最終更新日:2026年5月18日
sg sg-security-measures sg-security-management cyberattack authentication
まず結論
フィッシングとは、正規のサービスを装って利用者をだまし、ID・パスワードなどの認証情報を入力させる攻撃です。
SG試験では、単に「だます攻撃」と覚えるより、次のように整理すると判断しやすくなります。
- 偽メールやSMSで利用者を誘導する
- 偽サイトにID・パスワードを入力させる
- 入手した認証情報で不正ログインにつながる
不正アクセス禁止法の文脈では、フィッシングサイトでID・パスワードを入力させる行為は、識別符号の入力を不正に要求する行為として整理されます。
直感的な説明
フィッシングは、たとえるなら本物そっくりの受付を作って、利用者に鍵番号を書かせる行為です。
利用者は本物の窓口だと思って、IDやパスワードを入力してしまいます。
| フィッシングの要素 | たとえ |
|---|---|
| 偽メール | 本物っぽい案内状 |
| 偽サイト | 本物そっくりの受付 |
| ID・パスワード入力 | 鍵番号を書かせる |
| 不正ログイン | 盗んだ鍵番号で部屋に入る |
つまり、フィッシングの中心は、利用者をだまして認証情報を入力させることです。
定義・仕組み
e-Gov法令: 不正アクセス行為の禁止等に関する法律:e-Gov法令: 不正アクセス行為の禁止等に関する法律 フィッシングは、メール、SMS、Webサイトなどを使って、正規の企業やサービスを装い、利用者から重要な情報をだまし取る攻撃です。
狙われやすい情報には、次のようなものがあります。
- 利用者ID
- パスワード
- ワンタイムパスワード
- クレジットカード番号
- 口座情報
- 個人情報
典型的な流れは次のとおりです。
- 攻撃者が本物に似せたメールやSMSを送る
- 利用者を偽サイトに誘導する
- 利用者にID・パスワードなどを入力させる
- 攻撃者が入力された情報を入手する
- その情報を使って不正ログインや金銭被害につなげる
SG試験では、流れ全体よりも、どの段階の行為を問われているかを見分けることが大切です。
どんな場面で使う?
フィッシングは、利用者がよく使うサービスを装って行われます。
たとえば、次のような場面です。
- 銀行を装ったメール
- クレジットカード会社を装ったSMS
- 宅配業者を装った不在通知
- ECサイトを装ったログイン通知
- クラウドサービスを装ったパスワード再設定通知
- 社内システムを装った認証メール
よくある文面は、利用者を急がせるものです。
- アカウントが停止されます
- 不審なログインがありました
- 支払い情報を確認してください
- 本日中に手続きしてください
- パスワードを再設定してください
このように、フィッシングは焦らせて判断力を下げることが多い攻撃です。
不正アクセス禁止法との関係
フィッシングは、不正アクセス禁止法と関係します。
特に重要なのは、識別符号の入力を不正に要求する行為です。
識別符号とは、ID・パスワードなど、利用者を識別するための情報です。
| 行為 | 不正アクセス禁止法での見方 |
|---|---|
| 偽サイトでID・パスワードを入力させる | 不正要求 |
| 入力されたID・パスワードを入手する | 不正取得 |
| 入手したID・パスワードを保存する | 不正保管 |
| 入手したID・パスワードを第三者に渡す | 助長行為 |
| 入手したID・パスワードでログインする | 不正アクセス行為 |
フィッシングそのものを問われたときは、まず入力させる行為に注目します。
不正要求・不正取得・不正アクセスとの違い
フィッシングの問題では、次の違いがよく狙われます。
| 用語 | 中心になる行為 | 判断のポイント |
|---|---|---|
| 不正要求 | 入力させる | 偽サイト・偽メールで入力を求める |
| 不正取得 | 手に入れる | ID・パスワードを入手する |
| 不正保管 | 保存する | 入手した認証情報を保管する |
| 不正アクセス行為 | 使って入る | 他人のID・パスワードでログインする |
たとえば、同じフィッシングの流れでも、問われる行為によって答えが変わります。
| 問題文の表現 | 判断 |
|---|---|
| 偽サイトにID・パスワードを入力させる | 不正要求 |
| 入力されたID・パスワードを取得する | 不正取得 |
| 取得したID・パスワードをPCに保存する | 不正保管 |
| 取得したID・パスワードでログインする | 不正アクセス行為 |
SG試験では、フィッシング=不正アクセス行為とすぐに決めつけないことが大切です。
フィッシング対策
フィッシング対策は、利用者側と組織側の両方で考えます。
利用者側の対策
利用者側では、次の点が重要です。
- メール内のリンクを安易に開かない
- 公式アプリやブックマークからアクセスする
- URLやドメイン名を確認する
- 不自然な日本語や急がせる表現に注意する
- ID・パスワードを入力する前に送信元を確認する
- ワンタイムパスワードも他人に教えない
特に、メールのリンクから直接ログインしないことは実務でも有効です。
組織側の対策
組織側では、次の対策が重要です。
- 多要素認証を導入する
- フィッシング訓練を行う
- メールフィルタリングを行う
- SPF・DKIM・DMARCを設定する
- 不審なログインを監視する
- 利用者へ注意喚起を行う
- 相談・通報窓口を整備する
フィッシングは、技術だけで完全に防ぐのが難しいため、教育・運用・技術対策を組み合わせることが重要です。
よくある誤解・混同
誤解1:フィッシングはウイルス感染の攻撃である
フィッシングは、主に利用者をだまして情報を入力させる攻撃です。
もちろん、偽サイトや添付ファイルからマルウェア感染につながる場合もありますが、中心は認証情報や個人情報をだまし取ることです。
誤解2:フィッシングサイトの開設は、不正アクセス行為そのものである
偽サイトを作ってID・パスワードを入力させる行為は、まず不正要求として整理します。
そのID・パスワードを使ってログインした段階で、不正アクセス行為になります。
誤解3:ワンタイムパスワードなら盗まれても安全である
ワンタイムパスワードは使い捨てですが、リアルタイムで入力させて悪用される可能性があります。
そのため、ワンタイムパスワードも他人に入力させられたり、教えたりしてはいけません。
誤解4:URLがHTTPSなら安全である
HTTPSは通信の暗号化を示すものであり、サイト自体が本物であることを常に保証するわけではありません。
偽サイトでもHTTPSを使っている場合があります。
試験では、HTTPSだけで安全と判断しないことが大切です。
まとめ(試験直前用)
フィッシングは、正規のサービスを装い、利用者に認証情報などを入力させる攻撃です。
試験直前は、次の3点を押さえておきましょう。
- 偽メール・偽サイトで入力させる攻撃がフィッシング
- 入力させる段階は、不正要求として整理する
- 取得・保管・ログインは、それぞれ別の行為として切り分ける
特に、選択肢では「フィッシングサイトを開設して入力させる」とあれば、不正アクセス行為そのものではなく、不正要求を疑います。
判断軸の再確認(確認問題の前に)
- 目的を先に見る:この対策・用語は「予防」「検知」「対応」のどこを担うか。
- 対象を切り分ける:ネットワーク/端末/利用者/運用手順のどこに効くか。
- 選択肢の言い過ぎに注意:「必ず」「完全に」「不要になる」といった断定は誤りになりやすい。
確認問題
フィッシングに関する説明として、最も適切なものはどれか。
ア. 正規のサービスを装った偽サイトに誘導し、利用者にID・パスワードを入力させる攻撃である。
イ. 通信経路上でデータを盗聴し、送信内容を改ざんする攻撃である。
ウ. 大量の通信を送り、サーバを利用不能にする攻撃である。
エ. プログラムの弱点を突いて、メモリ上で不正なコードを実行する攻撃である。
回答と解説
正解は、**ア**です。 フィッシングは、正規のサービスを装った偽メールや偽サイトを使い、利用者にID・パスワードなどを入力させる攻撃です。 イは、中間者攻撃や盗聴・改ざんの説明に近いです。 ウは、DoS攻撃やDDoS攻撃の説明です。 エは、脆弱性を悪用した攻撃の説明です。 SG試験では、フィッシングを見たら、まず**だまして入力させる**という点に注目します。参考
- e-Gov法令検索「不正アクセス行為の禁止等に関する法律」
- https://laws.e-gov.go.jp/law/411AC0000000128