スピアフィッシング攻撃とは？ その防ぎ方

スピアフィッシングの定義

サイバーセキュリティの分野では、スピアフィッシングとはソーシャルエンジニアリングの手法を用い、個人やグループを狙って機密情報を引き出す攻撃です。対象者には以下の情報が狙われることがあります：

• 銀行情報（取引に利用される可能性がある）
• 顧客情報
• パスワード、暗証番号等

これらの重要情報へのアクセスは、攻撃者に優位性を与え、さらなる被害へと繋がります。 

例えば、銀行情報の不正利用は金銭的損失に直結します。成功する攻撃の基本は、本物らしいメールを用いる点にありますが、中には即時メッセージやSMSが使われる場合もあります。 

‍

実際のスピアフィッシング攻撃

このサイバー攻撃は、被害者をフィッシングすることで実施されるため、手口は非常に個別化されています。また、攻撃方法は対象者が悪意に気付かないよう工夫され、本物の依頼や返信のように見せかけられます。完璧かつ本物らしいスピアフィッシング攻撃を仕掛けるには、相当な労力と技術が必要です。 

攻撃の流れは次の通りです：

• 被害者の調査と特定

ハッカーが最初に行う基本的なステップは、徹底的な調査とターゲットの選定です。狙いやすい対象、例えば新入社員、定年退職者、デジタル脅威に不慣れな若年層などを見つけ出します。 

偽のSNSアカウントや、信頼できる企業の代表を装う手法で潜在的な被害者を探し、対象を騙すための特定情報を収集します。

必要な情報が得にくい場合、ハッカーはダークウェブの助けを借りることもあります。多くのハッカーは、盗んだデータをダークウェブ上で無料または低価格で流通させており、これらは過去あるいは最近の成功例から得られたものです。 

いずれにしても、スピアフィッシング攻撃を成功させるには、非常に詳細な顧客情報の取得が不可欠です。

• 個別化されたメッセージの作成

特定の個人やグループを選定し、どのように騙すかを検討した後、個人向けのメッセージ作成に進みます。メール、テキストメッセージ、インスタントやSNSメッセージなどの手段があり、特にメールが一般的です。

送信者はできるだけ個別感を出すよう努めます。例えば、新入社員がInstagramにシンガポールのクライアント訪問に選ばれたと投稿していれば、その情報を元に内容を作成することが考えられます。 

メール内には登録完了や訪問状況確認のリンクが含まれる場合があり、こうした個別かつ重要な情報が、本物らしさを増す効果をもたらします。攻撃者は、さらに本物風に見せるためにスプーフィング技術を用いることもあります。

• 犠牲者を引き込む

その後、メールは狙い通りの相手に送信され、被害者がハッカーの悪意に気付かず信頼した場合、攻撃は成功します。

攻撃者の意図によっては、被害者が重要な銀行情報を失ったり、デバイスにマルウェアがインストールされたり、場合によっては銀行残高が減少する可能性があります。個別化されたメールにより、被害者はスピアフィッシング攻撃を見抜けず、罠に嵌ります。

一例

2020年、なりすまし犯がJeff Bezosの公的イメージとTwitterの人気を利用し、人々を騙しました。熟練ハッカーが約45の信頼性の高いTwitterアカウントに侵入し、スピアフィッシングを利用したビットコイン詐欺を実行できたことが明らかになりました。

ハッカーはJeff Bezosのアカウントから、口座にビットコインが入ると投稿し、悪意あるリンクを添付しました。 

有名な青いチェックが付いたアカウントからのツイートであったため、多くの人が信じリンクをクリック。その結果、攻撃はあらゆる面で成功しました。ハッカーはITスタッフを装い、認証済みアカウントの情報を入手、Twitterを騙しました。リンクをクリックした人は貴重な情報を攻撃者に渡すことになりました。更なる調査で、ハッカーが電話を用いたスピアフィッシング手法で攻撃を仕掛けていたことが判明しました。 

これが唯一の例ではなく、他にも多くのスピアフィッシング事例が存在します。この攻撃は非常に一般的で、被害者に大きな損害を与えています。

‍

標準的なフィッシングやホエーリングとの違い

これらは密接な関連があるものの、同じ意味ではありません。違いを明確に理解することは、迅速な対策立案にとって非常に重要です。

スピアフィッシング vs フィッシング

いずれの攻撃も対象を誘導する手法は似ていますが、目的は異なります。標準的な手法は大量のメール送信によって成功率を高めますが、スピアフィッシングは厳選した対象にのみメールが送られます。

フィッシングのメールには個人情報が含まれませんが、スピアフィッシングのメールは個別に工夫され、個人情報が盛り込まれます。

スピアフィッシング vs ホエーリング

ホエーリングはスピアフィッシングの中でもさらに狭い手法で、対象はCFO、CEO、取締役、役員など、企業の最高意思決定者となります。スピアフィッシングも特定の対象を狙いますが、対象は必ずしも限定されません。

スピアフィッシングを守るためのポイント - ヒント

このサイバー攻撃は注意深さと専門的な手法を要するため、スピアフィッシング防止に有効な方法を以下にまとめます：

• サイバーセキュリティの意識向上

最も重要な対策は、スタッフにスピアフィッシングの影響を認識させることです。攻撃手口を周知させ、攻撃の兆候に即時対応できるようにすることが求められます。

• 2FA導入 

強固なパスワードだけではこの種の攻撃に十分対抗できません。2FAのような高度な手法により、二種類以上のログイン方法（一般的にはOTPや暗号トークン）が組み合わされ、パスワードが漏れても別のセキュリティ対策が働きます。

• アンチウイルスソフトの利用

メールを開く前に内容を目視で確認するのは難しいですが、アンチウイルスソフトの高度な検出技術が即時に解析します。自動でスパイウェアやマルウェアを見つけ、最良のものは即時通知も行います。

• 最適なパスワード管理ポリシーの採用

多くの人がパスワード管理に苦手意識を持つため、ハッカーはその隙を突きかかります。パスワード管理ソフトの利用、パスワードの共有禁止、生成ツールの活用、定期的な変更など、堅実なポリシーの実施が効果的です。

• メール認証システムの活用

前述のように、メールはスピアフィッシング攻撃で最も利用される手段です。そのため、メールの信頼性や安全性を確認できる認証システムの利用が推奨されます。

• 最新のソフトやアプリの利用

旧式またはレガシーなシステムは、スピアフィッシング攻撃に対して脆弱です。ハッカーはこれらの脆弱性を狙い、悪意あるマルウェアを作成する可能性があるため、最新のソフトやアプリの利用が望まれます。多くの場合、無料のアップデートが提供されるため、速やかに適用するよう心がけるべきです。

• 定期的なデータバックアップの実施

いかなる防御策を講じても、終生攻撃を完全に回避できる保証はありません。万一に備え、重要なデータの定期的なバックアップを行い、攻撃によって重要な情報が失われないようにする必要があります。 

‍

Wallarmによる守り

Wallarmの高度なセキュリティ対策は、スピアフィッシングを含む様々なフィッシング攻撃から守る能力を備えています。提供サービスは以下の通りです：

総合的なAPIセキュリティプラットフォーム - このソリューションにより、API利用者はAPI攻撃から守りやすくなります。プラットフォームは詳細な脅威検知と防御支援を提供し、あらゆる種類のAPIに対して同等の効果を発揮します。

‍Cloud WAF - WallarmのCloud WAFは、ウェブサイト上のスピアフィッシング攻撃を防ぐのに有効です。このWAFの高度なトラフィックフィルタリング機能により、悪意あるリンクやリクエストがサイトやウェブアプリに到達する前に遮断されます。