初心者向け情報セキュリティ 第5回
お金を狙う攻撃の正体
フィッシング詐欺はなぜ見分けがつかないのか?
「それ、偽物ですよ」
あとから言われれば分かるのに、その場では気づけなかった——
フィッシング詐欺の多くは、そんな形で起きます。
しかも最近は、「普通に見ても分からないレベル」まで進化しています。
この記事では、フィッシング詐欺の仕組みと、なぜ見分けがつかないのかを、できるだけ分かりやすく解説します。
■ フィッシング詐欺とは?
まずはシンプルに説明します。
👉 本物そっくりのサイトで、情報を入力させて盗む手口
です。
例えば:
- 銀行
- クレジットカード会社
- 通販サイト
- 配送業者
などを装って、「ログインしてください」と誘導します。
■ よくある流れ(実際のパターン)
典型的な流れを見てみましょう。
① SMSやメールが届く
「不正アクセスがありました」や「お荷物をお届けできませんでした」
↓
② リンクをタップする
↓
③ 本物そっくりのサイトが表示される
↓
④ ID・パスワード・カード情報を入力
↓
⑤ 情報が盗まれる
ポイントは すべて“自分で入力している” ということになります。
※第2回のテーマと一緒の動きですね。
■ なぜ見分けがつかないのか?
ここが一番重要です。理由は大きく3つあります。
① 見た目が本物とほぼ同じ
現在のフィッシングサイトは、
- ロゴ
- デザイン
- 配置
すべてが本物とほぼ同じです。
見た目だけで見抜くのはほぼ不可能 です。
② URL(アドレス)を見ていない
本物かどうかを判断する最大のポイントは、
👉 URL(アドレス)
ですが、多くの人はここを見ていません。
例えば:
- 本物:example.co.jp
- 偽物:example-secure.co.jp
一見すると、ほとんど同じに見えます。
③ 心理的に焦っている
第2回でも触れましたが、
- 「不正アクセス」
- 「至急対応」
- 「アカウント停止」
こういった言葉で焦らされると、確認する余裕がなくなるのです。
■ よくあるケース
実際にあった例です。
ある方が、
「クレジットカードの不正利用の可能性があります」
というメールを受け取りました。
不安になり、リンクをクリック
↓
表示されたサイトでログイン
↓
カード情報を再入力
結果、 本当に不正利用される という事態に。
→参考記事のURLをのせる
■ 技術的にはどうなっているのか?(やさしく)
少しだけ仕組みを説明します。
フィッシングサイトは、 本物を“コピーして作られている” だけです。
つまり、
- 見た目は同じ
- でも中身は別物
なので、入力された情報は、 攻撃者のサーバーに送られる ようになっています。
■ 「本物っぽい」ではなく「本物か」を見る
ここが重要な考え方です。
❌ 見た目が本物っぽいから大丈夫
⭕ 本当に公式のサイトか確認する
この違いが、被害を防ぐ分かれ目です。
■ 対策はシンプル
難しいことは不要です。 次の2つだけ覚えてください。
① リンクからログインしない
👉 必ず公式アプリやブックマークからアクセス
② URLを確認する
👉 ドメイン(example.co.jpなど)を見る
これだけで、ほとんどのフィッシングは防げます。
■ 今日覚えてほしいこと(これだけでOK)
今回の一番大事なポイントです。
👉 フィッシングは「だます」のではなく「入力させる」攻撃
だから、 リンクからログインしないだけで防げる
■ まとめ
- フィッシングは偽サイトで情報を盗む手口
- 見た目では見分けがつかない
- URLとアクセス方法が重要
- 自分で入力すると防げない
次回は、「データを人質にする攻撃(ランサムウェア)」 をテーマに、なぜ企業だけでなく個人にも被害が広がっているのかを解説します。
「バックアップって必要?」と思っている方は、ぜひ読んでみてください。
