スピアフィッシングとは?

フィッシング詐欺の中には、誰かが引っかかることを期待して不特定多数の人々に送りつけるものもありますが、スピアフィッシング攻撃では、非常に説得力を持たせて単一のターゲットに焦点を絞ります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • スピアフィッシングの定義
  • フィッシング、スピアフィッシング、ホエーリングの違いについて説明する
  • スピアフィッシングとホエーリングの防止策を概説する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

スピアフィッシングとは?

フィッシングとは、被害者を騙して機密情報を共有させることを目的とした攻撃の総称ですが、スピアフィッシング(標的型フィッシング)とは、個人、組織、企業など単一の標的を狙ったフィッシング攻撃のことです。

スピアフィッシングは、攻撃者が被害者に関する情報(多くの場合、インターネット上で公開されている情報)を使用して、説得力のある策略を立てることができるため、特に効果的です。

スピアフィッシング攻撃とはどのようなものか?

スピアフィッシングの一般的な手口は、攻撃者が権威ある人物を装うことです。これは、人々は相手が権威ある人物であれば反応する可能性が高いためです。

以下はその一例です。

ジョーはメアリーというCEOの秘書をしています。ある日、メアリーが休暇で海外にいるとき、ジョーのもとにメアリーから緊急のメールが届きます。メールによると、彼女の荷物と携帯電話が盗まれたとのこと。お金もパスポートもないので、ホテルを予約して帰りの飛行機を買うために、至急PayPalの認証情報を送ってほしいという内容です。Joeはこの雇用主からの悲惨なメッセージを見て、要求された情報をすぐに送信してしまうかもしれません。

このような上司からの「困っていてお金が必要だ」と言う依頼は、よくあるスピアフィッシングの台本です。攻撃者は、メアリーのメールを偽装し、正しいメールを見つけようとしてジョーの名前とイニシャルの組み合わせを何十通りも変えてメールを送信している可能性があります。また、攻撃者は、Twitterでメアリーをフォローすることで、メアリーの休暇の計画を知った可能性もあります。これらのツールをすべて組み合わせることで、攻撃者は非常に説得力のある詐欺を考案することができます。

この顕著な実例が2016年に発生しました。攻撃者はSnapchatのCEOを装い、従業員に給与の機密情報を渡すように説得することに成功しました。

スピアフィッシング攻撃では、漏洩したデータの情報を活用することもできます。もう一つの例をご覧ください。

スティーブは大手オンラインショップでパソコンを購入しました。しかしその数週間後、そのショップでデータ漏出が発生しました。クレジットカード番号やパスワードなどの機密データはハッシュで保護されていたものの、顧客の電子メールアドレスや注文履歴が流出しました。

数日後、スティーブのもとに新しく買ったコンピュータのメーカーから、そのモデルがリコールされることと、返金を受けるためのリンクが記載されたメールが届きました。このリンクを使用すると、スティーブはメーカーの偽サイトに誘導され、返金を受けるためにクレジットカード番号を入力する偽のフォームが表示されます。この攻撃者は、比較的害のないデータを使用してスティーブの信頼を得て、金融情報を渡すよう仕向けたのです。

スピアフィッシングとホエーリングの違いは?

ホエーリングとは、企業のトップや有名人など、非常に著名な被害者を標的とするスピアフィッシング攻撃のことです。ホエーリング攻撃はより巧妙になる傾向があり、多くの場合、攻撃者はまず、最終的な被害者に接触するために、「クジラ」(標的)の従業員など、より小さなターゲットに対してスピアフィッシング攻撃を行います。

例:

CEOのメアリーは休暇中に、ITチームの知人からメールまたは電話で、サイバー攻撃を受けていることを知らせる連絡を受け、会社のデータを確実に保護するために彼女の仕事用のコンピューターとアカウントへのアクセスを依頼されます。これは、攻撃者がメアリーの信頼を得るためにITチームを侵害し、認証情報を渡すように仕向けた可能性があります。

スピアフィッシングやホワイリングから身を守るには

スピアフィッシングには、ソーシャルエンジニアリングが含まれるため、この種の攻撃から身を守る確実な方法は存在しません。しかし、スピアフィッシングの試みを防ぎ、軽減するために、いくつかの予防措置をとることは可能です。そのいくつかを以下に示します。

  • 電話、チャット、電子メールでは、財務情報、パスワード、その他の機密情報を決して共有しない。
  • 信頼できる送信元からのメールであっても、リンクはクリックしない。URLはコピー&ペーストするか、手で入力してクロスサイトスクリプティング攻撃から保護する。
  • 重要なアカウントは二要素認証 (2FA)を有効にして、盗まれたログイン資格情報だけでは不十分となるようにする。
  • Zero Trust セキュリティポリシーを有効にして、侵入者がネットワークに自由にアクセスできないようにする。