フィッシングとは何か?
フィッシングとは、攻撃者が正規のウェブサイトの説得力ある複製(多くの場合ピクセル単位で精巧に作られたもの)を作成し、被害者をそこへ誘導して認証情報を入力させるソーシャルエンジニアリング攻撃です。被害者がフォームを送信した瞬間、攻撃者はユーザー名・パスワード・二段階認証コードを取得し、数秒以内に本物のアカウントを乗っ取ります。
この言葉は、(通常はメールで)餌を使って被害者を「釣る」という比喩に由来しています。スペルが変化したのは、攻撃者がphone番号を使ったSMSフィッシング(「スミッシング」)や、プロフェッショナルな見た目のインフラを利用することが多いためです。
フィッシングが依然として脅威の第1位である理由
今日の大規模なアカウント侵害の多くは、ハッキング、パスワードの解読、暗号化の回避によるものではありません。人間が偽サイトにパスワードを入力することによって発生しています。フィッシングが危険な理由は以下の通りです:
- 低コスト — VPS一台と偽ドメインさえあれば、数百万件のメールを送信できます
- フィルタリングが困難 — 最新のフィッシングキットはドメインをローテーションし、正規のホスティングを利用し、リアルタイムでフィルターに適応します
- 高い効果 — セキュリティ意識の高いユーザーでも、巧妙に作られた標的型攻撃(スピアフィッシング)に引っかかることがあります
- スケーラブル — 一度のフィッシング成功がパスワードの使い回しを通じて、数十の関連サービスへのアクセスをもたらすことが多いです
2024年のVerizon Data Breach Investigations Reportによると、全侵害の36%以上でフィッシングが初期アクセスの手段として使用されており、他のどの単一原因よりも多くなっています。
最新のフィッシングの仕組み
フィッシングは2000年代の「ナイジェリアの王子」メールをはるかに超えた進化を遂げています。最新のフィッシング攻撃は通常、以下の要素を含んでいます:
1. 説得力のある誘い文句
「アカウントが停止されます」という緊急性、「Microsoftセキュリティチーム」という権威性、「写真にタグ付けされました」という好奇心を煽るメール・SMS・チャットメッセージが使われます。スピアフィッシングはさらに進んで、LinkedIn、流出したデータベース、過去のやり取りから収集した個人情報が使われます。
2. ピクセル単位で精巧な偽サイト
攻撃者は市販のフィッシングキットを使用して、対象サイトのHTML・CSS・JavaScriptを複製します。多くのキットはサービスとして販売(フィッシング・アズ・ア・サービス)されており、機能するダッシュボードとカスタマーサポートまで備えています。
3. 2FAのリアルタイムプロキシ
最も危険な部分は、最新のキットがパスワードを盗むだけでなく、中間者プロキシとして機能することです。TOTPコードを含め、入力したすべての情報を数秒以内に本物のサイトへ転送し、ほとんどの2FAを回避します。この手法はアドバーサリー・イン・ザ・ミドル(AiTM)と呼ばれ、Evilginx2やModlishkaなどのツールで使用されています。
4. セッショントークンの窃取
プロキシを通じて認証が完了すると、攻撃者はセッションクッキーを取得し、パスワードを変更した後もログイン状態を維持できます。そのため、フィッシング被害への対応ではパスワードの変更だけでなく、アクティブなセッションの無効化が必須となります。
フィッシングを実際に防ぐ手段
ハードウェアセキュリティキー(FIDO2 / WebAuthn)
これは設計上フィッシングを防御できる唯一のカテゴリーです。FIDO2キーでログインする際、キーは認証を要求するサイトの正確なドメインを暗号的に検証します。見た目がどれほど精巧であっても、偽サイトは異なるドメインを持つため、キーは応答を拒否します。暗号的なハンドシェイクが完了しないのです。
Googleは2017年に85,000人以上の全従業員にYubiKeyの使用を義務付け、それ以降、社内アカウントへのフィッシング攻撃の成功件数はゼロであると報告しています。
パスキー
パスキーはFIDO2のコンシューマー向け進化版です。同じドメイン紐付けの暗号技術を使用しており、iOS・Android・macOS・Windowsに組み込まれています。利用中のサイトがパスキーに対応している場合、有効化することでそのアカウントはフィッシングから保護されます。
パスワードマネージャー
パスワードマネージャーは第二の防衛ラインです。認証情報が保存された正確なドメインにのみ自動入力を行います。paypal.comではなくpaypaI.com(大文字のI)にアクセスした場合、マネージャーは自動入力を静かに拒否します。この拒否は、何かがおかしいという明確な警告です。
メールとDNSフィルタリング
メールプロバイダーはDMARC・SPF・DKIMを使用して、なりすましの送信者アドレスを検出します。最新のプロバイダーは明らかな攻撃をほとんど検知しますが、標的型攻撃はすり抜けることがあります。メールクライアントの「フィッシングを報告」ボタンを活用し、フィルターの改善に貢献してください。
注意すべき危険なサイン
ログイン・確認・緊急の対応を求めるメッセージを受け取ったときは、以下に注意してください:
- 緊急性と脅し — 「24時間以内にアカウントが停止されます」
- 一般的な宛名 — 名前ではなく「お客様各位」
- そっくりなドメイン —
paypaI.com、app1e.com、secure-microsoft-login.net - 予期しない添付ファイル — 特に閲覧のためにログインを求める
.zip・.html・.pdfファイル - 文法や書式の誤り — 大企業のメールは校正されています
- リンクの不一致 — リンクにカーソルを合わせ、リンク先がテキストと一致するか確認してください
少しでも不審に思ったら、メールを閉じてください。サイトに直接アクセスしてください。本当に問題があれば、通常のワークフローでログインしたときに確認できます。
被害に遭ってしまった場合の対処法
素早く行動してください。攻撃者は数分以内に認証情報を使い始めるため、スピードが重要です。
- すぐにパスワードを変更する — 別のデバイス(例えば、ノートパソコンで被害に遭った場合はスマートフォン)から変更してください
- すべてのアクティブなセッションを無効化する — アカウント設定から実行し、盗まれたセッショントークンを使用している第三者を排除してください
- 2FAを有効化する — まだ設定していない場合は設定し、可能であればハードウェアキーまたはパスキーを使用してください
- 不正なアクティビティを確認する — 送信メール、最近のログイン、請求の変更、新しい転送ルールなどを確認してください
- 関係機関に通知する — 金融機関または職場のアカウントの場合は通知してください
- 他のアカウントも確認する — 同じパスワードを使用しているアカウントを確認してください。パスワードを使い回していないと確信していても、必ず確認してください
まとめ
フィッシングは技術を回避して人間を標的にするため、依然として脅威であり続けています。最善の防御策は3つの層を組み合わせることです:パスワードマネージャー(間違ったドメインへの自動入力を拒否)、フィッシング耐性のある2FA(本物のドメインに紐付けられたハードウェアキーまたはパスキー)、そして健全な懐疑心(メールのリンクからはログインしない)です。
まず最も重要なアカウント——メール——でこの3つすべてを有効にしてください。それだけで、デジタルライフ全体のセキュリティが大幅に向上します。