スピアフィッシングとは?定義とリスク
フィッシング攻撃は、高度にデジタル化された世界における標的型攻撃です。これは、個人と組織に対する持続的な脅威です。スピアフィッシング攻撃は、特に懸念されるこれらの種類のサイバー犯罪のサブセットです。しかし、スピアフィッシングとは正確にはどのようなもので、これらの攻撃を阻止することはできるのでしょうか?
スピアフィッシングの定義
フィッシングはメール、SMS、または電話によって実行されるサイバー攻撃を表す一般的な用語です。しかし、中には、標的型フィッシング攻撃は何と呼ばれているのかと考える人もいます。その答えはスピアフィッシングです。端的に言えば、これらは、特定の個人または企業を標的として高度にパーソナライズされたサイバー攻撃です。通常、これらの攻撃は、スピアフィッシングメールを介して実行されます。このメールは、受信者からは正規のメールであるように見え、機密情報を攻撃者と共有するよう受信者に促します。スピアフィッシング攻撃の目標は通常、ログイン資格情報やクレジットカード情報など情報を盗むことですが、その一部は、デバイスにマルウェアを感染されることができるよう設計されています。多くの場合、政府の支援を受けたハッカーやハクティビストがスピアフィッシング詐欺の加害者です。ただし、個人のサイバー犯罪も、 IDの盗難や金融詐欺の実行、株価の操作、スパイ活動、または政府、私企業もしくはその他興味を持っている個人に転売するための機密データの盗難を目的としてこれらの攻撃を行います。
スピアフィッシング詐欺が標準的なフィッシング攻撃より成功の確率が高くなる理由は、攻撃者が目的の標的について広範な調査を実施することにあります。攻撃者は、発見した情報を使用してソーシャルエンジニアリング技術を使用することで、標的を欺いて正規のメールとリクエストを受け取っていると信じ込ませる並外れて巧妙な攻撃を作り出すことができます。結果として、組織内の最高幹部などであっても、安全だと信じて気づかないうちにメールを開いてしまいます。この種の不注意なミスにより、攻撃者が標的のネットワークを攻撃するために必要なデータを盗むことが可能になります。
スピアフィッシング攻撃の仕組み
スピアフィッシング詐欺が成功するために不可欠なステップは5つあります。これらは以下の通りです。
- 攻撃の目標を定義する
- 予備調査を介して標的を選択する
- 標的の最終候補者リストを特定し、これらを徹底的に調査する
- 収集した情報とソーシャルエンジニアリング技術を使用してスピアフィッシングメールを作成する
これらの標的型攻撃が機能するのは、スピアフィッシングメールには受信者の生活との間に親近感があるからです。攻撃者は、受信者の仕事、生活、友人、家族に関する詳細情報をできるだけ多く入手するために多大な時間と労力を費やします。フィッシング詐欺師は、FacebookやLinkedInなどのプラットフォーム上でインターネットやソーシャルメディアプロファイルを注意深く調べることで、メールアドレス、電話番号、友人のネットワーク、家族と取引相手、よく行く場所、および勤め先の会社と役職、オンラインでショッピングするサイト、使用している銀行サービスなどの情報を見つけ出すことができます。攻撃者は、これらすべての情報を使用して、潜在的な標的に関する広範なプロファイルを構築し、ソーシャルエンジニアリング技術を使用してスピアフィッシングメールを作成できます。このメールはパーソナライズされているほか、しょっちゅう連絡を取り合っている個人や企業から送られてきたものであり、本物だと思われる情報が含まれているため、正規のメールのように見えます。
このメールはたいてい、一定の詳細情報とともにすみやかに返信するよう受信者に要求したり、正規のサイトに偽装したWebサイトにこれらの詳細情報を入力する必要があるリンクが記載されていたりします。たとえば、このメールのリンクにより、受信者は銀行やお気に入りのeコマースサイトの偽のWebサイトに誘導され、アカウントにログインするよう仕向けられる場合があります。この時点で、攻撃者は、自身の悪意のある手段のためにログインの詳細情報やパスワードを盗むことができるようになります。ただし、場合によっては、メールには添付ファイルやリンクが含まれており、受信者がこれをダウンロードまたはクリックすると、デバイスにマルウェアがインストールされます。これにより、攻撃者はこれを使用して、必要な情報を盗んだり、コンピューターをハイジャックして、 ボットネットと呼ばれる巨大なネットワークに編成します。ボットネットを使用すると、サービス拒否(DDoS)攻撃を実行できます。
ただし、必ずしもすべてのインターネットユーザーやソーシャルメディアプロファイルがスピアフィッシングに適した標的であるわけではありません。スピアフィッシングには標準的なフィッシングより多くの労力が必要であるため、サイバー犯罪者はたいてい、より価値の高い標的を探し求めます。多くの場合、攻撃者は、自動アルゴリズムを使用して、インターネットやソーシャルメディアを注意深く調べることで、パスワードやPINなどの特定の情報を探し出し、スピアフィッシング攻撃が成功する確率がより高く、価値が高い個人を特定します。
これらの詐欺は非常に高度化しているため、平均的なユーザーが対処するのはほぼ不可能になっています。これが、スピアフィッシングに対する絶対に安全なサイバーセキュリティ対策は存在しないものの、これらの攻撃の仕組みを理解し、注意すべき徴候を学習することが、スピアフィッシングの攻撃を回避する上で役に立つ可能性がある理由です。
スピアフィッシング詐欺の特定
攻撃を確実に成功させるために、フィッシング詐欺師が採用する様々な技術を理解することが、スピアフィッシングを防止する方法を学習する上での鍵の1つです。これにより、個人と企業の従業員がスピアフィッシング詐欺に備えて警戒できるようになります。以下のいずれかの危険信号とともにメールを受信した場合、このメールを注意深く扱うことが重要です。
- このメールは、切迫感やパニックを煽ることを目的として設計されています。このメールは、会社の管理職からのものであると詐称し、一刻を争う対策を実施するためにログイン情報が至急必要であると伝える場合があります。
- 文面は、受信者に対策をとるよう駆り立てる、恐怖や罪悪感などの感情を引き起こすことを目的として作成されています。
- このメールアドレスは、正しくないと思われたり(あるいはドメインが正しくなかったり)、名前の形式が異常であったりします。
- 特に大手企業や銀行からのメールでは、明らかなスペルミスや文法上の誤りがあります。
- 機密情報や個人情報を求めてきます。
- スペルミスがあるか形式が正しくないリンクは、リンクの上にカーソルを合わせたときに宛先のアドレスと一致しません。
- 特に異常なファイル名を持つ添付ファイルが添付されています。
- ログイン資格情報の期限が切れそうになっているためメール内のリンクを使用して迅速に変更する必要がある、などのもっともらしい話が記載されています。
スピアフィッシングとフィッシングの違い
これらは両方ともサイバー攻撃の一種ですが、スピアフィッシング攻撃がフィッシング攻撃とどう違うのか理解することが重要な場合があります。これらは両方とも、サイバー犯罪者が機密の個人情報を共有するようユーザーを誘導するために使用されますが、基本的に、スピアフィッシング攻撃は、目的の標的に合わせてパーソナライズされた標的型攻撃であるのに対し、フィッシング攻撃は、ユーザーをだまして共有できる機密データであればどのようなデータでも「フィッシング」することを目的とした広範な攻撃です。
フィッシング攻撃には通常、パスワードやクレジットカード情報などの個人データを共有するよう受信者に強制することを試みる一般的なメールが含まれます。フィッシング詐欺師は、IDの盗難や金融詐欺などの悪意のある手段のためにこの情報を使用します。重要なことは、フィッシング攻撃は、受信者に合わせて一切調整されていない点です。サイバー犯罪者は基本的に、運任せで、品質(成功の確率がより高い可能性がある高度な技術を使用したフィッシングメールの作成)よりも数量(大量のフィッシングメールの送信)を追求します。通常、これらのメールは、大手企業(銀行やeコマースストアなど)に偽装します。また、これらのメールには、受信者をだましてデータを共有したりデバイスにマルウェアをインストールしたりするよう促す悪意のあるリンクが含まれます。
反対に、スピアフィッシング詐欺は、目的の被害者に合わせて高度にパーソナライズされた高度な標的型攻撃です。スピアフィッシングメールには特定の受信者に関する詳細情報が含まれ、特にたいていは受信者が慣れ親しんだ個人または組織から送られてくるため、スピアフィッシングメールの方がより本物であるように見えます。このため、サイバー犯罪者は、スピアフィッシング攻撃を開始するために多大な時間と労力を投資する必要がありますが、成功する確率はより高くなります。
標的型フィッシング攻撃の呼称については、スピアフィッシングだけでなくホエーリングとビジネスメール詐欺(BEC)という2つの特別な分類があります。
ホエーリング攻撃は、フィッシング詐欺とスピアフィッシング詐欺と似た多くの類似点を持つ3つ目のタイプの攻撃です。ホエーリングは特に、最高幹部、取締役、有名セレブ、政治家などの知名度が高い個人を標的とします。また、これらの攻撃には、金融情報、機密情報、その他の部外秘情報を企業や組織から盗もうとして、関与する組織に重大な経済的損失や信頼失墜を引き起こすために高度にパーソナライズされたメールも使用されます。
フィッシング攻撃の最終タイプであるBECは、企業の従業員になりすまして組織に対する金融詐欺を実施します。場合によっては、メールが最高幹部からのものであると詐称し、下位の従業員に詐欺的な請求書に対して支払わせたり、「経営幹部」に資金を送金させたりします。また、BECは、メール詐欺の形式をとる場合もあります。この場合、攻撃者は、従業員のメールをハイジャックし、ベンダーに偽の請求書に対して支払わせたり、その他の従業員に、経営幹部へ金銭や機密情報を送信させたりします。
スピアフィッシングを防止する方法
スピアフィッシングは並外れて優れた方法で実行されるため、多くの場合、これらの攻撃を防止するには従来のフィッシングのサイバーセキュリティでは十分ではありません。このため、これらを検知するのがますます困難になっています。簡単なミス1つだけで、標的にとって重大な結果がもたらされる可能性があります。これは、標的が個人、政府、企業、または非営利団体のいずれであるかは関係ありません。これらの攻撃(およびそのパーソナライズの高度化)の蔓延にもかかわらず、個人や組織がスピアフィッシングを防止するために実施できる対策が多数存在します。これらによって攻撃の脅威が完全に駆除されるわけではありませんが、多くの場合、攻撃が起こる可能性を下げるセキュリティ層が追加されます。以下に、スピアフィッシングを防止する方法に関する専門家のヒントを示します。
- パスワードの変更を求めたり疑わしいリンクが含まれたりするメールなどの疑わしいメールに関する定期的なチェックを実施する。
- 仮想プライベートネットワーク(VPN)を使用して、すべてのオンラインアクティビティを保護および暗号化する。
- ウイルス対策ソフトウェアを使用して、すべてのメールをスキャンして、悪意のある可能性があるメールの添付ファイル、リンク、またはダウンロードがないか確認する。
- メールソースの真実性を確認する方法を学習する。
- URLやWebサイトを検証して悪意のあるリンクを開かないようにする方法を学習する。
- メール内のリンクをクリックする代わりに、組織のWebサイトに独自にアクセスし、必要なページを検索する。
- すべてのソフトウェアが最新状態であることを確認し、最新のセキュリティパッチを実行する。
- オンラインで共有する個人の詳細情報が多すぎないよう注意し、必要に応じてソーシャルメディアのプロファイルを確認し、フィッシング詐欺師によって使用される可能性がある情報をすべて削除し、プライバシー設定が最高レベルに設定されていることを確認する。
- 各種アカウントに対して複雑なパスワードを作成し、これらを定期的に変更するなど、パスワードマネージャーを使用し、スマートなパスワード習慣を実践する。
- 可能な場合、多段階認証や生体認証を有効にする。
- メールの送信元が疑わしい場合、それを送信したかどうか、および求められている情報をリクエストしたかどうかを確認するために個人または組織に連絡する。
- 企業は、従業員がこれらの攻撃のリスクやこれらを軽減する方法を認識するよう徹底するために、セキュリティ意識啓発トレーニングを実施できる。
- 組織は、疑わしいメールを識別してこれに対処する方法に関して従業員をトレーニングするために定期的なフィッシングシミュレーションを実施できる。
スピアフィッシング攻撃は不可避ではない
大半のインターネットユーザーは基本的にフィッシングについて理解していますが、スピアフィッシングと標準的なフィッシングの違いが何であるかを理解することが重要です。スピアフィッシングメールには膨大な調査を必要とするソーシャルエンジニアリング技術が使用されているため、これらの攻撃は目的の標的に合わせて高度にカスタマイズされています。したがって、これらの攻撃の方が、標準的なフィッシング攻撃よりも成功する確率がはるかに高くなります。これらの攻撃は常にリスクをもたらしますが、これらの軽減を試みることは可能です。疑わしいメール内で注意すべき兆候のタイプを把握するための手続きを踏むこと、 VPNとウイルス対策ソフトウェアを定期的に使用すること、および疑わしいリンクや添付ファイルに警戒することが、スピアフィッシング攻撃を回避する上で役に立ちます。
カスペルスキー プレミアム + 1年間無料のカスペルスキー セーフキッズを入手してください。カスペルスキー プレミアムは、AV-TESTのアワードを5つ受賞しています(最高の保護、最高のパフォーマンス、最速VPN、Windows認定のペアレンタルコントロール機能、Android向けペアレンタルコントロール機能の最高評価)。
関連記事やリンク
フィッシング攻撃を受けました。どうすればいいですか?(英語)
メールがハッキングされました - 次に何をすべきでしょうか?
ソーシャルエンジニアリングとは?ソーシャルエンジニアリング攻撃を回避する方法
関連製品とサービス
スピアフィッシングとは?定義とリスク
Kaspersky
