スピアフィッシングとは?手口とその対策について解説
スピアフィッシングという言葉をご存じでしょうか?
スピアフィッシングは不特定多数をターゲットとする通常のフィッシングとは異なり、特定の個人や組織をターゲットとしたフィッシング攻撃であり、標的型攻撃の手法の1つです。
近年では、スピアフィッシングの手口がより巧妙化しており、その被害も増加傾向になっています。そのため、企業としてもこうした脅威があることを認識し、対策方法を理解しておく必要があります。
本コラムでは、スピアフィッシングの手口とその対策についてわかりやすく解説します。
目次
スピアフィッシングとは?
スピアフィッシングは、特定の個人や組織を狙った巧妙なフィッシング攻撃のことです。特定の個人や組織に関する情報を収集し、狙いすました攻撃を行うため通常のフィッシングよりも攻撃が成功する確率が高いという特徴があります。
そもそも、フィッシング攻撃は1990年代頃から見られるようになったと言われており、この頃はまだ不特定多数を狙った通常のフィッシング攻撃が主流でした。
その後、2000年代に入り企業や政府機関を狙う、標的を絞ったスピアフィッシング攻撃が見られるようになったと言われています。
また、スピアフィッシングは特定の個人や組織をターゲットとしておりますが、その中でも企業の経営幹部などの上層部をターゲットとしたホエーリングと呼ばれる攻撃もあります。
ホエーリングを行う攻撃者は、スピアフィッシングより大規模な金銭的利益や機密情報を狙っており、メールの内容などもより洗練されている傾向があります。
なお、ホエーリングは大きな獲物を狙うことからホエーリング(捕鯨)と呼ばれています。
フィッシング攻撃の報告件数は増加傾向
フィッシング対策協議会によれば、2023年1月から12月までのフィッシング報告件数は過去最高の1,196,390件となっており、2019年の55,787件と比較すると約20倍と驚異的に増加しています。
(参考:フィッシング対策協議会 フィッシングレポート 2024)
(参考:フィッシング対策協議会 月次報告書を元に当社にて作成 https://www.antiphishing.jp/report/monthly/)
このように、フィッシングの報告件数は年々増加しており、今後も増加していくことが想定されます。そのため、通常のフィッシングに注意することはもちろん、巧妙な手口を使って情報の窃取を狙うスピアフィッシングについては、企業の機密情報漏洩や個人情報の窃取などの深刻な問題を引き起こす可能性が高いため、特に警戒が必要です。
フィッシングとスピアフィッシングの違い
通常のフィッシングが不特定多数をターゲットにした攻撃に対し、スピアフィッシングは特定の個人や組織を狙ったアプローチです。この手法では、ターゲットに関する詳細な情報を収集し、信頼性の高いメッセージを送ることで、メール受信者を騙そうとします。
スピアフィッシングの流れと最新の手口
スピアフィッシングの流れ
ここでは一般的なスピアフィッシングの流れについてご紹介します。
1. ターゲットの選定
攻撃者は、特定の個人や組織を標的として選びます。
2. 情報収集
攻撃者は、標的となる個人や組織の情報を収集しながらどのような攻撃が有効なのか計画を練っていきます。収集される情報としては、ソーシャルメディアやWebサイト、企業情報などの公開情報から収集します。
3. 偽装メールの作成
収集した情報を基に、信頼できる個人や組織からのメッセージに見せかけた偽装メールを作成します。
4. メールやSMSの送信
作成した偽装メールを標的に送信します。その際、マルウェアを組み込んだ添付ファイルや不正なウェブサイトへ誘導するリンクを設定しておきます。
5. 攻撃の実行
標的がメールの添付ファイルを開いたり、リンクをクリックすると、マルウェアが実行されたり、攻撃者の用意したフィッシングサイトに誘導されます。
6. データの窃取など
マルウェアが端末にアクセスして重要データを窃取したり、フィッシングサイトで入力された情報を攻撃者が不正に入手します。
スピアフィッシングを見抜くために
個人を標的としたこの手口は、従来のフィッシングよりも巧妙であるため、気づくことが困難である場合が多いです。しかしながら、以下のような点に注意することで、攻撃であると見抜ける可能性があります。
1. 差出人のメールアドレスを確認する
本当に信頼できる送信元からのメールなのか、疑わしい点がないか、メールアドレスに少しでも違っている箇所がないかなどについて注意深く確認しましょう。
2. メールの内容に怪しい点はないか
メール本文に機密情報の要求や緊急性を促す文言が含まれている場合には注意が必要です。また、誤字や不自然な言い回しがないかも合わせて確認するよう意識しましょう。
3. URLや添付ファイルに問題はないか
メール内のリンクにカーソルを合わせて、URLが正規のものかどうかを確認する。怪しいメールの添付ファイルは不用意に開かないなどの基本も徹底しましょう。
最近では、URLの代わりにQRコードが利用されるケースもあるため、注意しましょう。
4. 疑わしい場合は電話等で確認する
少しでも怪しいと感じた場合は、情報の正確性を他の手段(電話、公式ウェブサイトなど)で二重にチェックするのも有効な対策になります。 その他、メール本文に自身の個人情報が含まれすぎているような場合もスピアフィッシングの可能性があるため、注意しましょう。
企業が実施すべきスピアフィッシング対策とは?
スピアフィッシング対策としては、従業員への啓発活動が有効な対策となります。
定期的なセキュリティ教育を通じて最新のフィッシングメールの手口や、その対策について教育したり、攻撃メール訓練等による実践的なトレーニングも従業員がリアルな攻撃を体験することができ、警戒心を高めてもらうのに有効です。
ALSOKでは「ALSOK 標的型攻撃メール訓練」というメール訓練サービスを提供しています。スピアフィッシングは通常のフィッシングよりも手口が巧妙であり、簡単に気づくことは難しいですが、こうした攻撃があることを事前に知っていれば受信者自身で必要な対策をとることが可能です。
定期的にメール訓練を実施し、フィッシングメールに対する従業員のリテラシーを向上させ、情報漏えいなどのリスクを未然に防止できるような体制を作っていきましょう。
まとめ
スピアフィッシングは通常のフィッシングと異なり、個人の情報を調べ上げた上で実施される非常に巧妙な攻撃です。
一昔前であればメール本文に不自然な言い回しが含まれていたため、見分けることも比較的容易でしたが、最近ではかなり自然なメール文面で送られてくるケースも増えてきています。
また、攻撃メールとクラウドストレージサービスなどの正規サービスから送られるメールを組み合わせた手口も出てきているため、利用者側で詐欺だと見分けることは非常に難しいです。
誰もがスピアフィッシングの標的になる可能性があるため、適切に対応できるよう定期的な訓練を通じて従業員のセキュリティ意識を高めておきましょう。
ALSOKでは情報セキュリティの無料相談も行っておりますので、ぜひご気軽にご相談ください。
※「QRコード」は、株式会社デンソーウェーブの登録商標です。