スピアフィッシングの巧妙な手口と、DMARC導入などの多層防御による対策を解説するイメージ図

スピアフィッシングとは?

スピアフィッシングの仕組みと有効な対策


著者: Ahona Rudra
翻訳: 東條 百々朱

この記事はPowerDMARCのブログ記事 Spear Phishing Attacks: What They Are and How to Stop Them の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

主なポイント

  1. スピアフィッシングは、攻撃者が特定の個人や組織を綿密に調査し、機密情報の窃取やマルウェア感染を目的として、本物に見える巧妙なメッセージを送りつける高度な標的型サイバー攻撃です。
  2. 一般的なフィッシングが不特定多数を対象とするのに対し、スピアフィッシングは特定の人物や組織を狙うため、成功率が高く発見も難しい傾向があります。
  3. 主な手口には、CEO詐欺(CEO Fraud)、ホエーリング(Whaling)、ビジネスメール詐欺(BEC)、クローンフィッシング(Clone Phishing)、ブランドのなりすましなどがあり、いずれも人間の信頼心理や権威への服従を悪用します。
  4. 実際のスピアフィッシング攻撃では、数百万ドルから数億ドル規模の損失が発生した事例もあり、TargetやMattelなどの大企業も被害を受けています。
  5. スピアフィッシング対策には、DMARC、SPF、DKIMなどのメール認証に加え、高度なメールセキュリティ対策、多要素認証(MFA)、継続的な従業員教育を組み合わせた多層防御が欠かせません。

一般的なフィッシングメールが何千人もの受信者へ無差別に送信されるのに対し、スピアフィッシング攻撃は綿密な調査と高度なパーソナライズを行ったうえで、特定の人物や組織を狙います。
たった1通の巧妙に作り込まれたスピアフィッシングメールが、スパムフィルターをすり抜け、十分な訓練を受けた従業員でさえだまし、攻撃者に機密情報や財務システム、さらには企業ネットワーク全体へのアクセスを許してしまうことがあります。
本記事では、スピアフィッシングとは何か、その仕組みや代表的な手口、実際の被害事例、そして組織を守るために有効な対策について詳しく解説します。

スピアフィッシングとは?

スピアフィッシングとは、攻撃者が信頼できる送信元を装って不正なメールを送り、機密情報の窃取や不正アクセスを試みる標的型サイバー攻撃です。
一般的なフィッシングとの大きな違いは、事前調査と高度なパーソナライズにあります。
攻撃者は無差別にメールを送るのではなく、特定の個人や企業を狙い、SNS、企業サイト、過去の情報漏洩などから収集した情報をもとに、巧妙なメッセージを作成します。

一般的なフィッシングメールには不自然な日本語や無関係な内容が含まれることがありますが、スピアフィッシングメールは非常に精巧に作られており、実在する同僚や取引先を装ったり、進行中のプロジェクトに言及したりすることもあります。
攻撃者の目的は、受信者に「本物だ」と信じ込ませ、警戒心を解かせることです。
その結果として、次のような行動を誘導します。

スピアフィッシング攻撃の仕組み

スピアフィッシングの仕組みを理解することは、防御の第一歩です。
これらの攻撃は複数の段階を経て実行される計画的なものであり、最初のメールが送信されるまでに数日から数か月かけて準備されることもあります。

ステップ1:情報収集と事前調査

すべてのスピアフィッシング攻撃は、標的に関する情報収集から始まります。
攻撃者は対象者を調査し、信頼できる人物になりすますために必要な情報を集めます。
主な調査対象は以下の通りです。

こうした情報は、SNS、企業サイト、プレスリリース、講演資料、過去の情報漏洩などから収集されます。
収集できる情報が多いほど、攻撃メールはより本物らしくなります。

ステップ2:攻撃メールの作成

十分な情報を集めた後、攻撃者は信頼できる人物から送られたように見えるメールを作成します。
なりすましの対象として多いのは以下のような人物です。

メールには、本物らしく見せるために次のような情報が盛り込まれます。

また、メールには以下のような仕掛けが含まれることがあります。

ステップ3:ソーシャルエンジニアリングによる誘導

スピアフィッシングでは、人間の心理を巧みに利用します。
よく使われる手法として次のようなものがあります。

緊急性を強調する
「本日中の対応が必要です」
権威を利用する
経営幹部や上司になりすます
信頼関係を悪用する
実際の会話や進行中のプロジェクトに言及する
不安や恐怖をあおる
アカウント停止やコンプライアンス違反を警告する

攻撃者の目的は、受信者に十分な確認を行わせる前に行動させることです。
リンクのクリック、添付ファイルの開封、認証情報の入力などが行われると、攻撃者はシステムやデータへアクセスできるようになります。

ステップ4:情報の窃取・不正利用

被害者がだまされると、攻撃者はすぐに目的達成へ向けて行動します。
例えば以下のような行為が行われます。

たった1件のスピアフィッシング攻撃が、大規模な情報漏洩やランサムウェア被害の発端となることもあります。

主なスピアフィッシングの手口

サイバー犯罪者は、標的や攻撃の目的に応じてさまざまなスピアフィッシング手法を使い分けています。
それぞれの手口は、信頼関係や権威、親近感といった人間心理を巧みに利用する点が特徴です。
攻撃手法ごとの特徴を理解しておくことで、セキュリティチームはより適切かつ迅速に対応できるようになります。

CEO詐欺(CEO Fraud)

CEO詐欺は、攻撃者がCEOや役員などの経営幹部になりすまし、標的に特定の行動を取らせようとするスピアフィッシング攻撃の一種です。
たとえば、銀行送金を実行させたり、機密情報を提供させたりするケースがあります。
こうしたメールは通常、財務部門や支払い権限を持つ従業員に送られます。

CEOや上級管理職からの依頼に対して、受信者が確認をためらう心理を悪用するのが特徴です。
メール本文は短く、緊急性が高く、直接的な内容であることが多く、「極秘で」「至急」対応するよう求める文言がよく使われます。
組織内の上下関係や権威を悪用するため、誰かが異変に気付く前に大きな金銭被害が発生する可能性があります。

ホエーリング攻撃(Whaling Attacks)

ホエーリングは、経営幹部や機密情報へアクセスできる人物を特に狙うスピアフィッシング攻撃です。
一般社員ではなく、組織内で大きな権限を持つ人物を標的にすることから、「Whaling(捕鯨)」と呼ばれます。
ホエーリング攻撃は、通常のスピアフィッシングよりもさらに巧妙です。

標的となる経営層はセキュリティ意識が比較的高いことが多いため、攻撃者は入念に調査を行います。
そのうえで、取締役会の決定事項、法務関連の案件、規制対応などに言及した、信頼性の高いメールを作成します。

ホエーリング攻撃が成功した場合の被害は非常に大きくなる可能性があります。
標的となる人物は、財務システム、経営戦略に関するデータ、機密情報へ直接アクセスできる立場にあることが多いためです。

ビジネスメール詐欺(BEC:Business Email Compromise)

ビジネスメール詐欺(BEC)は、従業員のメールアカウントを侵害し、そのアカウントを使って不正行為を行うスピアフィッシングの手口です。
外部アドレスからなりすます他のスピアフィッシングとは異なり、BEC攻撃では実在する正規のメールアカウントが使われます。

そのため、受信者から見ても信頼できる送信元に見え、検知が非常に困難です。
攻撃者はアカウントへ侵入した後、メールのやり取りを監視し、通常のコミュニケーションパターンを把握します。

さらに、進行中の取引や支払い予定を特定し、最も自然なタイミングで介入します。
その結果、支払い先の変更、機密データの要求、不正な業務指示などが行われることがあります。
BEC攻撃は、従来型のメールセキュリティフィルターをすり抜けやすいため、サイバー攻撃の中でも特に大きな金銭被害を引き起こす手口の1つです。

クローンフィッシング(Clone Phishing)

クローンフィッシングは、攻撃者が正規のメールをコピーし、添付ファイルやリンクだけを悪意あるものに差し替えて、元の受信者へ再送するスピアフィッシング攻撃です。
複製されたメールは元のメールとほとんど同じ見た目で、過去のメッセージの「再送」や「更新版」を装うことがあります。
標的はすでに元の正規メールを受信し、内容を確認しているため、再送されたメールも信頼しやすくなります。

その結果、疑わずにリンクをクリックしたり、添付ファイルを開いたりする可能性が高まります。
クローンフィッシングは、過去の正規のやり取りを悪用して受信者をだます、非常に巧妙な手口です。

ブランドのなりすまし攻撃(Brand Impersonation Attacks)

ブランドのなりすまし攻撃は、攻撃者が有名企業や信頼されているブランドを装い、標的から機密情報を盗み取ろうとするスピアフィッシング攻撃です。
Microsoft、Google、Amazon、金融機関などを装うケースが多く、メールには公式ロゴ、実際に近いデザイン、ブランドらしい文体が使われることがあります。

これらのメールは通常、本物のログインページに見せかけたフィッシングサイトへ標的を誘導します。
被害者は正規サイトだと思い込み、ユーザー名やパスワードなどの認証情報を入力してしまいます。
ブランドのなりすまし攻撃が効果的なのは、多くの人が日常的にこれらのブランドを利用しており、見慣れた企業から届いたように見えるメールを細かく確認しないことがあるためです。

スピアフィッシングとフィッシングの違い

スピアフィッシングとフィッシングは、どちらもソーシャルエンジニアリング攻撃の一種ですが、その計画方法や実行方法には大きな違いがあります。
両者の違いを理解することで、組織は適切な対策を講じ、効果的な防御体制を構築できるようになります。

標的の違い

一般的なフィッシング攻撃では、不特定多数の受信者に対して同じ内容のメールが大量に送信されます。
攻撃者はできるだけ多くの人にメッセージを送り、その中の一部でも被害に遭えばよいという「数打てば当たる」方式を取ります。

一方、スピアフィッシングは特定の個人、役職、または組織を標的とします。
メールの内容は対象者ごとに作り込まれており、メッセージのあらゆる要素が標的に合わせて調整されています。

パーソナライズの違い

一般的なフィッシングメールでは、「お客様各位」や「アカウント所有者様」といった、誰にでも当てはまる曖昧な表現が使われることがよくあります。
一方、スピアフィッシングメールは、被害者が信頼している人物や組織から送られてきたように見せかけて作成されます。
実在する人物の氏名、進行中のプロジェクト名、社内情報、取引先とのやり取りなどが盛り込まれることもあり、同僚や取引先しか知り得ないような情報が使われることで信頼性を高めています。

調査と準備にかかる労力の違い

一般的なフィッシングキャンペーンは、比較的少ない労力で実施できます。
攻撃者は同じメッセージを何千人もの受信者に送信し、誰かが反応するのを待つだけです。

これに対してスピアフィッシング攻撃では、標的に関する綿密な調査が行われます。
攻撃者は標的のSNS、企業サイト、公開資料などを調べ上げ、説得力のあるメールを作成します。
場合によっては、たった1通のメールを送るために数週間にわたって標的の行動や人間関係を調査することもあります。

関連記事:メールフィッシングとDMARCに関する統計データ―最新のセキュリティ動向

成功率と被害の違い

スピアフィッシングは標的を絞り込み、詳細な情報を活用してメッセージを作成するため、一般的なフィッシングよりも成功率が高い傾向があります。
また、標的となるのは機密情報や財務システムにアクセスできる人物であることが多いため、被害額も大きくなりやすいという特徴があります。
1件の成功したスピアフィッシング攻撃が、大規模な情報漏洩や多額の金銭被害につながることも少なくありません。

感情操作の違い

フィッシングもスピアフィッシングも、「緊急性」や「不安感」を利用して受信者の判断力を鈍らせるという点では共通しています。
しかし、スピアフィッシングでは、より個人的なレベルで感情を操作する高度なソーシャルエンジニアリングが用いられます。

たとえば、一般的なフィッシングメールでは、「アカウントが停止されます」といった一般的な警告が使われることがあります。
一方、スピアフィッシングメールでは、「先ほど上司と話した件について、本日中に対応してください」といった形で、実際の業務や人物に言及しながら、短時間での対応を迫ることがあります。
こうした個別性の高いメッセージは信憑性が高く、受信者が疑いを持たずに行動してしまう可能性を高めます。

実際のスピアフィッシング事例

近年、大きな注目を集めたセキュリティ侵害の中には、たった1通の巧妙な標的型メールをきっかけに発生したものが少なくありません。
以下の事例は、スピアフィッシング攻撃がどれほど深刻な被害をもたらす可能性があるかを示しています。

ジョン・ポデスタ氏のメールハッキング事件

ジョン・ポデスタ氏のメールハッキング事件は、2016年のヒラリー・クリントン大統領選挙キャンペーンで選対委員長を務めていたジョン・ポデスタ氏を標的としたスピアフィッシング攻撃です。
ポデスタ氏は、Googleからのセキュリティ警告を装ったメールを受信し、パスワードの変更を促されました。

そのメールには、ログイン認証情報を窃取するために作られた偽のログインページへのリンクが含まれていました。
結果として、数千件に及ぶ機密メールや文書が流出し、米国の政治情勢に大きな影響を与えました。

参考記事:業界別フィッシング攻撃―フィッシング攻撃がさまざまな業界をどのように標的にするか

Mattelの送金詐欺事件

Mattelの送金詐欺事件は、世界最大級の玩具メーカーであるMattelの財務部門を狙ったスピアフィッシング攻撃です。
攻撃者は上級管理職になりすまし、中国の銀行口座への送金を依頼するメールを送信しました。

財務担当者はその依頼を正当なものと信じ、送金を実行してしまいました。
その結果、被害が発覚するまでに300万ドル以上が不正送金されました。

Targetの情報漏洩事件

小売業界史上最大規模の情報漏洩事件の一つとして知られるTargetの情報漏洩は、Targetにサービスを提供していた空調設備業者(HVAC業者)に送られたスピアフィッシングメールから始まりました。
攻撃者は、その業者から盗み出した認証情報を利用してTargetのネットワークへ侵入し、最終的に約4,000万人分のクレジットカード情報およびデビットカード情報を窃取しました。
この事件は、標的企業ではなく第三者ベンダーを足がかりにすることで、巨大企業であっても侵害される可能性があることを示した代表的な事例です。

スピアフィッシング攻撃を防ぐ方法

スピアフィッシングから組織を守るには、技術的な対策と従業員のセキュリティ意識を組み合わせた多層的なアプローチが必要です。
単一のセキュリティ製品や従業員教育だけで、すべての攻撃を防ぐことはできません。

しかし、適切な防御策を重ねることで、組織が受けるリスクを大幅に低減できます。
以下では、スピアフィッシング対策として有効なベストプラクティスを紹介します。

メール認証プロトコルを導入する

DMARC、SPF、DKIMなどのメール認証プロトコルを導入することで、攻撃者によるドメインなりすましを防止できます。
これらのプロトコルは、受信したメールが実際に送信元として主張しているドメインから送信されたものであることを検証し、組織になりすました悪意のあるメールが従業員の受信箱へ届く前にブロックします。

PowerDMARCは、DMARC、SPF、DKIM、およびBIMIの管理を一元化したオールインワンプラットフォームにより、このプロセス全体を簡素化します。
各プロトコルを個別に設定・監視する代わりに、PowerDMARCは、すべてのドメインの状況を一元的に把握できる環境、リアルタイムアラート、そして実践的なレポートを提供します。
導入を始めるには、PowerDMARCの無料ツールを利用して現在の設定状況を確認できます。

DMARCチェッカー
ドメインに有効なDMARCポリシーが設定されているかを確認します。
SPF検索ツール
SPFレコードが正しく設定されているかを確認します。
ドメインセキュリティアナライザ
メール認証の状況全体を包括的に分析します。

多要素認証(MFA)を実装する

多要素認証(MFA)は追加のセキュリティ層を提供し、スピアフィッシング攻撃による被害を大幅に軽減できます。
攻撃者がフィッシングサイト経由で認証情報を盗んだ場合でも、MFAがあれば追加認証なしにアクセスすることはできません。

最も高いセキュリティ効果を得るためには、SMS認証コードではなく、フィッシング耐性を備えたMFA方式を利用してください。
推奨される方法は以下の通りです。

MFAはメールだけでなく、すべての重要システムに適用する必要があります。
機密データ、財務システム、社内インフラへアクセス可能なアカウントについては、多要素認証を必須要件とするべきです。

高度なメールセキュリティツールを導入する

従来型のスパムフィルタだけでは、巧妙に作成されたスピアフィッシングメールを十分に検知できません。
高度なメールセキュリティツールは、既知の脅威シグネチャだけに依存せず、通信パターンや行動の異常を分析することで、スピアフィッシングメールをリアルタイムで検出・隔離できます。
メールセキュリティソリューションを評価する際は、基本的なフィルタリング機能に加え、以下の機能が備わっているか確認してください。

AIによる脅威検知
組織内の通常のメール利用パターンを学習し、異常な挙動を検出します。
リアルタイムのリンクおよび添付ファイルスキャン
悪意のあるリンクや添付ファイルがユーザーへ届く前にブロックします。
なりすましメールアドレスの検出
メールヘッダの分析によって、送信者のなりすましを特定します。
既存のメールシステムとの連携
現在利用しているメールプラットフォームへスムーズに導入できます。

これらのツールは、人による判断や一般的なフィルタでは見逃してしまう脅威を補完する重要な防御層となります。

最小権限の原則(POLP)を適用する

最小権限の原則(POLP)を適用することで、認証情報が侵害された場合でも被害範囲を最小限に抑えられます。
従業員に対して業務上必要なシステムやデータへのアクセス権のみを付与することで、スピアフィッシング攻撃が成功した場合でも、攻撃者がアクセスできる範囲を制限できます。

これは特に、ネットワーク内での横展開(ラテラルムーブメント)を防ぐうえで重要です。
主な対策は以下の通りです。

スピアフィッシング攻撃は、経営層だけでなく、中堅社員や一般社員、新入社員など幅広い従業員を標的にすることがあります。
POLPを適用することで、アカウントが侵害された場合でも被害を最小限に抑えられます。

参考記事:DMARC Email Security―ドメインを保護する方法

異常な依頼は信頼できる別経路で確認する

メールだけを根拠に機密情報や個人情報を提供してはいけません。
必ず信頼できる別の連絡手段で確認してください。

スピアフィッシング、特にCEO詐欺やBEC攻撃は、従業員が確認を行わずに緊急性の高い依頼へ応じることで成功します。
予期しない送金依頼、機密情報の要求、認証情報の提出依頼を受けた場合は、行動を起こす前に以下を実施してください。

このような確認習慣を徹底するだけでも、多くの標的型スピアフィッシング攻撃を防ぐことができます。

デジタルフットプリントを最小化する

SNS上で公開する情報を減らすことで、スピアフィッシングの標的となるリスクを低減できます。
攻撃者は公開情報を利用して標的の詳細なプロフィールを作成します。

公開されている情報が少ないほど、説得力のあるスピアフィッシングメールを作成することは難しくなります。
露出を減らすための対策は以下の通りです。

スピアフィッシャーは事前調査に大きく依存しています。
公開されている情報が少ないほど、攻撃者による情報収集は困難になります。

厳格なパスワード管理ポリシーを導入する

組織は厳格なパスワード管理ポリシーを導入し、不正アクセスや情報漏洩のリスクを低減する必要があります。
弱いパスワードや使い回しのパスワードは、スピアフィッシングによる侵害を企業全体のネットワーク侵害へ発展させる大きな要因の一つです。
強力なパスワード管理ポリシーには以下を含めるべきです。

多要素認証と最小権限アクセス制御を組み合わせることで、強力なパスワード管理は、攻撃者による盗まれた認証情報の悪用を大幅に困難にします。

PowerDMARCで組織をスピアフィッシングから保護する

スピアフィッシング攻撃は綿密に計画され、標的に合わせて巧妙に作り込まれています。
そのため、技術的な防御策だけでなく、人による判断もすり抜けるよう設計されています。
こうした攻撃を防ぐには、従業員の意識向上だけでは不十分です。

従業員、業務プロセス、メールインフラを含めた多層的なセキュリティ対策が必要です。
PowerDMARCは、その中でもメールインフラの保護を支援します。
DMARC、SPF、DKIM、BIMIを単一のプラットフォームで一元管理できるため、セキュリティチームは自社ドメインを使用して送信されるメールの状況を把握しやすくなります。

リアルタイム監視、AIを活用した脅威インテリジェンス、詳細なフォレンジックレポート(RUF)により、なりすましの試みを検知し、悪意あるメールをブロックできます。
これにより、攻撃者がスピアフィッシング攻撃で自社ドメインや組織名を悪用するリスクを低減できます。
メールドメインの保護を強化したい場合は、ぜひPowerDMARCへお問い合わせください。

よくある質問

フィッシングとスピアフィッシングの主な違いは何ですか?
フィッシングは、不特定多数を対象に大量送信される詐欺メールです。
一方、スピアフィッシングは、特定の個人や組織を標的とし、相手に合わせて作り込まれたメッセージを使用します。
スピアフィッシングの主な標的は誰ですか?
経営幹部、財務担当者、人事部門、機密システムへアクセスできる従業員、資金を扱う権限を持つ従業員などが主な標的です。
スピアフィッシングでは名前で呼びかけられますか?
はい。
攻撃者は、メールをより本物らしく見せるために、氏名、役職、所属部署、その他の個人情報を利用することがよくあります。
スミッシング(Smishing)とスピアフィッシングの違いは何ですか?
スミッシングは、SMS(ショートメッセージ)を利用したフィッシング攻撃です。
一方、スピアフィッシングは主にメールを利用します。
どちらも特定の相手を狙って行われる場合がありますが、スミッシングはモバイルデバイスの利用特性やSMS特有の行動パターンを悪用します。
スピアフィッシングにはどのような例がありますか?
代表的な例として、以下があります。
  • CEO詐欺:経営幹部になりすまして送金を要求する攻撃
  • 請求書を装った詐欺メール:買掛金担当者などを狙う攻撃
  • ITセキュリティ通知を装った認証情報窃取攻撃
これらはいずれも、受信者をだまして機密情報や資金を取得することを目的としています。