ITパスポート 2011年 秋期 問87
問題文
フィッシングの説明として、最も適切なものはどれか。
選択肢
ア:ウイルスに感染したコンピュータを、そのウイルスの機能を利用することによってインターネットなどのネットワークを介して外部から不正に操作する。
イ:偽の電子メールを送信するなどして、受信者を架空のWebサイトや実在しているWebサイトの偽サイトに誘導し、情報を不正に取得する。(正解)
ウ:利用者が入力したデータをそのままブラウザに表示する機能がWebページにあるとき、その機能の脆弱性を突いて悪意のあるスクリプトを埋め込み、そのページにアクセスした他の利用者の情報を不正に取得する。
エ:利用者に気づかれないようにPCにプログラムを常駐させ、ファイルのデータやPC操作の情報を不正に取得する。
🔒 解説は解答すると表示されます
フィッシングの説明【ITパスポート 解説】
正解の理由
フィッシングとは、偽の電子メールを送って受信者を偽サイトに誘導し、パスワードやクレジットカード番号などの情報をだまし取る手口です。選択肢イは「偽の電子メール」「架空のWebサイトや実在の偽サイトに誘導」「情報を不正に取得する」というフィッシングの重要要素すべてを含んでいます。これがフィッシングの典型的な定義です。
(補足:phishingは英語のfishing(釣り)をもじった語で、餌で魚を釣るように“情報を釣る”ことから来ています)
解法ステップ
- 問題文で「偽の電子メール」や「偽サイトに誘導」といったキーワードを探す。
- 「情報を不正に取得する(盗む)」という目的が明記されている選択肢を優先する。
- 他の選択肢が示す手口(ウイルスで遠隔操作、Webの脆弱性を突く、常駐型で情報取得)と比較して、社会的なだまし(ソーシャルエンジニアリング)を使うものがフィッシングであると判断する。
選択肢別の誤答解説
-
ア: ウイルスに感染したコンピュータを外部から不正に操作する。
→ これは「ボット(感染して遠隔操作される端末)」や「リモートコントロール型マルウェア(遠隔操作ウイルス)」の説明です。フィッシングではなく、マルウェアによる遠隔操作に当たります。 -
イ: 偽の電子メールを送って偽サイトに誘導し、情報を不正に取得する。
→ これが正解です。電子メールやメッセージでだまして情報を取る「フィッシング(phishing)」に該当します。 -
ウ: Webページの機能の脆弱性を突いてスクリプトを埋め込み、他利用者の情報を取得する。
→ これは XSS(クロスサイトスクリプティング、英: Cross‑Site Scripting:Webページに悪意あるスクリプトを埋め込む攻撃)の説明です。フィッシングとは攻撃手法が異なります。 -
エ: 利用者に気づかれないようPCに常駐させ、ファイルや操作情報を不正に取得する。
→ これはスパイウェア(spyware:利用者の情報を密かに集めるマルウェア)やキー ロガー(キーボード入力を記録するソフト)の説明です。これもフィッシングとは別です。
よくある誤解
-
「フィッシングは必ずウイルスを使う」
→ 誤りです。フィッシングは主に偽メールや偽サイトという“だます”手法(ソーシャルエンジニアリング)で情報を奪います。必ずしもマルウェアを伴いません。 -
「URLに銀行名があれば安全」
→ 誤りです。偽サイトは似たURLやサブドメイン、URL短縮を使います。見た目だけで安全と判断しないことが大事です。 -
「フィッシングはメールだけ」
→ 部分的に誤りです。メールだけでなくSMS(携帯電話のショートメッセージ、英: Short Message Service:SMS)やSNSのメッセージ、電話(ボイスフィッシング)など手口は広がっています。
補足コラム
フィッシングへの具体的対策(実務で役立つ簡単チェック):
- 送信者アドレスを確認する:差出人名は本物でも、メールアドレスが微妙に違うことが多いです。
- リンクは長押し・ホバーで先を確認:スマホなら長押し、PCならマウスを乗せると本当のURLが見えます。
- HTTPS(HyperText Transfer Protocol Secure:通信を暗号化する仕組み)であっても完全に安全ではない。証明書の表示やドメイン名も確認する。
- 二要素認証(2FA、Two‑Factor Authentication:ログイン時にパスワード以外の認証を追加)を有効にする。被害のリスクを大きく下げられます。
- 不審なメールは開かず、添付ファイルやリンクをクリックしない。企業や銀行を名乗る場合は公式サイトや公式連絡先で確認する。
簡単な見分け方(メールの特徴):
- 緊急性をあおる文面(「ただちに確認」など)
- 個人情報を要求する内容
- 不自然な日本語やスペルミス
- 見慣れない差出人アドレスや怪しいリンク
FAQ
Q1: フィッシングとスパム(迷惑メール)の違いは?
A1: スパムは大量送信される迷惑メールの総称です。フィッシングは「だまして情報を盗む」ことが目的のスパムの一種と考えられます。すべてのスパムがフィッシングではありませんが、フィッシングはしばしばスパムメールで配布されます。
A1: スパムは大量送信される迷惑メールの総称です。フィッシングは「だまして情報を盗む」ことが目的のスパムの一種と考えられます。すべてのスパムがフィッシングではありませんが、フィッシングはしばしばスパムメールで配布されます。
Q2: スマホでもフィッシング被害にあいますか?
A2: はい。SMSやSNS、ブラウザやアプリ経由で偽サイトに誘導されることがあります。スマホは画面が小さいためリンク先を確認しにくく、注意が必要です。
A2: はい。SMSやSNS、ブラウザやアプリ経由で偽サイトに誘導されることがあります。スマホは画面が小さいためリンク先を確認しにくく、注意が必要です。
Q3: フィッシングにあってしまったらどうする?
A3: まずパスワードを変更します。次に金融情報が漏れた場合は銀行やカード会社に連絡してカード停止や監視を依頼します。必要なら警察や情報セキュリティ担当にも報告してください。
A3: まずパスワードを変更します。次に金融情報が漏れた場合は銀行やカード会社に連絡してカード停止や監視を依頼します。必要なら警察や情報セキュリティ担当にも報告してください。
Q4: 公式サイトのログインページそっくりのページはどう見分ける?
A4: URLのドメイン(例: example.com の部分)を確認してください。似た名前や余計なサブドメイン、不要な文字が入っていないかをチェックします。ブラウザの証明書情報も参考になりますが、完全な判定にはならないため慎重に。
A4: URLのドメイン(例: example.com の部分)を確認してください。似た名前や余計なサブドメイン、不要な文字が入っていないかをチェックします。ブラウザの証明書情報も参考になりますが、完全な判定にはならないため慎重に。
関連キーワード: フィッシング、ソーシャルエンジニアリング、スパイウェア、ボットネット、XSS(クロスサイトスクリプティング)、メール詐欺、二要素認証、HTTPS、SMSフィッシング、偽サイト検出

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

