フィッシング攻撃は、高度にデジタル化された世界における標的型攻撃です。この攻撃は、個人と組織に対する持続的な脅威となっています。スピアフィッシング攻撃は、特に懸念されるこれらの種類のサイバー犯罪のサブセットのひとつです。しかし、スピアフィッシングとは正確にはどのようなもので、これらの攻撃を阻止することはできるのでしょうか。
スピアフィッシングの定義
フィッシングはメール、SMS、または電話によって実行されるサイバー攻撃を表す一般的な用語です。特に標的型フィッシング攻撃は、スピアフィッシングと呼ばれます。端的に言えば、これは、特定の個人または企業を標的として高度にパーソナライズされたサイバー攻撃です。通常、これらの攻撃は、スピアフィッシングメールを介して実行されます。このメールは、受信者からは正規のメールであるように見え、機密情報を攻撃者と共有するよう受信者に促します。スピアフィッシング攻撃の目標は通常、ログイン資格情報やクレジットカード情報など情報を盗むことですが、その一部は、デバイスにマルウェアを感染されることができるよう設計されています。多くの場合、ある種の国家の支援を受けたハッカーやハクティビストがスピアフィッシング詐欺の加害者です。ただし、個人のサイバー犯罪でも、 IDの盗難や金融詐欺の実行、株価の操作、スパイ活動、または政府、私企業もしくは個人に転売するための機密データの盗難を目的として、このような攻撃を行います。
スピアフィッシング詐欺が標準的なフィッシング攻撃より成功の確率が高くなる理由は、攻撃者が目的の標的について、広範な調査を実施することにあります。これらの情報をもとに、ソーシャルエンジニアリングのテクニックを駆使し、ターゲットが正規の電子メールやリクエストを受け取っていると思わせるような、特別にカスタマイズされた攻撃を仕掛けるのです。その結果、最高経営責任者のような組織内の高い地位にあるターゲットでさえ、安全だと思っていた電子メールを開いてしまうことがあります。このようなうっかりミスが、サイバー犯罪者が標的のネットワークを攻撃するために必要なデータを盗むことを可能にします
スピアフィッシング攻撃の仕組み
スピアフィッシング詐欺のステップは、5つあります。これらは以下の通りです。
- 攻撃の目標を設定する
- 事前調査によって標的を選定する
- 標的の最終候補者リストを特定し、これらを徹底的に調査する
- 収集した情報とソーシャルエンジニアリング技術を使用して、スピアフィッシングメールを作成する
この標的型攻撃が機能するのは、スピアフィッシングメールには受信者の生活に親近感を与えるからです。攻撃者は、受信者の仕事、生活、友人、家族に関する詳細情報をできるだけ多く入手するために、多大な時間と労力を費やします。フィッシング詐欺師は、FacebookやLinkedInなどのプラットフォーム上でインターネットやソーシャルメディアプロファイルを注意深く調べることで、メールアドレス、電話番号、友人のネットワーク、家族と取引相手、よく行く場所、および勤め先の会社と役職、オンラインでショッピングするサイト、使用している銀行サービスなどの情報を見つけ出すことができます。攻撃者は、これらすべての情報を使用して、潜在的な標的に関する広範なプロファイルを構築し、ソーシャルエンジニアリング技術を使用してスピアフィッシングメールを作成します。このメールはパーソナライズされているほか、日常的に連絡を取り合っている個人や企業から、事実と思われる情報が含まれているため、正規のメールのように見えます。
このメールはたいてい、一定の詳細情報とともにすみやかに返信するよう受信者に要求したり、正規のサイトに偽装したWebサイトにこれらの詳細情報を入力する必要があるリンクが記載されていたりします。たとえば、このメールのリンクにより、受信者は銀行やお気に入りのeコマースサイトの偽のWebサイトに誘導され、アカウントにログインするよう仕向けられる場合があります。この時点で、攻撃者は、ログインの詳細情報やパスワードを盗むことができるようになります。また、メールには添付ファイルやリンクが含まれており、受信者がこれをダウンロードまたはクリックすると、デバイスにマルウェアがインストールされることもあります。これにより、攻撃者はこれを使用して、必要な情報を盗んだり、コンピューターをハイジャックしたりして、ボットネットと呼ばれる巨大なネットワークに編成します。ボットネットを使用すると、サービス拒否(DDoS)攻撃を実行できます。
ただし、スピアフィッシング攻撃が、すべてのインターネットユーザーやソーシャルメディアプロファイルを標的にするわけではありません。スピアフィッシングには標準的なフィッシングより多くの労力が必要であるため、サイバー犯罪者はたいてい、より価値の高い標的を探し求めます。多くの場合、攻撃者は、自動アルゴリズムを使用して、インターネットやソーシャルメディアを注意深く調べることで、パスワードやPINなどの特定の情報を探し出し、スピアフィッシング攻撃が成功する確率がより高く、価値が高い個人を特定します。
これらの詐欺は非常に高度化しているため、一般的なユーザーが対処するのはほぼ不可能になっています。このため、スピアフィッシングのサイバーセキュリティ対策に万全を期すことはできませんが、攻撃の仕組みを理解し、どのような徴候に注意すべきかを学ぶことは、攻撃を回避するのに役立ちます。
スピアフィッシング詐欺の特定
スピアフィッシングを防ぐ方法のひとつは、フィッシング詐欺師が攻撃を成功させるために用いるさまざまなテクニックを理解することです。これにより、個人と企業の従業員がスピアフィッシング詐欺に備えて警戒できるようになります。以下のいずれかの危険信号とともにメールを受信した場合、このメールを慎重に扱うことが重要です。
- このメールは、切迫感やパニックを煽ることを目的として設計されています。会社の管理職からのものであると詐称し、一刻を争う対策を実施するためにログイン情報が至急必要であると伝える場合があります。
- 文面は、受信者に対策をとるよう駆り立てる、恐怖や罪悪感などの感情を引き起こすことを目的として作成されています。
- このメールアドレスは、正しくないと思われたり(あるいはドメインが正しくなかったり)、名前の形式が異常であったりします。
- 特に大手企業や銀行からのメールでは、明らかなスペルミスや文法上の誤りがあります。
- 機密情報や個人情報を求めてきます。
- スペルミスがあるか形式が正しくないリンクは、リンクの上にカーソルを合わせたときに宛先のアドレスと一致しません。
- 特に異常なファイル名を持つ添付ファイルが添付されています。
- ログイン資格情報の期限が切れそうになっているため、メール内のリンクを使用して直ちに変更する必要がある、などのもっともらしい内容が記載されています
スピアフィッシングとフィッシングの違い
これらは両方ともサイバー攻撃の一種ですが、スピアフィッシング攻撃がフィッシング攻撃とどう違うのか理解することが重要です。どちらもサイバー犯罪者が機密の個人情報を共有するようユーザーを誘導するために使用されますが、基本的に、スピアフィッシング攻撃は、目的の標的に合わせてパーソナライズされた標的型攻撃であるのに対し、フィッシング攻撃は、ユーザーをだまして共有できる機密データであればどのようなデータでも「フィッシング」することを目的とした広範な攻撃です。
フィッシング攻撃には通常、一般的な電子メールを使用し、受信者にパスワードやクレジットカード情報などの個人データを共有させようとします。フィッシング詐欺師は、IDの盗難や金融詐欺などの悪意のある手段のためにこの情報を使用します。重要なことは、フィッシング攻撃は、受信者に合わせていない点です。サイバー犯罪者は基本的に、運任せで、質(成功の確率がより高い可能性がある高度な技術を使用したフィッシングメールの作成)よりも量(大量のフィッシングメールの送信)を追求します。通常、これらのメールは、大手企業(銀行やeコマースストアなど)に偽装し、受信者をだましてデータを共有したりデバイスにマルウェアをインストールしたりするよう促す悪意のあるリンクが含まれています。
反対に、スピアフィッシング詐欺は、目的の被害者に合わせてパーソナライズされた、高度な標的型攻撃です。スピアフィッシングメールには特定の受信者に関する詳細情報が含まれ、特にたいていは受信者が慣れ親しんだ個人または組織から送られてくるため、スピアフィッシングメールの方がより本物であるように見えます。このため、サイバー犯罪者は、スピアフィッシング攻撃を開始するために多大な時間と労力を投資する必要がありますが、成功する確率はより高くなります。
標的型フィッシング攻撃の呼称については、スピアフィッシングだけでなくホエーリングとビジネスメール詐欺(BEC)という2つの特別な分類があります。
ホエーリング攻撃は、フィッシング詐欺とスピアフィッシング詐欺に似た多くの類似点を持つ3つ目のタイプの攻撃です。ホエーリングは特に、最高幹部、取締役、有名セレブ、政治家などの知名度が高い個人を標的とします。また、この攻撃には、金融情報、機密情報、その他の部外秘情報を企業や組織から盗みだそうとするものであり、関係機関組織に重大な経済的損失や信頼失墜を引き起こす危険性があります。
フィッシング攻撃の最終タイプであるBECは、企業の従業員になりすまして組織に対する金融詐欺を実施します。場合によっては、メールが最高幹部からのものであると詐称し、下位の従業員に詐欺的な請求書に対して支払わせたり、「経営幹部」に資金を送金させたりします。また、BECは、メール詐欺の形式をとる場合もあります。この場合、攻撃者は、従業員のメールをハイジャックし、偽の業者の請求書に対して支払わせたり、偽の経営幹部へ金銭や機密情報を送信させたりします。
スピアフィッシングを防止する方法
スピアフィッシングは巧妙な方法で実行されるため、多くの場合、これらの攻撃を防止するには、従来のフィッシングのサイバーセキュリティでは十分ではありません。このため、これらを検知するのがますます困難になっています。たった一度の単純なミス1つが、深刻な結果がもたらされる可能性があります。これは、標的が個人、政府、企業、または非営利団体のいずれであるかは関係ありません。しかしながら、このような攻撃が蔓延し、その個人化が巧妙化しているにもかかわらず、個人または組織がスピアフィッシング防止のために実施できる対策は数多くあります。これらの対策によってスピアフィッシングの脅威が完全になくなるわけではありませんが、セキュリティの層を厚くすることで、攻撃の可能性を低くすることができます。以下は、スピアフィッシングを防ぐためのヒントです。
- パスワードの変更を求めたり疑わしいリンクが含まれたりするメールなどの疑わしいメールに関して、定期的なチェックを実施する。
- 仮想プライベートネットワーク(VPN)を使用して、すべてのオンラインアクティビティを保護および暗号化する。
- ウイルス対策ソフトウェアを使用して、すべてのメールをスキャンして、悪意のある可能性があるメールの添付ファイル、リンク、またはダウンロードがないか確認する。
- メールソースの真実性を確認する方法を学習する。
- URLやWebサイトを検証して悪意のあるリンクを開かないようにする方法を学習する。
- メール内のリンクをクリックする代わりに、組織のWebサイトに独自にアクセスし、必要なページを検索する。
- すべてのソフトウェアが最新状態であることを確認し、最新のセキュリティパッチを実行する。
- オンラインで共有する個人の詳細情報が多すぎないよう注意し、必要に応じてソーシャルメディアのプロファイルを確認し、フィッシング詐欺師によって使用される可能性がある情報をすべて削除し、プライバシー設定が最高レベルに設定されていることを確認する。
- 各種アカウントに対して複雑なパスワードを作成し、これらを定期的に変更するなど、パスワードマネージャーを使用し、スマートなパスワード習慣を実践する。
- 可能な場合、多段階認証や生体認証を有効にする。
- メールの送信元が疑わしい場合、それを送信したかどうか、および求められている情報をリクエストしたかどうかを確認するために個人または組織に連絡する。
- 企業は、従業員がこれらの攻撃のリスクと軽減する方法を認識するよう徹底するために、セキュリティ意識啓発トレーニングを実施する。
- 組織は、疑わしいメールを識別してこれに対処する方法に関して従業員をトレーニングするために、定期的なフィッシングシミュレーションを実施する。
スピアフィッシング攻撃は不可避ではない
大半のインターネットユーザーは基本的にフィッシングについて理解していますが、スピアフィッシングと標準的なフィッシングの違いが何であるかを理解することが重要です。スピアフィッシングメールには膨大な調査を必要とするソーシャルエンジニアリング技術が使用されているため、この攻撃は目的の標的に合わせて高度にカスタマイズされています。したがって、スピアフィッシング攻撃の方が、標準的なフィッシング攻撃よりも成功する確率がはるかに高くなります。これらの攻撃は常にリスクをもたらしますが、これらの軽減を試みることは可能です。疑わしいメール内でどのような徴候があるのかを知り、VPNとウイルス対策ソフトウェアを定期的に使用すること、および疑わしいリンクや添付ファイルに警戒することが、スピアフィッシング攻撃を回避する上で役に立ちます。
カスペルスキー プレミアム + 1年間無料のカスペルスキー セーフキッズの導入をご検討ください。カスペルスキー プレミアムは、AV-TESTのアワードを5つ受賞しています(最高の保護、最高のパフォーマンス、最速VPN、Windows認定のペアレンタルコントロール機能、Android向けペアレンタルコントロール機能の最高評価)。
関連製品とサービス
関連記事やリンク
