フィッシング
フィッシング・ソーシャルエンジニアリング対策ガイド
AI生成やAiTMの普及で「怪しいメールを見分ける」だけでは防げなくなっています。本ハブでは、手口の理解からフィッシング耐性のある認証への移行、初動対応までを横断的に整理します。
まず押さえる用語
パスキー FIDOアライアンスが標準化したパスワードレス認証技術。公開鍵暗号とデバイス生体認証を組み合わせ、フィッシング耐性が極めて高い。… フィッシング 正規のメール・Webサイトを装い、認証情報やクレジットカード情報を騙し取る攻撃。特定個人を狙うスピアフィッシング、経営幹部を狙う… ソーシャルエンジニアリング 人間の心理的弱点を利用して機密情報を引き出したり不正行為を実行させたりする攻撃手法。技術的な脆弱性を使わず、欺瞞・信頼・権威・緊… BEC 取引先や経営者になりすまして送金、請求書変更、機密情報送付を促すビジネスメール詐欺。… AiTM 攻撃者が正規サービスと利用者の間に入り、認証情報やセッションを中継・窃取するフィッシング手法。… OAuth Consent Phishing 偽または悪意あるアプリのOAuth同意画面で権限を許可させ、メールやファイルなどへアクセスする攻撃。… QR Phishing QRコードを使って偽サイトや不審な認証画面へ誘導するフィッシング手法。… Device Code Phishing デバイスコード認証の仕組みを悪用し、利用者にコード入力や認可操作をさせるフィッシング手法。… スピアフィッシング 特定の個人や組織を狙い、事前調査をもとに文面を作り込んだ標的型のフィッシング攻撃。不特定多数に同一メールを送る通常のフィッシング…
違いを理解する(比較)
実務で使う(チェックリスト・対応手順)
関連ニュース・解説
- MFA疲労攻撃の初動対応:プッシュ通知を承認したかもしれない時に確認すること
- DMARCレポートの見方と初動対応:なりすまし疑いをどう確認するか
- 心当たりのないパスワードリセットメールの確認方法と初動対応
- デバイスコードフィッシング ─ Microsoft 365で狙われるOAuth認証の盲点
- フィッシングメールの見分け方 2026年版 ─ 迷ったときの確認チェックリスト
- OAuth同意フィッシング ─ MFAをすり抜けるSaaS権限奪取
- パスキー導入の落とし穴 ─ フィッシング耐性MFAを失敗させない移行設計
- 「私はロボットではありません」の罠 ─ ClickFix攻撃が2026年に主流化したワケ