実在する企業・組織が送ったように見せかけた電子メールを使って、クレジットカード番号などの個人情報を盗んだりする詐欺のこと。巧みな文章でユーザーを「釣る(fishing)」ことから生まれた造語。
例えば、「××カードです。キャンペーンの当選おめでとうございます。本人確認のため、クレジットカード番号と有効期限を返信してください」といった電子メールを送り、相手に個人情報を答えさせる。著名企業のWebサイトを装った偽サイトにアクセスさせ、そこで個人情報を入力させる場合も多い。
米国では昨年からフィッシングの被害が増加。昨年夏には、米政府が警告を発するなど、被害が深刻化している。最近は、日本でも被害が報告されはじめた。事態を憂慮した経済産業省は7月7日、インターネット利用者向けに注意を喚起した。
フィッシングを試みる詐欺師(フィッシャー)は一般に、メールの送信元アドレス(From欄)を著名企業の名前に変更し、相手を信用させようとする。From欄はメール・ソフトの設定で、自由に変更できる。次に情報入力用のWebサイトを偽装する。メールの中に著名企業を装った偽サイトへのリンクを埋め込んでおき、受信者を誘導する。
多くの場合、フィッシャーは誘導先の偽サイトを、著名企業のサイトそっくりに作成する。それでも偽サイトのURLが送信元を偽装した著名企業の社名とまったく無関係だと見破られやすい。そこでフィッシャーはあの手この手を使って本物に見せかけようとする。
よくある手口は、誘導したページを開く際、Webブラウザのアドレス・バーを表示しないようにするもの。これはJavaScriptで簡単にできる。
Webブラウザのセキュリティ・ホールを突いて、実際にアクセスしているサイトとは異なるURLをブラウザのアドレス・バーに表示させる手口がある。アドレス・バーに偽のURLを表示してしまうセキュリティ・ホールが相次いで発見されているため、こうしたトリックが可能になる。最初に送り付けるメールをHTML形式にして、画面上は著名企業の正しいWebサイトのURLをリンク先として表示し、実際は偽サイトに誘導する手口も過去に報告されている。
著名企業のWebサイトと似たURLを使う手口は、人間の勘違いに期待するもの。例えば、送信元アドレスを「日経BP」と偽装した上で、リンク先を正規のURL「http://www.nikkeibp.co.jp/」と酷似した、「http://www.nikeibp.co.jp/」に設定する。
これ以外にもフィッシングの手法は多数あり、今後も人間心理のスキを突いた新しい手口が生まれる可能性が高い。送信者名やWebサイトのデザインを鵜呑みにせず、「怪しいURLはクリックしない」、「個人情報を安易に入力しない」といったインターネット利用の原則に立ち返ることが被害を防ぐ。
