sg security_measures unauthorized_access data_leakage sg-security-measures
まず結論
- フィッシングとは、偽のメールやWebサイトで利用者をだまし、認証情報などを入力させて盗み取る攻撃です。
- SG試験では「だまして入力させる攻撃かどうか」を見抜けるかが問われます。
直感的な説明
銀行から「不正アクセスがありました。今すぐ確認してください」というメールが届き、リンクをクリックすると本物そっくりの画面が出てきてID・パスワードを入力してしまう…。
これがフィッシングです。
👉 「本物に見せかけて入力させる」のがポイントです。
定義・仕組み
フィッシング(phishing)は、実在する企業やサービスを装い、利用者を偽サイトに誘導して情報を盗む攻撃です。
基本の流れは次の通りです。
- 攻撃者が偽のWebサイトを用意
- メールなどでURLを送りつける
- 利用者がリンクをクリック
- 偽サイトでID・パスワードなどを入力
- 情報が攻撃者に送られる
重要なのは
👉 「ユーザー自身に入力させる」点です。
どんな場面で使う?
よく使われる場面
- 銀行・クレジットカードのログイン情報の盗取
- ECサイトのアカウント乗っ取り
- 社内システムの認証情報の奪取
業務でのポイント
- 社員教育(不審メールの見分け)
- URL確認の習慣化
- 多要素認証の導入
👉 人の判断ミスを狙う攻撃なので、教育が重要
よくある誤解・混同
❌ DDoS攻撃との混同
- DDoS:サーバを止める攻撃
- フィッシング:情報をだまし取る攻撃
👉 目的が全く違う(停止 vs 盗取)
❌ マルウェア感染との混同
- マルウェア:プログラムを感染させる
- フィッシング:入力させて盗む
👉 「入力させるかどうか」で見分ける
❌ ボットとの混同
- ボット:遠隔操作するためのプログラム
- フィッシング:だまして情報を取得する手口
👉 ボットは手段、フィッシングは攻撃手法
SG試験でのひっかけ
- 「メールで誘導」+「偽サイト」+「入力させる」
→ この組み合わせならフィッシングと判断
確認問題(SG試験対策)
次のうち、フィッシングの説明として最も適切なものはどれか。
A. 偽メールや偽サイトで利用者をだまし、ID・パスワードなどを入力させる攻撃である。 B. 端末内のファイルを暗号化し、復旧のために金銭を要求する攻撃である。 C. DNSキャッシュに偽情報を入れ、名前解決結果を偽る攻撃である。 D. パスワード候補を総当たりで試す攻撃である。
▶ クリックして答えと解説を見る(ここを開く)
正解:A
解説
- A:利用者をだまして認証情報などを入力させる点が本質です。
- B:ランサムウェアの説明です。
- C:DNSキャッシュポイズニングの説明です。
- D:ブルートフォース攻撃です。
👉 判断ポイント フィッシングは「技術で突破」より「利用者をだまして入力させる」攻撃。
まとめ(試験直前用)
- フィッシング=偽サイトに誘導して入力させる攻撃
- 「ユーザーが自分で入力する」が最大の特徴
- DDoS(停止)・マルウェア(感染)と区別する
- メール+リンク+入力フォーム → フィッシングと判断
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】
- アクセス制御(認可)とは?認証との違いを整理【SG試験】