フィッシング攻撃完全ガイド:偽URLの見分け方・ソーシャルエンジニアリング手法・アカウント防護

「銀行からの安全確認」メールが届き、24 時間以内にリンクをクリックしてアカウントを確認しなければ停止すると書いてある——これは典型的なフィッシング攻撃です。FBI の 2025 年インターネット犯罪報告によると、フィッシングは複数年にわたりサイバー犯罪の中で最も被害額が大きく、世界で年間 35 億ドル以上の損失を生んでいます。

1. フィッシングとは?

フィッシング(Phishing)とは、攻撃者が銀行・政府機関・EC サイトなどを装い、パスワードやクレジットカード情報などを騙し取る詐欺行為です。

種類概要よく偽装される対象
メールフィッシング偽メールを大量送信銀行、PayPal、政府機関
スピアフィッシング特定個人・企業向けの精密攻撃経営幹部、特定組織の社員
スミッシングSMS で偽リンクを送付宅配会社、銀行、税務署
ビッシング電話でサポートや公的機関を装う銀行、警察、社会保険
クイッシング偽 QR コードでフィッシングサイトへ誘導駐車場精算機、メニュー、広告

2. 偽 URL の見分け方

同形文字攻撃

視覚的に似た文字で本物のドメインを偽造します:paypa1.com(1 と l)、g00gle.com(0 と o)など。

サブドメインによる誤誘導

本物のドメインは最後の . の直前にある部分です:

  • secure.bank.co.jp → 本物のドメインは bank.co.jp
  • bank.co.jp.secure-login.net → 本物のドメインは secure-login.net ✗(フィッシング!)
不審な URL をデコード:URLエンコードツールでパーセントエンコーディングされた URL を即座にデコードし、本当のドメインを確認できます。

3. ソーシャルエンジニアリングの心理手法

手法見破るポイント
緊急性「2時間以内に確認しなければ凍結」正規の銀行は極端な期限を設けない
恐怖「マネーロンダリングの疑い、捜査にご協力を」行政機関が電話で送金を求めることはない
権威銀行・税務署・警察を装う公式サイト・アプリで直接確認する
「当選しました」「未請求の還付金があります」うまい話はフィッシングと疑う

4. 不審なメールの確認方法

送信者の表示名は偽造できます。重要なのは @ 以降のドメイン です:

メール内のリンクはクリックせず、ブラウザに公式 URL を直接入力するか、ブックマークからアクセスしてください。

5. アカウントのセキュリティ対策

  • 2要素認証(2FA)を有効化:パスワードが漏洩しても第二の認証が守ってくれる。SMS よりも TOTP 認証アプリを優先
  • パスワードマネージャーを使う:正規のドメインにしか自動入力しないため、フィッシングサイトへの入力を防げる
  • アカウントごとに異なるパスワード:1つの漏洩が連鎖しない
パスワードのセキュリティ:パスワード生成ツールはブラウザ内で強力なランダムパスワードを生成。サーバーには何も送信されません。

6. 不審なリンクをクリックしてしまったら

  1. 何も入力しない:クリック自体は大きなリスクではなく、入力した情報が危険
  2. すぐにタブを閉じる:拡張機能のインストールやファイルのダウンロードを求められたら拒否して閉じる
  3. マルウェアをスキャン:何かダウンロードした場合はセキュリティソフトでスキャン
  4. パスワードを変更:入力した可能性があるパスワードをすぐに変更し、同じパスワードを使い回していないか確認
  5. 機関に連絡:銀行関連の場合は公式番号にすぐ電話してカードや口座を止める

まとめ

  • フィッシングは偽 URL・緊急性の演出・信頼感を組み合わせた最も被害額の大きいサイバー犯罪
  • URL の見分け方:本物のドメインは最後の . の前にある;同形文字・パーセントエンコーディングに注意
  • メールの確認:@ 後のドメインを確認、リンクをクリックせず公式サイトに直接アクセス
  • 技術的対策:2FA 有効化・パスワードマネージャー・アカウントごとに別パスワード