フィッシング (Phishing) とは、実在する企業や組織を装った偽のウェブサイト、メール、SMS などを使って、個人情報やログイン情報を騙し取る詐欺手法です。「Fishing (釣り)」と「Sophisticated (洗練された)」を組み合わせた造語とされています。フィッシング対策協議会の報告によると、日本国内のフィッシング報告件数は 2023 年に 100 万件を超え、前年比で約 1.2 倍に増加しています。
電話番号に関連するフィッシングには複数の手法があります。SMS を使ったスミッシングは、宅配不在通知や銀行のセキュリティ警告を装って偽サイトに誘導します。電話で直接個人情報を聞き出すビッシング (Voice Phishing) は、発信者番号偽装と組み合わせて銀行や警察を装うケースが増えています。さらに、フィッシングで入手した電話番号を使ってSIM スワップ攻撃に発展するケースもあり、被害が連鎖的に拡大する危険性があります。
フィッシングの手口は年々巧妙化しています。正規サイトと見分けがつかない偽サイト (URL が 1 文字だけ異なるなど)、実在する担当者名を騙るメール、SSL 証明書 (鍵マーク) を取得した偽サイトなど、従来の「怪しいサイトを見分ける」アプローチだけでは防ぎきれなくなっています。
被害を防ぐための具体的な対策として、不審なリンクをクリックしない、メールや SMS のリンクではなく公式アプリやブックマークから直接アクセスする、二段階認証を設定する、パスワードマネージャーを使う (偽サイトでは URL が異なるため自動入力されず気づける) などが有効です。最も強力な対策はパスキー (FIDO2) の導入で、フィッシングサイトでは認証が成立しない仕組みのため、技術的にフィッシングを無効化できます。振り込め詐欺の防止策も併せて確認しましょう。