フィッシング
定義
フィッシングとは正規の企業・機関のメールやWebサイトを精巧に偽装し、パスワード・クレジットカード情報・個人情報を騙し取るサイバー攻撃の総称です。特定個人を事前調査して狙うスピアフィッシング・経営幹部を狙うホエーリング・SMS経由のスミッシング・電話経由のビッシングなど、変種も多様です。AI生成ツールの普及でフィッシングメールの文章・レイアウトが急速に精巧化しており、2024年のAI生成フィッシングは前年比1,265%増(SlashNext調査)と急増、日本語の完璧な文面での攻撃も当たり前になっています。根本的な対策はパスキー/FIDO2の採用で、登録したドメイン以外では認証が成立しないためフィッシングサイトに誘導されても認証情報を奪えません。組織の対策にはDMARC/DKIM/SPFの設定・フィッシングシミュレーション訓練・URLを慌てずに確認する習慣の定着が効果的です。
詳細解説
AI生成ツールの普及により、2024年以降のフィッシングメールはほぼ完璧な日本語・文脈で作成されます。SlashNextの調査では2024年のAI生成フィッシングが前年比1,265%増加しており、送信元の確認だけでは防御が困難になっています。パスキーやFIDO2認証は登録したドメイン以外で認証が成立しないため、フィッシング耐性が最高水準です。
ポイント
- URLを必ず確認:正規ドメインとそっくりな偽ドメイン(ホモグリフ攻撃)に注意
- DMARC/DKIM/SPFを設定し、組織を騙ったなりすまし送信を防御する
- パスキー・FIDO2はフィッシングサイトでは認証が成立しない設計
- スピアフィッシング・ホエーリング・スミッシング・ビッシングも同系統の攻撃
関連用語
同じカテゴリの用語(攻撃手法)
国家支援組織や高度な技術を持つ攻撃グループによる長期・潜伏型の標的型攻撃。数ヶ月〜数年かけて侵入・維持・情報収集を行う。…
認証済みユーザーに悪意のあるサイトを訪問させ、意図しないリクエストをターゲットサイトに送信させる攻撃。CSRFトークンと…
多数のホスト(ボットネット)から同時に大量のトラフィックを送り、標的サービスをダウンさせる攻撃。ボリューム型・プロトコル…
DNSリゾルバのキャッシュに偽の名前解決情報を注入し、正規ドメインへのアクセスを攻撃者が制御するサーバーに誘導する攻撃。…
攻撃者が通信キャリアのサポートに被害者を騙って電話番号を自分のSIMカードに移管させる攻撃。SMS認証(2FA)を乗っ取…
WebアプリケーションのSQLクエリに悪意のある入力を注入し、DBを不正操作する攻撃。プリペアドステートメントで根本的に…