッシングの被害が増えてるって聞くけど、どんな対策をしてる?」
「うちの会社では二要素認証を導入して、不正なログインを防いでいるよ。」 - 社員研修のセッション
「偽のメールが来た場合、どうすればいいの?」
「絶対にリンクをクリックしないで、すぐにIT部門に報告してほしい。」 - 社内のカフェテリア
「フィッシングって、どうやって見分けるの?」
「怪しいURLや、おかしな文言が含まれているメールは疑ってみること。」
注意点
フィッシングを行う時の注意点は法的なリスクである。なぜならば違法行為だからだ。例えば、逮捕されるリスクがある。そして、長期の刑罰を受ける可能性がある。だから絶対に行ってはいけない。
フィッシングとスピアフィッシングは、間違えやすいので注意しましょう。
フィッシングは、一般的なユーザーを狙った攻撃です。
一方、スピアフィッシングは、特定の個人や組織を狙った攻撃です。
コメント