トピックス 2020.09.29 フィッシングよりさらに深刻？スピアフィッシングの手口と予防策をご紹介！

このフィッシング攻撃の発展形として「スピアフィッシング（標準型メール攻撃）」と呼ばれる方法が存在します。スピアフィッシングも元々は魚釣りの用語で、銛（もり）を使って魚を取る漁法を意味するものでした。

サイバー犯罪におけるスピアフィッシングは、フィッシングよりもターゲットを絞り、被害もより深刻になるといわれています。

今回はこの「スピアフィッシング」の手口と予防策についてご紹介します。

スピアフィッシングの特徴としては、フィッシングよりも範囲を狭めて、精度の高い攻撃を仕掛けてくることがあげられます。

通常のフィッシング攻撃のように無作為にメールを配信するのではなく、何らかの傾向のあるメールアドレスのリストを利用したり、メールアドレスの持ち主や登録先などに関する情報を集めるなどして、大きな効果を得られる可能性の高いメールアドレスを狙ってピンポイントにメールを送るのが、スピアフィッシングの特徴です。

また、送られてくるメールの内容も、選択したメールアドレスのリストの興味を持ちそうな話題を取り上げ、関係性のある組織を装うなど、よりメールを開きやすいように工夫されています。

例えば、社内の人間からの業務連絡に見せかけたり、取引のある銀行からの連絡を装ったりと実際にあり得そうなメールのやり取りを行うことで、攻撃の成功率をあげています。

スピアフィッシングでは、攻撃対象が予め特定されているため、狙われる情報も重要度の高いものである確率が高くなっています。

例えばシステムを利用するための認証情報などがターゲットとされた場合、情報が窃取されたことで発生する被害も大きなものになりやすいのです。

2015年に公表された日本年金機構の125万人にも上る個人情報漏洩の際の手口も、スピアフィッシングだったといわれています。

最近では2020年7月に、電話を使ったスピアフィッシングにより、著名人のアカウントを含む大量のアカウントがTwitterから流出する問題がアメリカで発生しました。

流出したアカウントを悪用して行われたビットコイン詐欺の被害総額は1000万円を超え、米司法省は犯人は17歳の少年を含む3名と特定して追訴するなど、さらに大きなニュースとなっています。

スピアフィッシングにはメールが利用されることが多く、信ぴょう性が高く見えるメールの送信元を名乗り、内容も実際にありそうなものを装うため、通常のフィッシングに比べてクリック率が高いといわれています。

根本的な対策は、利用者が注意してメールアドレスや内容、添付されているURLに怪しい点がないか確認するしかありません。

URLをクリックする際には、ドメインが不正なものでないことを確認してからクリックするように気を付けましょう。

また、メールサーバーで利用可能なドメインをチェックしたり、制限するセキュリティ対策ソフトなどもあるため、利用を検討してみてください。

OSやセキュリティソフトの最新化も、可能な限り行っておくことが大切です。

スピアフィッシングの脅威について、業務上メールを頻繁に利用している人は普段のメールに対するチェックが甘くならないように気をつけなければなりません。

また、業務で決済情報などの重要な情報を扱う人は、ターゲットとされた場合の被害が大きくなりかねないためより注意が必要です。

スピアフィッシングは、誰でもターゲットとなり得る可能性があるということを今一度肝に命じておきましょう。

【関連リンク】

・年金機構の125万件情報流出　職員、ウイルスメール開封（日本経済新聞）
https://r.nikkei.com/article/DGXLASDG01HCD_R00C15A6000000?s=1

・ツイッターのハッキング、「高校卒業したて」の少年ら3人訴追（BBC）
https://www.bbc.com/japanese/53609855

・Twitter says spear-phishing attack on employees led to breach（ロイター、英文）
https://www.reuters.com/article/us-twitter-cyber/twitter-says-spear-phishing-attack-on-employees-led-to-breach-idUSKCN24W089

TEXT：セキュリティ通信 編集部
PHOTO：iStock