スピアフィッシングとは？ 巧妙化するフィッシング攻撃と、多要素認証などの対策に関して

スピアフィッシングについてよく知らないという方でも、フィッシングという言葉には聞き覚えがあるかもしれません。

本記事ではフィッシングとは何か、スピアフィッシングとの違いはどのようなものかについて解説します。

フィッシングとは？

フィッシング（Phishing）とは、メールやSNSを利用して不特定多数の利用者に対して内容や送信者を偽ったメッセージを送信し、フィッシングサイトと呼ばれる詐欺サイトに誘導する手法を指します。

誘導先のサイトで、クレジットカードの番号やマイナンバー・さまざまなアカウント情報など、重要な個人情報を入力させ不正に利用するというのがフィッシング詐欺の一般的な手口です。

官公庁のサイトを偽装したり、不安や欲望を煽ったりと、目的のサイトにユーザーを誘導するためにさまざまな手段が使われます。

スピアフィッシングはフィッシングの一種

スピアフィッシングはフィッシングの一種ではありますが、そのターゲットに違いがあります。不特定多数の人間に向けて発信されるフィッシングとは異なり、属性によって標的を絞り込み、槍で突くように特定の個人を狙い撃ちするのがスピアフィッシングです。

スピアフィッシングでは、対象の属性を絞り込むことで、ターゲットがフィッシングサイトに誘導される確率を上げることを狙っています。

不特定多数を対象に一斉送信されるフィッシングメールは、警戒されやすいこともあり開封率が高くありません。しかし狙いを絞ったスピアフィッシングメールの開封率は高くなる傾向があり、より危険度が高いと言えるでしょう。

働き方改革やテレワークの普及により、多くの企業でITクラウド化が推進されてきました。

クラウド化によりインフラ整備にかかるコストを抑えられ、社内での情報共有の効率が向上するなど多くのメリットがあります。しかし、ビジネスミーティングツールやクラウドストレージ・クラウド会計ソフトなどはフィッシング攻撃の起点となり得るため注意が必要です。

以前にはスピアフィッシングメールを対象者に直接送付していたため、メールセキュリティソフトで比較的容易に防御することが可能でした。しかし近年では、クラウドサービスを不正に利用して偽装されたフィッシングサイトに誘導するなど、手口が巧妙化しているため対策を怠ることができません。

スピアフィッシングには主にメールが利用され、メールに添付されたリンクをクリックするとフィッシングサイトに誘導されるなど、対象者に攻撃者の意図した行動を取らせるというのが常套手段となっています。

スピアフィッシングは、性別や興味関心・社内での立場・潜在的不安など、さまざまな属性から攻撃対象者を限定することから「標的型攻撃メール」とも呼ばれています。

攻撃の対象者を絞り込むためには、「ソーシャル・エンジニアリング」といった人間心理の隙を突くような手段で個人情報を窃取することもあるため注意が必要です。

添付ファイルやURLをクリックしなければ被害に遭うことはなく安心かと言うとそうではありません。スピアフィッシング攻撃では、添付ファイルのアイコンやURLの文字を偽装する手法なども使われている場合があります。

普段の業務で利用するサービスなどのURLなどを偽装し添付されている場合には、警戒心が薄れる可能性があり危険です。

リモートワークやクラウドサービスが普及するにつれて、スピアフィッシングの被害報告はさらに増加しています。

本項では、具体的にどのような事案が発生しているのかを知っていただくために、スピアフィッシングの実例を3つ紹介いたします。

事例1：GoogleとFacebookへの攻撃

2013年から2015年の間に、台湾のハードウェア会社になりすましたリトアニア人の犯人により、GoogleとFacebook合わせて1億2,200万ドル相当の被害が発生しました。

使われた手法はスピアフィッシングの中でも、企業のトップや著名人などを狙う「ホエーリング」と呼ばれるものでした。犯人はGoogle・Facebookの財務担当者の情報を詳細に調査した上で偽の請求書を送付し続け、約3年間で当時の日本円にして112億円以上を送金させていました。

参考：https://gigazine.net/news/20190325-stealing-from-google-facebook/

事例2：日本年金機構から約125万人の情報が流出

2015年に、日本年金機構がスピアフィッシング攻撃を受け、約125万人の年金情報が流出するという事件があったことを覚えているでしょうか。

この事件は日本国内の組織をターゲットとした「Blue Termite」の活動によるものとされ、主な攻撃方法は、標的を詳細に絞り込んでスピアフィッシングメールを送りつけるというものです。

メールには受信者が疑いを持たないであろう件名と本文が記載されており、何気なく添付されたファイルを開くとマルウェアが起動するという仕組みで被害が拡大しました。

参考：参考：https://www.nikkei.com/article/DGXLASDG01HCF_R00C15A6MM8000/

事例3：映画館グループCEOを狙ったスピアフィッシング

2018年にとある大手映画館グループのCEOがスピアフィッシングメールの攻撃を受け、約2000万ユーロの被害を出しました。

使われた手口は「CEO詐欺」と呼ばれるもので、フランス本社CEOになりすましたメールがオランダ支社CEOに届いたことから始まりました。

本社CEOのメールアドレスから、送金を求めるメールが届いたため支社CEOは奇妙に思いながらも送金してしまったのです。スピアフィッシングは人間心理の隙を巧みに突いてくるため、常に注意していなければ防ぐことは困難であると言えるでしょう。

攻撃対象者を絞り込み狙いを定めて送られてくるスピアフィッシングは、通常のフィッシングと比較すると危険性が高いため、日頃から対策を意識しておく必要があります。

本項では、スピアフィッシングの危険を回避するために有効な対策を解説いたします。

多要素認証（MFA）の導入

スピアフィッシングは厄介な攻撃手段ですが、多要素認証（MFA）を導入することでその危険性を軽減できます。

多要素認証では、知識要素（ID・パスワードなど）に加え、生体要素（指紋や顔認証など）や所持要素（ICカードやハードウェアトークン）から2つ以上の認証要素を用いて本人確認をします。

スピアフィッシングの攻撃者は、フィッシングメールを送りつけることはできますが、多要素認証を突破できなければアカウントの個人情報に辿り着くことは不可能です。

多要素認証の導入はフィッシング以外の攻撃手法に対しても有効な対策であり、セキュリティ強度の向上に必須と言えるでしょう。

不審なメールは開かない

スピアフィッシングの被害に遭わないために、ユーザーの危機意識を高めておくことは非常に重要な対策となります。送られてくるメールをよく確認してから開封する、不審な点があれば開封しないなど、慎重な対処を心がけましょう。

不審なメールを安易に開封しないように、組織全体でリテラシー向上に努めることも必要です。社員のセキュリティ・リテラシー向上のために、模擬的なフィッシングメールでテストする方法もあります。

メールサーバー側で不審なメールをフィルタリングするのも有効です。スピアフィッシングを含むフィッシング対策ができるソリューション導入も検討しましょう。

まとめ