気付かれないようにIDを盗んで悪用
クレジットカード番号やネットバンクのパスワードといった「お金になりそうな個人情報」を盗む「フィッシング詐欺」が2003年以降、世界中で大きな被害をもたらしている。
フィッシング詐欺とは、有名な企業・組織をかたった偽メールと偽サイトでユーザーをだまし、個人情報を盗むネット詐欺のこと(図1)。
詐欺犯はまず、有名企業(組織)のWebサイトそっくりの偽サイトを構築。そしてその企業をかたって、偽サイトへのリンク(URL)を記載した偽メールを送信する(図1(1))。
メール中のリンクをクリックすると偽サイトに誘導され(図1(2))、偽のログイン画面などがブラウザー上に表示。その画面で入力した個人情報は、すべて詐欺犯へと送信される(図1(3))。
このように、偽メールをえさにして、ユーザーを偽サイトに“釣り上げる”ため、「フィッシング」と呼ばれている。ただし英語のつづりは、魚釣りの「fishing」と区別するために、「phishing」とされている。
なお、フィッシング詐欺の偽メールは、不特定多数に送信されることが多いが、特定のユーザーだけを狙って送られることもある。後者については、特に「スピアフィッシング」と呼んで、区別する場合がある。
フィッシング詐欺対策の業界団体であるアンチ・フィッシング・ワーキング・グループ(APWG)には、世界中のユーザーやメーカーなどから、偽メールや偽サイトの報告が毎日、山のように寄せられている。それによれば、多少の増減があるものの、少なくとも毎月2万種類以上の偽メールと、2万件以上の偽サイトが報告されているという(図2)。