スピアフィッシング VS フィッシング
メールによる異なる手口の攻撃
2023年7月21日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 Spear Phishing VS Phishing の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
スピアフィッシングとフィッシングの違いを見極めましょう。
フィッシングは、ハッカーが正当な組織や関係者になりすまして、大量のメールを消費者や企業ユーザに送り、受信者の信頼を得たり危機感を煽ることで、認証情報を明かさせたり金銭を手に入れる詐欺的な戦略とされます。
一方、スピアフィッシングは、ハッカーや他の悪意のある人が、特権的なアクセス権を持つ個人やグループの連絡先情報を得る詐欺的な戦略と説明されています。
最近インターネットを利用している人であれば、スピアフィッシングとフィッシングという2つの新しいサイバー攻撃を聞いたことがあるでしょう。
これら2つの攻撃には違いがあることがわかっています。
このブログでは、スピアフィッシングとフィッシングの違いを深く解説し、どちらの攻撃に警戒するべきかを知っていただくことを目的としています。
スピアフィッシングとフィッシングの定義
スピアフィッシング
スピアフィッシングは、個人情報を利用して受信者に特定の行動をとらせることを目的とした標的型フィッシングの一種です。
スピアフィッシング攻撃の目的は、ユーザ名、パスワード、クレジットカード番号、社会保障番号(訳注:アメリカで利用されているマイナンバーのようなID番号)などの機密情報や重要情報にアクセスすることです。
これらの攻撃は、通常、銀行や他の金融機関、給与計算部門、オンライン小売業者などの正当なソースから送信されたように見えるメールメッセージを使用します。
攻撃者は、メールのなりすまし、動的なURL、ドライブバイダウンロード(Webサイトにアクセスしただけでマルウェアをダウンロードさせられる攻撃)を使用してセキュリティ対策を回避し、スピアフィッシング攻撃を実行することがあります。
高度な攻撃では、プラグイン、プログラム、ブラウザのゼロデイの脆弱性を利用することがあります。
スピアフィッシング攻撃は、最終的にバイナリのダウンロード、マルウェアの外部通信、データの外部への送信を行う多段階の高度な持続的脅威(APT)攻撃の初期段階である可能性があります。
フィッシング
フィッシングは、通常、大量のメールを大勢の人々に送り、彼らを騙してユーザ名、パスワード、クレジットカード番号などの個人情報を開示させるソーシャルエンジニアリングの一種です。
これはメールメッセージ内のリンクをクリックさせたり、添付ファイルを開かせたりすることによって行われます。
また、フィッシング詐欺師は、銀行や雇用主のような信頼できる組織になりすまし、IDを盗み出そうとします。
フィッシング攻撃は、受信トレイを持つ人なら誰でも知っています。
最近のフィッシングの手口は、信頼できる企業や銀行からの本物のメールのように見えることが多いようです。
リンクをクリックしたり、添付ファイルをダウンロードする前に、送信者のアドレスをマウスオーバー(訳注:カーソルを対象に合わせて詳細を確認する行為を指す)し、その正確さを確認するような観察力のあるユーザでなければ、それが悪意のあるメールであることを見抜くことはできません。
フィッシング攻撃は数で勝負します。
ただ一人の人物に焦点を当てるのではなく、多くの人々を対象にし、その中から数人を釣り上げることを目指します。
フィッシングとスピアフィッシングの主要な統計データ
年々、フィッシング攻撃の被害は拡大しています。
ここではいくつかの重要な数値を検証してみましょう。
- Verizonによると、フィッシング攻撃の96%はメールで送信されている
- Tessianによると、従業員は年間平均14通の詐欺メールを受け取っている
- CISCOによると、86%の企業で少なくとも1人の従業員がフィッシングのリンクをクリックしている
スピアフィッシングとフィッシングの違いのまとめ
スピアフィッシングとフィッシングの概要は以下の通りです。
| スピアフィッシング | フィッシング | |
|---|---|---|
| 配信先 | 特定の相手 | ランダム |
| 受信者 | 個人または組織 | 数百人から数千人 |
| トーン | 親しげ | フォーマル |
| 送信者のアドレス | 個人のアドレス | 一般的なアドレス |
| 攻撃にかかる労力 | 高い | 低い |
スピアフィッシングとフィッシングの主な違い
スピアフィッシングとフィッシングの、その他の主な違いは以下の通りです。
起源:フィッシングはスピアフィッシングより古い
フィッシングは、スピアフィッシングよりも長い歴史があります。
スピアフィッシングは、犯罪者が企業や大規模なグループではなく個人をターゲットにし始めた2003年に出現した、より最近の攻撃です。
ターゲティング:スピアフィッシングは運ではなくソーシャルエンジニアリングに依存する
スピアフィッシングは、機密情報、金銭、その他の資産へのアクセスに利用できる個人情報を持つ個人や組織を対象にします。
フィッシングは、一度に多くの人々を対象にし、本物に見えるが実際は正しい送信元から送られていない一般的なメッセージを使用します。
テクノロジー:フィッシングは悪意のあるリンクに頼る一方でスピアフィッシングには悪意のあるコンテンツが含まれない
フィッシングのメールは、ユーザ名やパスワード、クレジットカード番号などの個人情報を騙し取るために、詐欺師によって大量に送信されることがよくあります。
これらのメールには通常、個人の機密データを収集するために用意された偽のWebサイトにつながる添付ファイルやリンクが含まれています。
一方、スピアフィッシングのメールは一括で送られるメールよりもターゲットが絞られていますが、リンクをクリックさせたり添付ファイルを開かせたりするソーシャルエンジニアリングのトリックに依存していることに変わりはありません。
スパムフィルタに検知される可能性が低いため、スピアフィッシングメールは標的の受信トレイから直接メッセージを送信することさえ可能です。
フィッシングとスピアフィッシングからの防御方法
以下に、これらの攻撃から身を守るための方法をいくつか紹介します。
DMARCでメールを認証する
DMARC(Domain-based Message Authentication Reporting & Conformance)は、送信者のドメイン名の正当性をメッセージ内で検証することで、なりすましを防止するメール検証システムです。
これは、メッセージを送信するメールサーバが、Fromフィールドに記載されたドメイン名の所有者によって承認されているかどうかをチェックすることによって行われます。
メール認証プロトコルのSPFとDKIMは、DMARCと組み合わせて使用されます。
Webサイトやビジネスのオーナーとしては、すべてのユーザや受信者が、自分が送信または承認したメールのみを見ることができるようにしたいものです。
メールを完全に保護し、各メッセージが意図的で安全で、サイバー犯罪者の活動でないことを保証する最善のアプローチは、DMARCを使用することです。
データを暗号化する
もしコンピュータやモバイルデバイスに機密情報があるなら、それをパスワードで暗号化すべきです。
もし誰かにデバイスを盗まれたとしても、パスワードを知らない限りデータにアクセスすることはできません。
スパム対策フィルタを使用する
スパム対策フィルタは、フィッシング攻撃やその他のスパムメッセージに対する最初の防御手段です。
これは、受信トレイに到達する前に受信メールをブロックし、受信トレイに一切届かないようにします。
Microsoft Office 365やGmail、または他のフィルタリング機能が組み込まれたメールプロバイダを使用している場合、既にいくつかの種類のフィッシング攻撃から保護されているはずです。
模擬フィッシングの実施
模擬フィッシングは、従業員が組織の受信トレイにある詐欺的なメッセージを識別する能力をテストします。
これらのテストでは、銀行、航空会社、公共料金会社などの既知の送信元から実際のメールを送信し(しかし時折作り物の場合がある)、メールに何か違和感があるときに従業員に報告するように求めます。
結論
スピアフィッシング VS フィッシングの議論は、明確な勝敗が決まらないまま永遠に続くでしょう。
しかし、どちらも悪いことであり、それを避けるためにできることをすべきであるという点で、両者は一致しています。
その上で、あなたは潜在的なスピアフィッシングの攻撃から身を守るためのリソースを持っています。
フィッシングのような高度なメールベースの攻撃から保護するために、PowerDMARCは、メールの配信性を損なうことなくDMARCを実施し、DMARCに基づいた戦略を採用するのを助けます。
PowerDMARCのトライアルはこちらからお試しいただけます。