フィッシングとは

フィッシング(Phishing)は、銀行・ECサイト・SNSなどを装った偽メールや偽サイトを使って、ユーザーのパスワードや個人情報を騙し取る攻撃だよ。本物そっくりのページに誘導してパスワードを入力させるんだ。

主な手口

スピアフィッシング: 特定の個人や組織を狙った、よりパーソナライズされた攻撃
スミッシング: SMS(テキストメッセージ)を使ったフィッシング
ビッシング: 音声通話を使ったフィッシング
ファーミング: DNSを書き換えて正規URLでも偽サイトに誘導する高度な手口

見分けるポイント

フィッシングサイトを見分けるのは年々難しくなってるけど、いくつかのサインを覚えておこう。

URLドメインが微妙に違う(例: paypa1.com vs paypal.com)
HTTPS証明書のドメインを確認する
緊急性を煽る文面(「今すぐ確認しないとアカウントが停止されます」等)
要求している情報が多すぎる

パスキーはフィッシングに強い

パスワード認証はフィッシングサイトで簡単に盗まれるけど、パスキーやWebAuthnはフィッシングに耐性がある。なぜなら認証情報が特定のドメインに紐付いていて、偽サイトでは使えない仕組みになってるからだよ。

● 関連用語

TERM

クレデンシャルスタッフィング

漏洩した認証情報を別サービスで試す自動化攻撃

ブラウザ経由でパスワードレス認証を実現するWeb標準

TERM

キーロガー

キーボード入力を密かに記録してパスワードを盗むソフト

● 推奨パスワードマネージャー / Recommended [PR]

作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。編集部がふだん使っているサービスをご紹介します。

1Password

★ 4.8

洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。

オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。

SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。

NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。

スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。

月額約260円〜

→ 詳しくみる ※PR

● 関連ガイド / Guides