フィッシング（）は、インターネットのユーザから経済的価値がある情報（例：ユーザ名、パスワード、クレジットカード情報）を奪うために行われる詐欺行為であり、典型的には、とにかく信頼されている主体になりすましたEメールによって偽のWebサーバに誘導することによって行われる。語源については諸説ある。"fishing"（釣り）のハッカー的なスラング（Leet的言い換えと呼ばれる意図的な同音別表記）であるが、fがphに変化しているのは"（フリーキング、音声によって電話網を意図的に誤作動させる不正行為）からの類推であると欧米では考えられている。しかし、日本国内のメディアでは"sophisticated"（洗練された）との合成語であるとする見解が主流である。このほか、"password harvesting fishing" の略とする説もある。インターネット上で様々なサービスが提供されるにつれ、年々増加と高度化の傾向が顕著である。フィッシング詐欺は、主にアメリカ国内を中心に被害が急増し、例として10万ドルをフィッシングサイトに振り込んでしまった被害者がいる。イギリスのメッセージラボ社の調査によれば、2003年9月には月間約280件の発見であったのが、2004年3月には月間約22万件にまで増えているといい、迷惑メールの新たな形態としても目立つようになってきている。日本でも2004年12月に国内初のフィッシング詐欺の被害が確認されたと警察庁が明らかにした日本でのフィッシング詐欺の例として、2005年11月に千葉銀行を騙り各企業へCD-ROMを郵送し、そのCD-ROMをパソコンに入れるとフィッシングサイトに勝手に繋がり金を騙し取られるという事件が発生した。また2012年10月には国内各大手銀行のネットバンキングサービスを開くと、常駐したマルウェアが偽のログイン画面をポップアップして暗証番号などを入力させる手口で、不正に預金を引き出される被害が発生した近年ではYahoo!等のポータルサイトにおいて、インターネットオークション会員やウォレット等の様々なサービスが、ひとつのIDとパスワードに集約されて提供されている事情もあり、日本国内でもこれらのアカウント乗っ取りを目的としたフィッシング詐欺と見られる無差別送信のメールや、偽のサイトが報告されている。この場合、アカウントが乗っ取られれば、自分の名前で嘘のオークション出品物が出されたり、正当な出品者から出品物を騙し取るのに利用されたり、二次的にオークション詐欺の片棒を担がされる事態に陥るおそれがある。この行為は、悪意の第三者が会員制ウェブサイトや有名企業を装い、「ユーザーアカウントの有効期限が近づいています」や「新規サービスへの移行のため、登録内容の再入力をお願いします」などと、本物のウェブサイトを装った偽のウェブサイトへのURLリンクを貼ったメールを送りつけ、クレジットカードの会員番号といった個人情報や、銀行預金口座を含む各種サービスのIDやパスワードを獲得することを目的とする。また、DNS書き換えなどにより、正しいURLを入力しているのに偽のウェブサイトに誘導されてしまうファーミングという類似手法もある。その結果として架空請求詐欺や預金の引き下ろし・成り済ましなどに利用され、多重に被害者となってしまう、または間接的に加害者になってしまうケースも目立ってきている。詐欺行為が行われる形態に応じて、比喩的な用語が用いられる。フィッシング詐欺のうち、特定の個人、団体を標的としたものをスピアフィッシング（spear phishing 魚突き）と呼ぶそれらのうちビジネスにおける幹部を標的とするものがホエーリング（whaling 捕鯨）と呼ばれることがある以前に送信された正規のEメールを用いて行われるものが、クローンフィッシング（clone phishing）と呼ばれることがあるフィッシングにおいては電子メール中に偽のWebページを指し示すリンクがURLで記述されるが、本物のWebページに良く似た綴りのURLや、本物のドメインと同じ記述をサブドメインに含めたURLがほとんどである。本物のWebサイトのオープンなリダイレクト (HTTP)を悪用して細工することもありうる本物のWebページのテキストや画像のみならずアドレスバーも模造されてしまう。その際にはJavaScriptやFlashあるいは画像が用いられる。攻撃者は、ユーザが信頼している本物のWebサイトにある脆弱性も攻略する懸念がある。クロスサイトスクリプティングと呼ばれる攻撃によって、その本物のWebサイトと模造サイトが連携して動作するようになり、あたかも本物のように機能するようしてしまう2005 年にフィッシング対策協議会が設立された。警察にサイバー犯罪相談窓口が設けられているほか、IPA 情報セキュリティ安心相談窓口などがある。この詐欺行為の被害を防止する上で勧められる対策としては、以下の方法が挙げられる。また、サイトによっては、「そのようなメールを配信することはない」と明言していたり、対策方法を公開している所もあるので、サイトの姿勢、セキュリティ対策などに着目することも予防策の一つとなる。なお、不幸にもこのフィッシング詐欺が疑われる物に対して、IDやパスワード等を教えてしまった場合には、電話やメール（早いほど良いので、電話の方が望ましい）でサービス提供元に相談し、サービス停止およびパスワード変更といった対策を取るべきである。信販会社や銀行が情報確認する場合は書面で行われ、ウェブで確認することはない。しかし近年では、特に脆弱性が放置されたままのようなDNSサーバに干渉し、真正のホスト名に対して偽のIPアドレスを返すように動作を変更することにより、本来のサイトに対して有効なリンクを辿っている（すなわち、ブラウザのアドレスバーには正しいアドレスが表示されている）にもかかわらず、攻撃者の設置した予期しないサイトに誘導されるファーミングが指摘されている。同じ原理の攻撃として、近年急速に普及した無線LANのホットスポットに紛れ、偽のDNSサーバに接続するよう設定された罠のアクセスポイントを設置する手口も成立しうる。また、技術的可能性としてはルーターをクラックしてインターネット上でルーティングされるIPパケットを恣意的に制御する悪用の可能性、およびそれのフィッシングへの応用の可能性もある。さらに、マルウェアの中には、パソコン内の通信制御（ルーティングテーブル、ネームリゾルバAPI等、あるいは単なるhostsファイル）を乗っ取ったり書き換えたりし、リンク先とは違うサイトを開かせるトロイの木馬も発見されており、実際に特定の銀行サイトに対する操作のみに反応して、所定のフィッシング詐欺サイトへと誘導する物も確認されている。またhostsファイルを書き換えて、偽のDNSサーバを参照させ、偽のサイトへ誘導しようと試みるワームの存在も確認されているため、コンピュータウイルス対策を含めて、これらフィッシング詐欺への警戒を行う必要がある。

出典:wikipedia