ひとことで言うと
フィッシングは、銀行・ECサイト・宅配業者などを装った偽のメールやWebサイトで、パスワードやクレジットカード番号などを騙し取るサイバー攻撃です。システムの隙ではなく、人の判断の隙を突きます。
たとえ話でもう少し詳しく
本物の繁盛店にそっくりな偽店舗が、同じ看板・内装・制服で営業していたとします。気づかず入ってしまうと、大切なカード情報や個人情報を渡してしまいます。フィッシングもこれと同じです。
- 送信元のメールアドレスや、Webサイトのデザインを本物そっくりに偽装する
- 「アカウントに異常が発生しました」「今すぐ確認してください」と急かす
- 偽サイトで入力させた情報を攻撃者が入手する
巧妙なものはURLも本物に似ており、一見では区別がつきません。
よく出る場面・使いどころ
- 銀行やカード会社を装ったメールで偽のログインページへ誘導するとき
- 宅配業者を装ったSMSで偽サイトへ誘い込むとき(スミッシング)
- 社内の上司や取引先を装い、パスワードや振込先の変更を求めるとき
- SNSや求人サイトのメッセージに偽リンクを貼り付けてくるとき
実務で気にするポイント
- URLをよく確認する。「0(ゼロ)」と「O(オー)」の混用など、本物に似せたアドレスに注意
- メール本文のリンクは踏まず、ブックマークや検索から公式サイトへ直接アクセスする
- 不審なメールが届いたら IT 担当者や上司へ報告するルールを社内で決めておく
- 二要素認証を設定しておくと、パスワードが盗まれても被害を抑えやすい
注意: HTTPS(鍵マーク)があっても、フィッシングサイトである可能性はあります。「見た目が本物らしい」「急かされる」と感じたときほど、立ち止まって確認することが大切です。