フィッシングとソーシャルエンジニアリングの見破り方
フィッシングメール、偽サイト、電話詐欺、ソーシャルエンジニアリングの手口を識別するための実践的なチェックリストとAI活用法。
プレミアムコースコンテンツ
このレッスンはプレミアムコースの一部です。Proにアップグレードすると、すべてのプレミアムコースとコンテンツを利用できます。
- すべてのプレミアムコースを利用
- 1,000以上のAIスキルテンプレート付き
- 毎週新しいコンテンツを追加
🔄 前回のおさらい: レッスン2でパスワードマネージャー、ユニークなパスワード、二要素認証を学びました。ここではパスワードを盗み出す最も一般的な手法——フィッシングとソーシャルエンジニアリング——の見破り方を学びます。
フィッシングとは
フィッシングは、信頼できる組織や個人を装ったメッセージで、パスワード、クレジットカード番号、個人情報を騙し取る攻撃です。
フィッシングの種類
| 種類 | 手法 | 例 |
|---|---|---|
| メールフィッシング | 偽メールでリンクをクリックさせる | 「Amazonアカウントが停止されました」 |
| スミッシング | SMSで偽リンクを送る | 「宅配の不在通知。こちらで確認→URL」 |
| ビッシング | 電話で情報を引き出す | 「銀行のセキュリティ部門です」 |
| スピアフィッシング | 特定の個人を狙った攻撃 | あなたの上司を装ったメール |
フィッシングメールの5つのチェックポイント
- 送信者アドレス — @以降のドメインは正規か?
- リンク先URL — ホバーして実際のURLを確認
- 緊急性 — 「今すぐ対応しないと…」は赤信号
- 個人情報の要求 — 正規の組織はメールでパスワードを聞かない
- 添付ファイル — 予期しない添付は開かない
ソーシャルエンジニアリング
技術ではなく人間の心理を攻撃する手法です。
悪用される心理:
- 権威 — 「IT部門からです」「警察からです」
- 緊急性 — 「今すぐ対応しないとアカウントが消えます」
- 恐怖 — 「不正アクセスが検出されました」
- 好奇心 — 「あなたの写真が公開されています」
- 互恵性 — 「無料ギフトを受け取るにはクリック」
✅ 確認クイズ: 上司から「緊急です。このリンクからファイルを確認してください」というメールが来た場合の最善の対応は?→メール内のリンクをクリックする前に、別の手段(電話、対面、別のチャットツール)で上司に直接確認する。上司のメールアドレスが乗っ取られている可能性があります。
まとめ
- フィッシングメールの最も信頼できるチェックは送信者アドレスのドメイン確認——表示名は簡単に偽装できる
- ソーシャルエンジニアリングは技術的防御を迂回し人間の心理を攻撃する——意識とトレーニングが最大の防御
- 不審なメールのリンクは一切クリックせず、公式サイトに直接アクセスするか電話で確認——本物でも偽物でも安全に対応できる
- 「緊急」「恐怖」「権威」を使うメッセージは特に注意——これらはソーシャルエンジニアリングの典型的な手口
次のレッスン: デバイスのセキュリティ——スマートフォン、ノートPC、タブレットのセキュリティ設定を適切に構成する方法を学びます。
理解度チェック
まず上のクイズを完了してください
レッスン完了!