フィッシングとは、悪意を持つ第三者 (フィッシャー) が、実在する銀行やクレジットカード会社から送信されたかのように装ったメール (フィッシングメール) を送信し、ユーザーを本物そっくりに作られた偽の サイト (フィッシングサイト) に誘導した上で、クレジットカード番号などの個人情報を入力させて盗もうとするネット詐欺です（図）。

ほとんどのフィッシングメールでは、メールの差出人アドレスが本物の企業が使用しているメールアドレスに偽装されています。メールの本文にはフィッシングサイトへのリンクが埋め込まれており、メール受信者がそのリンクをたどるように誘導します。

フィッシャーは、ユーザーに違和感を抱かせないよう、フィッシングサイトをアドレスバーなしでブラウザーに表示させたり、本物のサイトと見分けがつきにくいドメイン名を使って、ユーザーが個人情報を入力するように仕向けてきます。

アドレスバーが表示されている場合でも、ブラウザー（Internet Explorer など）に見つかっているセキュリティホールを悪用して、フィッシングサイトがアドレスバーに本物のサイトと同じアドレス情報を表示させたり、SSLで使用するサーバー証明書やブラウザーに表示される鍵マークを偽装してくる場合があるので油断はできません。

誘導先のフィッシングサイトに関して、フィッシャーが独自のサーバーを構築する以外に、本物のサイトのWebサーバーに不正侵入し、改ざんする場合もあります。その際、Webサーバー上のWebアプリケーションに存在するセキュリティホールを利用してブラウザーに表示されるサイトの情報を書き換え、サイトに入力した情報がフィッシャーの元に送信されるように細工したりします。この場合、ブラウザーのアドレスバーに表示されるアドレス情報やサーバー証明書は本物のサイトのものであるため、それらの情報からWebサーバーが本物なのか偽物なのかをユーザーが見分けるのは困難です。

ページの先頭へ戻る
フィッシングの被害状況

フィッシングの被害は、2003年頃から米国など英語圏のユーザーを中心に報告されるようになってきました。日本では、2004年11月に VISA からのメールを装った日本語によるフィッシングメールが初めて確認されたのを皮切りに、さまざまな企業や団体を装って日本人をターゲットにしたフィッシングメールやサイトが多く確認されるようになっています。

特にインターネット・バンキングに関連する被害は、2007年後半以降急速に広がり始め、フィッシングによる被害が多数報告されています。また、アドレスバーからURLを直接入力する際の「入力ミス」を狙った手法による被害も報告されています。

ページの先頭へ戻る
フィッシングへの防御策

まずは、身に覚えのない怪しいメールに記載されているリンクをクリックしてサイトにアクセスしないようにしましょう。たとえ、それが普段利用している銀行やオンラインショッピングサイトから送られてきたように見えるメールであってもです。

フィッシングは、技術的な方法だけでは完全に防御することはできません。次のような対策を行うことで、フィッシング詐欺の被害にあわないようにしましょう。

≪金融機関を利用する場合≫
日頃から、残高や利用履歴をこまめにチェックし、金融機関が提供しているセキュリティに関する「お知らせ」や「対策」について最新の情報を確認し、適切な対策を行いましょう。

≪被害にあった場合≫
IDを登録・取得する会社のサポート窓口などに現在の状況を連絡します。(電話やファックスが望ましい)
クレジットカード番号が盗まれたかもしれないと思ったら、速やかにカード会社に連絡し、カードを停止してもらいましょう。

≪相談先≫
» フィッシング110番
» サーバー犯罪相談窓口一覧
» Web110番
» インターネットホットライン
» フィッシング対策協議会

@niftyの常時安全セキュリティ24なら、面倒なウイルスパターンファイルの更新や、複雑なファイアウォール設定の必要がなく、安全なセキュリティ対策が行えます。

ページの先頭へ戻る
リンク

» 総務省：フィッシング詐欺にご注意下さい（PDF）
» 警視庁：フィッシング詐欺にご用心