MailData

スピアフィッシングとは?

スピアフィッシングとは?

2022年12月28日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 What Is Spear Phishing? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。


スピアフィッシングとは何か知っていますか?
インターネットを利用したことがある人なら知っているかもしれませんね。

様々なフィッシング詐欺の中で最も一般的な攻撃方法はスピアフィッシングで、現在でも認知されている全ての攻撃者のうち65%が利用しています。
残念ながら、ほとんどの企業のフィッシング対策の弱点は、従業員にあります。
(訳注:スピアフィッシングは、槍(spear)を突き刺すように標的を定めて行われることからこの名で呼ばれています)

スピアフィッシングとは何かわからない?
そんなあなたにぴったりの記事です。

スピアフィッシングとは、個人または組織を狙った標的型攻撃です。
その手口としては、メールを利用して、受信者に機密情報を明かすよう説得するものです。
被害者が知っていて信頼している人物など、あたかも正規の送信元から送られてきたかのように見せかけるのです。

スピアフィッシング攻撃では、犯罪者はソーシャルエンジニアリングの技術を使用して攻撃を実行します。
彼らは、企業や従業員に関する情報を収集し、本物と見間違うようなメールを作成します。
サイバー犯罪者は、より効果的にメッセージをカスタマイズするために、過去のサイバー犯罪で得た従業員の機密データを使用することもあります。

スピアフィッシングは、個人情報の盗難や詐欺、知的財産やその他の機密データを盗むために利用されることがあります。

スピアフィッシングの仕組みとは?

スピアフィッシング攻撃は、様々な方法で行われます。
代表的な手法としては、以下のようなものです。

スピアフィッシングは、従来のフィッシングよりも攻撃者の時間と労力が必要なため、より手間がかかる攻撃といえます。
しかし、それらはパーソナライズされ、組織内の誰か(場合によっては個人)を直接ターゲットにしているため、より強力に作用します。

拡大するスピアフィッシング攻撃の脅威

スピアフィッシングは、検知の難しさ、リモートワーカーの普及、技術的なセキュリティの甘さなどから、世界中のサイバー犯罪者が選択する武器となっています。
最近のデータによると、スピアフィッシングは人々や企業にとってますます深刻な危険になりつつあります。

2020年8月から10月にかけて行われたStatista(統計データ調査プラットフォーム)の調査によると、全世界のスピアフィッシングの試みのうち、87%が営業日、通常は平日に行われました。
土日の攻撃は、全体のわずか13%に過ぎませんでした。

スピアフィッシングでは、被害者の銀行やAmazonなど、信頼できる企業からのメールに見せかけて、不用心な人にメールを送りつけます。
メッセージは、発送通知や取引の確認要求のように見え、読者が有害なリンクをクリックしたり、重要な個人データを提供するように仕向けます。

サイバー犯罪者は、この方法で企業もターゲットにしており、特定の企業の数人の従業員だけを狙うこともよくあります。
これらの従業員は、上司や他の会社の役員からのものに見える、送金やパスワードの入力、会社の機密情報の漏洩を指示するような、いかにも説得力があるメールを受け取ることがあります。

スピアフィッシングメールは、どちらの状況でも切迫感を伝えることが多いです。
これは、迅速な行動を取らなければ最も深刻な影響を被る、という考えを被害者に抱かせることを意味します。

スピアフィッシングから身を守るために必要なことは?

DMARCでメールを認証する

メール認証の世界標準規格がDMARCです。
これにより送信者は、メールの送信元が正しい人物から発信されたものであると示すことができます。
そのため、今日最も一般的なサイバー犯罪の2つであるスパムやスピアフィッシングの試みを減らすことが可能です。

近年、DMARCの導入が進み、Gmail、Yahoo、その他多数の大手メールプロバイダがその利点を高く評価しています。

DMARCはどのようにスピアフィッシングを阻止するのか?

DMARCのポリシーモードであるp=rejectは、メールフィッシングや直接ドメインなりすましなど、様々なオンラインの脅威との戦いに有効な手段となり得ます。
DMARCは、メールの送信元を確認し、偽のメールの受信や開封を防止するために役立ちます。
しかし、実際には、このプロトコルに準拠する企業はごく一部に過ぎず、それを成功させている企業はさらに少ないのが現状です。

ドメイン所有者が安心して導入・監視できるように、DMARC分析を設定することが推奨されています。
分析によってメールの経路を完全に把握することができ、これはDMARCの主な利点となります。

以前は、企業はフィッシング攻撃が発生してから初めて知ることができました。
DMARCは、常に発信元の検証と監視を行うことで、攻撃を未然に防ぐことを可能にします。

また、DMARCのレポートにより、これらの攻撃について警告を受けることができます。
さらに、p=rejectした上で、顧客に送る送信メールに独自のブランドロゴを追加して、BIMIの視覚的識別機能を利用することができます。

すべてのソフトウェアを最新の状態に保つ

悪意のあるソフトウェア(マルウェア)から身を守るには、OSやアプリケーションの最新のセキュリティ更新プログラムをインストールするのが一番です。
セキュリティパッチは、ソフトウェアの既知のセキュリティ上の欠陥を修正するものなので、常に更新しておく必要があります。

スピアフィッシングに関する従業員教育

スピアフィッシング攻撃の被害を未然に防ぐには、その特定と回避に関する従業員教育が重要です。
例えば、正当なメールと不正なメールの見分け方を教えることで、危険な兆候を発見することができます。
また、不審なメールや電話を報告する方法を教え、疑わしいと思ったときにどのような行動をとればよいかを知ってもらうことも必要です。

パスワードの使用を最小限に抑える

パスワードは、スピアフィッシングの最初の攻撃でよく使われるため、できるだけ使わないようにすることが重要です。
そのためには、多要素認証や、デバイスの種類や場所に応じてアクセスを制限することが有効です。

セキュリティを重視した企業文化の構築

機密データやリソースにアクセスしようとするスピアフィッシング犯罪者の試みを阻止するために、従業員一人ひとりの日常業務にセキュリティを組み込むべきです。
従業員には、疑わしいメールを報告し、外部からの異常な情報要求について質問するよう奨励する必要があります。
どのような兆候に注意すべきかを知っている人が多ければ多いほど、組織としてフィッシングを完全に回避することができます。

まとめ

さて、スピアフィッシングとは何か、その仕組み、そして予防策についてご理解いただけたでしょうか。

スピアフィッシングとは、簡単に言えば、オーダーメイドのフィッシングです。
巧妙な手口でユーザを騙し、情報を引き出そうとします。
さらに危険なのは、無作為のスパム業者ではなく、受信者と知り合いでかつ信頼している人物から送られて来るように見える点です。

このようなサイバー攻撃の被害に遭わないためには、不審なメッセージに注意することが一番です。
機密事項や個人的なことを伝える前に、必ず送信元を確認することです。
また、DMARCなどのツールでメールを認証しましょう。