【情報セキュリティ】巧妙な罠!「フィッシング詐欺」の正体|情報処理問題1000本ノック
メールやSMSを悪用し、本物そっくりの偽サイトへ誘導して個人情報を盗み出す攻撃が急増しています。その手口と対策を正しく理解し、被害を未然に防ぎましょう。
1. 問題:偽サイトへの誘導詐欺
【 問題 】 銀行やショッピングサイト、SNSなどを装った偽のメールやメッセージを送り、本物そっくりの偽サイト(フィッシングサイト)へ誘導して、IDやパスワード、クレジットカード番号などを盗み出す詐欺を何と呼ぶでしょうか?
① ショルダーハック ② フィッシング詐欺 ③ SQLインジェクション ④ ブルートフォース攻撃
2. 正解:サイバー攻撃手法に関する正解
正解: ② フィッシング詐欺
3. 解説:獲物を釣り上げる「Phishing」
フィッシング(Phishing)は、洗練された(Sophisticated)と釣り(Fishing)を掛け合わせた造語と言われており、言葉通りユーザーを「釣る」攻撃です。
【図解:フィッシング詐欺の流れ】
1. 偽の通知(餌)
・「アカウントが不正利用された」「支払い方法の更新が必要」といった緊急性を装うメッセージが届く。
2. 偽サイトへの誘導
・本文内のリンクをクリックさせ、本物と見分けがつかない偽のログイン画面を表示させる。
3. 情報の搾取(釣り上げ)
・入力されたIDやパスワードを、攻撃者がリアルタイムで盗み出し、本物のサイトへ不正ログインを行う。
1. 偽の通知(餌)
・「アカウントが不正利用された」「支払い方法の更新が必要」といった緊急性を装うメッセージが届く。
2. 偽サイトへの誘導
・本文内のリンクをクリックさせ、本物と見分けがつかない偽のログイン画面を表示させる。
3. 情報の搾取(釣り上げ)
・入力されたIDやパスワードを、攻撃者がリアルタイムで盗み出し、本物のサイトへ不正ログインを行う。
[ 派生した攻撃手法 ]
★ スミッシング(Smishing):SMS(ショートメッセージ)を使ったフィッシング。
★ ビッシング(Vishing):電話(Voice)を使ったフィッシング。
★ ホエーリング(Whaling):企業の経営幹部など「大物(クジラ)」を狙った標的型攻撃。
★ スミッシング(Smishing):SMS(ショートメッセージ)を使ったフィッシング。
★ ビッシング(Vishing):電話(Voice)を使ったフィッシング。
★ ホエーリング(Whaling):企業の経営幹部など「大物(クジラ)」を狙った標的型攻撃。
1. 理解のコツ: どんなに本物に見えても、メール内のリンクから直接ログインしないことが最大の防御です。ブラウザの「ブックマーク」や「公式アプリ」からアクセスする習慣をつけましょう。
2. 試験対策の視点: 「偽サイトへ誘導」「個人情報を盗む」というキーワードが出たらフィッシング詐欺です。また、多要素認証(MFA)を突破しようとする高度なフィッシングサイトも存在するため、認証の仕組みとセットで問われることもあります。
4. まとめ
「不安を煽って偽サイトへ誘い込む」。これがフィッシング詐欺の常套手段です。URLに違和感はないか、公式が推奨する連絡手段かを確認する冷静さが、セキュリティを守る第一歩となります。
PR