KEYWORD ENCYCLOPEDIA

キーワード事典 | セキュリティに関するキーワードを解説

フィッシングサイト
英語表記:Phishing Website

この記事をシェア

攻撃者がユーザーの個人情報を不正に入手するために用意されたWebサイト


フィッシングサイト

フィッシングサイトとは、ユーザーのアカウント情報(ID、パスワードなど)やクレジットカード番号などの個人情報を不正に取得するために用意されたWebサイトのこと。金融機関のサイトやECサイトなど大手企業のサービスに偽装したものが多い。フィッシング詐欺の手段として、フィッシングサイトは攻撃者によって設置される。ユーザーに対して詐欺を目的としたメールを送り付け、その文面で大手サービスを偽ってユーザーをフィッシングサイトに誘導し、IDやパスワード、クレジットカード番号などの入力を促す。偽装のレベルは年々巧妙化しており、容易に見破れなくなっている。

実際、フィッシング対策協議会が発表している「フィッシングレポート2021」によると、2020年度におけるフィッシング詐欺にかかった届出件数は2019年と比較して急増していることがわかる。同レポートでは、不正アクセス行為のうち、フィッシングサイトにより情報を入手した割合も増加しており、警鐘を鳴らしている。今後も攻撃者がユーザーの個人情報を狙う手段として、フィッシングサイトを用いたフィッシング詐欺は増大していくことが見込まれる。

フィッシングサイトの拡散方法

フィッシングサイトはユーザーを誘導して、個人情報などを入力させることで目的が達成される。そのため、多くのユーザーにフィッシングサイトのURLを送り付け、アクセスを促す。ユーザーに拡散する手口として、以下のような手段が利用される。

メール

ユーザーに「クレジットカード情報更新のお願い」といった件名のメールを送り付け、フィッシングサイトへ誘導する。心理面での不安を煽る文面に動揺したユーザーは、訪問したページが正規のものと誤認し、情報を入力してしまう。あくまで不特定多数に配信するスパムメールの一種でありながら、大手サービスの名を騙ることで、多くのユーザーが対象になり得る。また、従来型の迷惑メールと異なり、より自然な文面になりつつあり、正規のものとの判別が難しくなっている。

SMS(Short Message Service)

SMSを使ったフィッシング詐欺は、スミッシングとも呼ばれる。近年では、SMS経由で宅配便の不在通知などを届けるサービスも出てきた。こうした動きを捉え、SMSを用いたフィッシング詐欺が横行している。ただし、大手サービスではLINEの公式アカウントを経由した通知に切り替えるなど対処が進んでいる。

SNS(Social Networking Service)

ユーザーの生活の一部にもなっているSNSもフィッシングサイトを拡散するための手口として利用されるようになっている。キャンペーンに当選したことを知らせる文面、あるいはFacebookなどの公式ページに似せた文面などのDMを送り付け、フィッシングサイトに誘導する手口などが知られている。一般ユーザーのアカウントを乗っ取り、フィッシングサイトに誘導するDMを送り付ける手口などもある。

攻撃者は成功の確率を上げるためにあらゆる方法を駆使する。中にはフィッシングメール用のターゲットリストを有し、メール開封の有無、URLクリックの有無などを調査して、さらにターゲットを絞り込む攻撃者も存在すると推測される。また、大手サービスを騙るフィッシングメールの認知が高まったことを逆手に取り、ニッチなサービスを騙るフィッシングメールも存在する。

主なフィッシングサイト

最近ではさまざまな種類のフィッシングサイトが存在する。

ECサイト

Amazonや楽天などの大手サービスからのメールと詐称し、正規サイトに近似したフィッシングサイトに誘導して、IDやパスワード、クレジットカード番号などの入力をユーザーに促す。ユーザーが誤って情報を入力してしまうと、そのまま攻撃者の手に情報が渡ってしまう。盗まれた情報は、攻撃者が正規のECサイトで悪用するだけでなく、ダークウェブで攻撃対象リストとして売買されることもある。

インターネットバンキング

このケースでは、フィッシングサイトに情報を入力してしまうと、現金が引き出される恐れがある。口座の預金残高によっては被害が大きくなる可能性もある。直接的な被害につながりやすいため、金融機関においても、多要素認証を用いるなど、認証プロセスの強化に取り組んでいる。しかし、それらの認証で用いられるワンタイムパスワードを窃取しようとする試みなど、攻撃者の手口も巧妙化している。

宅配便サービス

近年のECサイト利用の急増に伴い、宅配便の再配達を利用するユーザーも増えている。不在通知を受け取り、再配達を依頼するユーザーも多いため、攻撃者はそうしたプロセスにつけ込もうとする。多くの被害が発生していることを受け、大手宅配便サービスでは不在通知の伝達方法を変更するなど対策に乗り出している。

フィッシングサイトを使った詐欺への対策

高まるフィッシングサイトの脅威に対し、ユーザーは自衛の意識が求められる。具体的には以下のような対策を講じることで安全性は高まる。

偽物を見抜く目利きの力を養う

フィッシングサイトやフィッシングメールは正規のものに偽装するものの、完全に一致しているわけではない。少しでも不審な点があれば文中のURLはクリックしないこと。メールアドレスや差出人は容易に偽装できるため、特に注意したい。また、普段から利用するサービスの場合、メールの通知経由で重要な情報の入力が促された場合は一度立ち止まって、アドレス欄に記載されているURLが正規のものか確認するとよい。あるいは、一度ページを離れ、検索エンジンやブックマークから再度訪問して、正規サービスによる要求かどうかを確認すれば、そうした被害に遭遇する可能性は低くなる。

セキュリティソフトの導入

最近のセキュリティソフトはフィッシング対策機能を搭載しているものも多い。ユーザーがURLをクリックした際に、その訪問先がフィッシングサイトの可能性がある場合、通信を遮断してくれる。また、高度なメールフィルターにより、フィッシングメールの疑いがあるものが受信フォルダに届かないようにしてくれる。何かしらのうっかり、ヒューマンエラーの際に、こうしたツールが役立つはずだ。

手口が年々巧妙化するフィッシングメール、フィッシングサイトはユーザーの常識を凌駕することもある。常に危険と隣り合わせという意識を持ち、適切な対策を講じておきたい。

この記事をシェア

フィッシングメールのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!