インターネットを利用していると、突然届く一通のメールにドキッとしたことはありませんか。重要なお知らせやパスワードの確認といったタイトルで、私たちの不安を煽り、偽のサイトへと誘い込もうとする手口。それがフィッシングです。ITパスポート試験でも頻繁に出題されるこのテーマは、単なる用語の暗記ではなく、その仕組みと具体的な対策をセットで理解しておくことが合格への近道となります。今回は、非IT系の方でも直感的に理解できるよう、身近な例えを交えて徹底的に解説します。
フィッシングとは情報を釣り上げる詐欺である
フィッシングという言葉は、英語の Phishing に由来しています。これは魚釣りを意味する Fishing と、洗練されたという意味の Sophisticated、あるいは電話を使った詐欺を指す Phreaking を組み合わせた造語と言われています。餌を撒いて魚を釣り上げるように、偽のメールやメッセージで利用者を釣り上げ、大切な情報を奪い取ることからこの名がつきました。
具体的には、銀行やクレジットカード会社、SNS運営者、あるいは有名なショッピングサイトなどの実在する組織を装い、偽のWebサイトへと誘導します。そこでIDやパスワード、クレジットカード番号、銀行の暗証番号などを入力させ、それらを盗み出す行為を指します。最近では、メールだけでなくスマートフォンのSMS(ショートメッセージサービス)を利用したスミッシングと呼ばれる手法も増えており、手口は巧妙化の一途を辿っています。
ターゲットを騙す巧妙なシナリオ
フィッシングメールの多くは、私たちがつい反応してしまうような緊急性の高い内容を含んでいます。例えば、以下のような文面が代表的です。
アカウントの不正利用を確認しました
誰かが自分のアカウントを勝手に使ったかもしれないという通知です。本人確認のために、以下のリンクからログインしてくださいという指示が続きます。自分の個人情報が漏れているかもしれないという恐怖心を利用した典型的な手口です。
支払い情報の更新が必要です
クレジットカードの有効期限が切れている、あるいは決済に失敗したという内容です。このままではサービスが使えなくなると脅し、新しいカード情報を入力するよう促します。月額料金の支払いやネット通販を頻繁に利用する人ほど、反射的にクリックしてしまいがちです。
お荷物をお届けにあがりましたが不在でした
これは宅配便の再配達を装ったメッセージです。不在連絡票の代わりにメッセージを送ったように見せかけ、荷物の確認と称して偽サイトへ誘導します。近年、ネットショッピングの普及に伴い、非常に多く見られるようになった手口の一つです。
これらのシナリオに共通しているのは、私たちに考える余裕を与えず、すぐに行動させようとする点です。メール内のリンクをクリックさせることこそが、攻撃者の最初の目的であることを忘れてはいけません。
誘導される偽サイトの仕組み
メールの中にあるリンクをクリックすると、本物と見分けがつかないほど精巧に作られたWebサイトが表示されます。ロゴマークやデザイン、フォントまで徹底的に模倣されているため、一見しただけでは偽物だと気づくのは困難です。
この偽サイトには、あたかも本物のログイン画面のような入力フォームが用意されています。ここにIDとパスワードを入力して送信ボタンを押した瞬間、その情報は攻撃者のサーバーへと送られてしまいます。情報を入力した後は、そのまま本物の公式サイトへ転送されることも多いため、被害に遭ったこと自体にしばらく気づかないケースも少なくありません。これがフィッシングの恐ろしいところです。
ITパスポート試験で問われる対策のポイント
試験対策として、フィッシングを防ぐための技術的、あるいは運用的な対策を整理して覚えておきましょう。単に気をつけるだけではなく、具体的な手段を知っておくことが求められます。
メールのリンクからではなく公式アプリやブックマークを使う
最も確実な対策は、メール内に貼られたリンクを信頼しないことです。銀行やショッピングサイトを利用する際は、あらかじめ自分で登録しておいたブラウザのブックマークや、スマートフォンの公式アプリからアクセスする習慣をつけることが推奨されます。これにより、偽サイトへと誘導されるリスクをほぼゼロにできます。
二要素認証や多要素認証を導入する
IDとパスワードだけでなく、スマートフォンに届くワンタイムパスワードや指紋認証などを組み合わせる方法です。仮にフィッシングでIDとパスワードが盗まれてしまったとしても、もう一方の認証手段がなければ攻撃者はログインできません。セキュリティの壁を複数作ることで、決定的な被害を防ぐことができます。
サーバー証明書の情報を確認する
ブラウザのURL入力欄の横にある鍵マークをクリックすると、そのサイトが信頼できる発行元から認証されているかを確認できます。偽サイトの場合、証明書の情報が不自然であったり、そもそも暗号化通信がされていなかったりすることがあります。ただし、最近では偽サイト側も正規の証明書を取得している場合があるため、これだけで100パーセント見抜けるわけではないことに注意が必要です。
他の攻撃手法との違いを整理する
ITパスポート試験では、フィッシングと似た他の用語との違いを問われることがあります。ここでしっかりと区別しておきましょう。
ファーミング:アクセスした瞬間に偽サイトへ飛ばす
フィッシングがメールのリンクで誘い出すのに対し、ファーミングはコンピュータの設定(DNS情報など)を書き換えることで、正しいURLを入力しても自動的に偽サイトへ転送してしまう手口です。ユーザーが正しく公式サイトにアクセスしようとしても騙されるため、フィッシングよりも気づきにくいのが特徴です。
ソーシャルエンジニアリング:心理的な隙を突く
コンピュータを介さず、肩越しにパスワードを覗き見したり、電話で管理者になりすまして情報を聞き出したりする手法の総称です。フィッシングも人間の不安という心理を突くため、広義のソーシャルエンジニアリングに含まれることがあります。
過去問で実力をチェック
それでは、実際の試験でどのように出題されるか見てみましょう。令和4年度の問82を題材にします。
実在する組織を装った偽の電子メールを送信し、本物のWebサイトと見分けがつかないほど精巧に作られた偽のWebサイトに利用者を誘導して、暗証番号やクレジットカード番号などの個人情報を入力させて盗み出す行為はどれか。
ア. サイドチャネル攻撃
イ. フィッシング
ウ. フットプリント
エ. 辞書攻撃
解答と解説を確認しましょう。
問題文に「実在する組織を装った偽の電子メール」「精巧に作られた偽のWebサイトに誘導」「個人情報を盗み出す」というキーワードが並んでいます。これらはすべてフィッシングの特徴そのものです。したがって、正解はイとなります。
他の選択肢も簡単に確認しておくと、アのサイドチャネル攻撃はコンピュータの消費電力や電磁波などを分析して情報を盗むこと。ウのフットプリントは攻撃の事前準備として相手のサーバー情報を調べること。エの辞書攻撃はよく使われる単語やパスワードの候補を片っ端から試すことです。このように、各用語の中心となる概念をセットで覚えておけば、正解を導き出すのは難しくありません。
覚え方のまとめ
フィッシングを完璧にマスターするためのポイントをおさらいしましょう。
1. 魚釣りのように偽のメールやリンクで利用者を釣り上げる手口である
2. 実在の銀行やブランドを装い、本物そっくりの偽サイトへ誘導する
3. 目的は ID、パスワード、クレジットカード番号などの個人情報の詐取である
4. 対策の基本は、メールのリンクをクリックせずブックマークや公式アプリを利用することである
インターネットは便利な道具ですが、その影には常に危険が潜んでいます。フィッシングの仕組みを知ることは、試験に合格するためだけでなく、あなた自身の個人情報を守るために欠かせないリテラシーです。正しい知識を武器に、安全なITライフを送りましょう。
