フィッシング
定義
フィッシングとは正規の企業・機関のメールやWebサイトを精巧に偽装し、パスワード・クレジットカード情報・個人情報を騙し取るサイバー攻撃の総称です。特定個人を事前調査して狙うスピアフィッシング・経営幹部を狙うホエーリング・SMS経由のスミッシング・電話経由のビッシングなど、変種も多様です。AI生成ツールの普及でフィッシングメールの文章・レイアウトが急速に精巧化しており、2024年のAI生成フィッシングは前年比1,265%増(SlashNext調査)と急増、日本語の完璧な文面での攻撃も当たり前になっています。根本的な対策はパスキー/FIDO2の採用で、登録したドメイン以外では認証が成立しないためフィッシングサイトに誘導されても認証情報を奪えません。組織の対策にはDMARC/DKIM/SPFの設定・フィッシングシミュレーション訓練・URLを慌てずに確認する習慣の定着が効果的です。
詳細解説
AI生成ツールの普及により、2024年以降のフィッシングメールはほぼ完璧な日本語・文脈で作成されます。SlashNextの調査では2024年のAI生成フィッシングが前年比1,265%増加しており、送信元の確認だけでは防御が困難になっています。パスキーやFIDO2認証は登録したドメイン以外で認証が成立しないため、フィッシング耐性が最高水準です。
ポイント
- URLを必ず確認:正規ドメインとそっくりな偽ドメイン(ホモグリフ攻撃)に注意
- DMARC/DKIM/SPFを設定し、組織を騙ったなりすまし送信を防御する
- パスキー・FIDO2はフィッシングサイトでは認証が成立しない設計
- スピアフィッシング・ホエーリング・スミッシング・ビッシングも同系統の攻撃
関連用語
フィッシングが登場する記事・比較
よくある質問
フィッシングとは?
正規のメール・Webサイトを装い、認証情報やクレジットカード情報を騙し取る攻撃。特定個人を狙うスピアフィッシング、経営幹部を狙うホエーリングが高度化している。
フィッシングについて詳しく知るには?
AI生成ツールの普及により、2024年以降のフィッシングメールはほぼ完璧な日本語・文脈で作成されます。SlashNextの調査では2024年のAI生成フィッシングが前年比1,265%増加しており、送信元の確認だけでは防御が困難になっています。パスキーやFIDO2認証は登録したドメイン以外で認証が成立しないため、フィッシング耐性が最高水準です。
フィッシングのポイントは?
URLを必ず確認:正規ドメインとそっくりな偽ドメイン(ホモグリフ攻撃)に注意 DMARC/DKIM/SPFを設定し、組織を騙ったなりすまし送信を防御する パスキー・FIDO2はフィッシングサイトでは認証が成立しない設計 スピアフィッシング・ホエーリング・スミッシング・ビッシングも同系統の攻撃
同じカテゴリの用語(攻撃手法)
攻撃者が正規サービスと利用者の間に入り、認証情報やセッションを中継・窃取するフィッシング手法。…
国家支援組織や高度な技術を持つ攻撃グループによる長期・潜伏型の標的型攻撃。数ヶ月〜数年かけて侵入・維持・情報収集を行う。…
取引先や経営者になりすまして送金、請求書変更、機密情報送付を促すビジネスメール詐欺。…
実在ブランド、取引先、社内組織になりすまし、利用者に誤操作や情報入力を促す攻撃。…
ログインID、パスワード、トークン、MFAコードなどの認証情報を大量または継続的に収集する行為。…
他サービスから漏えいしたIDとパスワードの組み合わせを使い、別サービスへのログインを試す攻撃。…