送信元を偽装したメールを送ってユーザーを偽のWebページへ誘導し,そのWebページに個人情報を入力させて不正に入手する詐欺行為のこと。2004年末ごろから国内の有名企業をかたったフィッシング・メールが出現し,被害者も出ている。
典型的なフィッシングの手口は,以下のようになる。
ユーザーに,銀行やクレジットカード会社などの実在する会社を名乗ったメールが届く。このメールは,フィッシング詐欺犯が不特定多数に送ったメール(フィッシング・メール)であり,送信元アドレスを偽装している(図1)。
フィッシング・メールの本文には,「以下のリンク先のWebページで○○の手続きをお願いします」などと書かれている。さらに,「手続きを怠ると今後サービスを受けられなくなります」などという文章でユーザーをだまして,メールに記述したリンクをクリックさせて偽のWebサイトへ誘導する(図2)。
ユーザーがメール本文に記載されたリンクをクリックすると,ブラウザが起動してWebページが表示される。このWebページは,ユーザーが普段目にする企業のログイン・ページを偽装している。こうして,ユーザーに偽のWebページにアクセスしていることを気づかれないようにする(図3)。
偽サイトと気づかないユーザーは,Webページに個人情報を入力してしまう。すると,それらの情報がフィッシング詐欺犯に送られる。ユーザーは,正しく手続きが済んだと思っており,これが詐欺だとは気づかない(図4)。
フィッシングのつづりは,魚釣りのFishingではなく「Phishing」である。これは,メールをエサにしてユーザーをだます(釣り上げる)ところが語源になっている。また,メールやWebサイトの内容を巧みに偽装していることから,「洗練された」という意味の「sophisticated」を組み合わせたという説もある。
