フィッシングとは？

詳細解説

フィッシング（Phishing）は、金融機関・ECサイト・SNS・政府機関などの正規機関になりすましたメールやSMSを送り、偽の本物そっくりのWebサイト（フィッシングサイト）へ誘導してIDパスワード・クレジットカード番号・個人情報を騙し取るソーシャルエンジニアリング攻撃です。手口の進化として、スピアフィッシング（特定の個人・組織を標的にした高精度攻撃）・ホエーリング（経営幹部を標的）・ビッシング（電話を使ったフィッシング）・スミッシング（SMSを使ったフィッシング）があります。フィッシングの技術的手口はメールのFrom偽装（SPF/DKIMを回避）・正規ドメインに似た偽ドメイン（paypa1.comなど）・HTTPSを使った偽サイト（錠前マークがあっても安全とは限らない）・リダイレクトによる偽サイト誘導などです。対策はURL直打ちまたはブックマーク利用（メールのリンクをクリックしない）・多要素認証の設定・ブラウザのフィッシング検知機能の活用・不審なメールの組織内報告体制整備です。ITパスポートでは「フィッシングの特徴と手口」「スピアフィッシングとの違い」「対策（MFA・URL確認）」が頻出です。

ITパスポートでの出題ポイント

• 1正規機関を装った偽メール・偽サイトで情報騙し取り
• 2スピアフィッシング：特定個人・組織を標的にした高精度版
• 3HTTPSでも偽サイトはあり、錠前マーク＝安全ではない
• 4対策：MFA設定・URL直打ち・リンクをクリックしない

関連用語