フィッシング攻撃とは?

フィッシング攻撃とは、被害者をだまして攻撃者に利益をもたらすアクションを取らせるようにする手法です。これらの攻撃は、単純なものから複雑なものまであります。十分な備えをした者であれば、その多くを見抜くことができます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • フィッシング攻撃を定義する
  • 一般的なフィッシング攻撃を把握する
  • フィッシングを防止する方法を知る

記事のリンクをコピーする

記事の概要:

  • フィッシングは、信頼できる情報源からであるかのように見せかけたメッセージで被害者を欺き、ログイン認証情報、パスワード、財務データなどの機密情報を開示させて悪用する攻撃です。
  • 攻撃者は、ドメインスプーフィング、フェイクWebサイト、生成AIなどの多様で巧妙な手口を駆使し、メール、SMS、電話、ソーシャルメディアを介してフィッシング攻撃を実行します。
  • フィッシング攻撃を効果的に防止するには、URLの検証、メールセキュリティツールの使用、ゼロトラストセキュリティモデルの導入によって詐欺的な通信の試みを識別し、ブロックすることが重要です。

フィッシング攻撃とは?

「フィッシング」とは、通常、盗んだ情報を悪用または販売するために、ユーザー名、パスワード、クレジットカード番号、銀行口座情報、ほかの重要なデータなどの機密情報を盗もうとすることを意味します。漁師が餌を使って魚を釣るように、魅力的な文言を用いて信頼できる情報源を装って、攻撃者は被害者をだまそうとします。

フィッシング攻撃

フィッシングの手口

フィッシングの代表的な例の多くは、アカウント乗っ取りランサムウェア攻撃、ビジネスメール詐欺(BEC)など、ほかの不正行為を助長する目的で使われます。従来、フィッシング攻撃はメールやショートメッセージを介して行われるのが一般的でしたが、現在、フィッシング攻撃は、SMSテキストメッセージ電話QRコードなど、様々な媒体を介して行われます。

攻撃者がフィッシング攻撃をより効果的にするために使用できる戦術はいくつかあります:

  • 既知の連絡先情報の検索、購入、スクレイピング
  • 本物のWebサイトやアプリを模倣した偽のWebサイトやアプリを構築する
  • DNS高速フラックスなどの手法を使用してホスティングサーバーを偽装する
  • ドメインスプーフィングEメールスプーフィングでメッセージを正当なものに見せかける
  • フィッシングメッセージ内に記載ているURLが正しく見えるようにリンクを操作する
  • 信頼できる送信元を装い、チェックをすり抜けてスパムメールフィルターを通過できるメールを送信する
  • 生成AIを使用して、リアルで自然な文面を瞬時に作成する

ほとんどのフィッシング攻撃は、いくつかの一般的なカテゴリーに分類することができます。見抜けるように、フィッシング攻撃のいくつかのベクトルを知っておくことを推奨します。

レポート
2026年版セキュリティシグナルレポート

Webサイトの模造詐欺

このタイプの詐欺は、多くの場合アカウント削除詐欺のようなほかの詐欺手法と組み合わせて行われます(下記参照)。この攻撃では、攻撃者は被害者が利用する銀行などの企業の本物のWebサイトとほぼ同じ見た目のWebサイトを模造し、フィッシングメール、フォーラム内のハイパーリンク、検索エンジンなどを通じて、被害者をそのページに誘導します。本物そっくりのWebサイトに入力したすべての情報は収集され、攻撃者によって転売や悪用に使用されます。

インターネットの黎明期には、こうした模造ページは雑なつくりであったため比較的簡単に見抜くことができました。現在の不正サイトは、本物そっくりで完璧にみえるかもしれません。

WebブラウザーでURLをチェックすることで、不正を見抜ける可能性があります。URLが通常のものと異なる場合は、怪しいと疑うべきです。そのサイトがHTTPS経由でなく安全でないと表示された場合、破損しているサイトであるかフィッシング攻撃サイトのいずれかである可能性が高く、警戒すべきです。

ただし攻撃者はドメインスプーフィングを使用して、本物にそっくりなURLを作り出すことがあります。また、ドメインハイジャックのような手口で、Webサイトの実際のアドレスを乗っ取ることもできます。どんなに注意深い人でもだまされることがありまするため、メールの送信元とされる連絡先(銀行のカスタマーサービスラインに電話するなど)に連絡をとり、Webページへ誘導するための文面が正当なものであることを確認することが賢明です。

アカウント削除詐欺

被害者に重要なアカウントが削除されると信じ込ませて切迫感を与えることで、攻撃者は被害者をだましてログイン認証情報といった重要な情報を不正に入手しようとします。一例を紹介します。攻撃者が銀行などの金融機関を装ってメールを送り付け、銀行口座が侵害されたので今すぐ措置を講じないと口座が凍結されると主張します。そして口座の凍結を防ぐために必要だと偽って、被害者の銀行口座のログインIDとパスワードを要求します。より巧妙な攻撃では、情報を入力すると、正当な銀行のホームページに誘導されるため、何も問題がないように見えるのです。

こうした攻撃への対策としては、問題のサービス提供業者(上記の例では銀行)のホームページに直接移動して、口座やアカウントが本当に凍結されるような状態になっているかを確認することです。また、アドレスバーをチェックして、そのWebサイトが安全かどうかを確認するのも良い方法です。ログインIDやパスワードを要求する安全でないWebサイトは怪しいと疑うべきであり、ほぼ例外なく使用すべきではありません。

ナイジェリア詐欺

この一般的なメールフィッシング攻撃は、「ナイジェリアの王子」メールによって広く知られるようになりました。ナイジェリアの王子と名乗る人物が自らの貧困や困窮を訴えたうえで、お礼を渡したいのだが自国では安易に動かせない財産を相手の口座に移し替えるには手数料が必要だと言います。当然のことながら、手数料を支払っても、お礼と称する大金は届きません。興味深いのは、こうしたタイプの詐欺が100年以上にわたってさまざまな形で発生していることです。この手の詐欺の原型として、19世紀の「スペインの囚人」詐欺があります。詐欺師は、人違いのために囚われの身になっている裕福な囚人の代理人を装って、身分証明と保釈のためのお金を出してほしいともちかけて、莫大な財産から金銭的なお礼を約束します。詐欺師は被害者(カモ)の強欲と共感という感情につけこむのです。

こうした攻撃のリスクは、(形態を問わず)金品を受領するために費用を前払いすることを求める見知らぬ人からの要求に応えないことで軽減できます。うますぎる話や出来過ぎた話は詐欺の可能性が高いです。多くの場合要求内容や文面の一部をGoogleで検索すれば、詐欺の内容がわかります。スパムフィルターも、このようなタイプのメールを見分けてブロックするように訓練することができます。

サインアップ
あらゆるCloudflareプランで実現するセキュリティとスピード

フィッシングは大規模な攻撃キャンペーンのどの位置付けにあたるか?

一部のフィッシング攻撃は、できるだけ多くの人から個人情報を収集することを単に目的としています。攻撃者は、収集した情報を使用して、ユーザーアカウントを乗っ取ったり、IDを盗んだりすることができます。あるいは、その情報を闇市場で最高額の入札者に売却することもできます。

フィッシング攻撃の中には、高度標的型攻撃(APT)と呼ばれる攻撃を行う集団から大規模な攻撃の一部として行われるものもあります。企業の機密情報にアクセスしたり、ランサムウェアを感染させたり、その他の方法で企業を侵害しようとするAPTは、まず標的とする企業の従業員のアカウントを奪うことを目的としたフィッシングキャンペーンから始める場合があります。一度侵入口を得ると、さまざまな手法を用いて企業のネットワークにさらに深く侵入することができます(このプロセスは「ラテラルムーブメント」と呼ばれます)。多くの悪名高いサイバー攻撃は、非常に単純なフィッシングメールを発端としています。

スピアフィッシングとは?

このタイプのフィッシングは、特定の個人や団体を標的としたものであることからスピアフィッシング(魚突き)と呼ばれています。特定の標的に関する詳細情報や購入情報を収集することで、攻撃者は特化した詐欺を仕掛けることができます。現在、このタイプが最も効果的なフィッシングです。

クローンフィッシングとは?

クローンフィッシングとは、被害者をだまして悪意のあるWebサイトやファイルを開くようにさせるために、以前に送信された正規のメールを模造して、リンクや添付ファイルを変えるものです。たとえば、元の添付ファイルと同じファイル名を持つ悪意のあるファイルをメールに添付してから、模倣したメールアドレスを使用してメールを再送信することで、元の送信者から送付されているように見せかけます。攻撃者は、元のメールの信頼性を悪用して、被害者に行動を起こすよう促します。

ホエーリングとは?

企業内の経営幹部や特権ユーザーを標的とする攻撃には、「ホエーリング」という用語が一般的に使われます。これらの攻撃では、法的な通知や経営に関わる重要事項など、受け取った人が思わず対応してしまいそうな内容が使われます。また、内容は非常に個別に作り込まれており、社内の別の幹部や取引先など、信頼できる人物になりすまして接触してくることが多いのが特徴です。

複数経路を使用したフィッシング

潤沢なリソースを持つ攻撃者は、複数経路から同時にフィッシングキャンペーンを仕掛ける可能性があります。攻撃者はメールだけでなく、テキストメッセージ、電話、ソーシャルメディアなどから標的に連絡を取ってきます。さらに生成AIモデルを使用することで、攻撃者はメールの文面から信頼される人物のディープフェイクまで、必要なコンテンツを簡単に作り出すことができます。この記事のマルチチャネルフィッシングに関する記事では、ゼロトラストセキュリティがこのような攻撃から組織を守るためにどのように役立つかを説明します。

Cloudflareは、フィッシング攻撃から組織を守るのにどのように役立つか?

フィッシングは、様々な攻撃ベクトルから発生する可能性がありますが、その中でも最も大きなものの一つに電子メールがあります。多くのメールプロバイダーは、フィッシングメールを自動的にブロックしようとしますが、それでもユーザーに届いてしまうことがあるため、メールセキュリティは重要な関心事となっています。

幸いなことに、メールがフィッシング攻撃の一部であることを示すわかりやすい兆候はいくつもあります。フィッシングメールの見極め方をご覧ください。

さらに、Cloudflare Email Securityは、インターネットをクロールしてフィッシングインフラを調査し、フィッシング活動を事前に特定する、高度なフィッシング対策を提供しています。Cloudflare Email Securityの仕組みはこちらをご覧ください