📌 結論から理解する
フィッシング=「本物に見せかけた偽サイト・偽メールで情報を騙し取る」
フィッシング(Phishing)とは、銀行・EC・SNSなど実在する組織を装った偽のメール・SMSを送り、偽サイトに誘導してID・パスワード・クレカ番号などを入力させる攻撃です。
技術的な脆弱性でなく「人の心理」を突く攻撃なので、技術対策だけでは防げません。
フィッシングの特徴・見分け方・対策(SPF/DKIM/DMARC)が頻出。SMSフィッシング(スミッシング)も覚えておく。
フィッシング攻撃の流れ
1
攻撃者が「銀行・Amazon・マイクロソフト」などを装った偽メールを大量送信
「アカウントが停止されます」「不正利用を検知しました」など緊急性をあおる
「アカウントが停止されます」「不正利用を検知しました」など緊急性をあおる
2
メール内のリンクをクリックすると本物そっくりの偽サイトへ誘導
URLが微妙に違う(amaz0n.com, amazon-security.net など)
URLが微妙に違う(amaz0n.com, amazon-security.net など)
3
偽サイトでID・パスワード・クレカ番号を入力させる→攻撃者が情報を取得
4
不正ログイン・不正送金・個人情報の悪用が行われる
フィッシングメールの見分け方
⚠️
差出人のメールアドレスが微妙に違う(@amaz0n.com など)
⚠️
「今すぐ確認しないとアカウントが停止」などの緊急性をあおる文面
⚠️
リンクのURLが公式サイトと異なる(マウスオーバーで確認)
⚠️
宛名が「お客様各位」など個人名なし
⚠️
日本語がぎこちない・文字化けがある
フィッシングの種類
| 種類 | 特徴 |
|---|---|
| スピアフィッシング | 特定の個人・組織を狙い、個人情報を使って作った精巧な偽メール |
| スミッシング | SMSを使ったフィッシング(宅配会社・金融機関を装ったSMS) |
| ビッシング | 電話(Voice)を使ったフィッシング(サポートセンターを装った詐欺電話) |
| ファーミング | DNSを汚染して正規URLを入力しても偽サイトへ誘導する手法 |
技術的な対策(SPF・DKIM・DMARC)
SPF(Sender Policy Framework)
そのドメインからメールを送ってよいサーバのIPアドレスをDNSに登録。
受信側が送信元IPを照合し、不正なサーバからのメールを弾く。
そのドメインからメールを送ってよいサーバのIPアドレスをDNSに登録。
受信側が送信元IPを照合し、不正なサーバからのメールを弾く。
DKIM(DomainKeys Identified Mail)
送信者がメールに電子署名を付加し、受信者が公開鍵で検証。
メールの改ざん検知と送信元の正当性確認ができる。
送信者がメールに電子署名を付加し、受信者が公開鍵で検証。
メールの改ざん検知と送信元の正当性確認ができる。
DMARC(Domain-based Message Authentication, Reporting & Conformance)
SPF・DKIM両方の検証結果に基づき、認証失敗メールをどう処理するか(拒否・隔離・許可)をDNSに設定。
フィッシングメール対策の集大成。
SPF・DKIM両方の検証結果に基づき、認証失敗メールをどう処理するか(拒否・隔離・許可)をDNSに設定。
フィッシングメール対策の集大成。
SPF・DKIM・DMARCの役割の違いが頻出。「SPF=送信元IPの検証」「DKIM=署名による改ざん検知」「DMARC=両方の結果に基づく処理ポリシー」
🧠 確認クイズ
Q1. スミッシングの説明として正しいのは?
Q2. SPF(Sender Policy Framework)の目的として正しいのは?
Q3. フィッシングメールの特徴として最も適切なのはどれか?