スピアフィッシング攻撃とは?仕組みや危険性、対策方法について徹底解説|サイバーセキュリティ.com

スピアフィッシング攻撃とは?仕組みや危険性、対策方法について徹底解説



ユーザーの個人情報などの大切な情報を盗み取る「フィッシング攻撃」。その攻撃の一種である「スピアフィッシング攻撃」をご存知でしょうか。スピアフィッシング攻撃は従来のフィッシング攻撃よりも騙されやすく、非常に危険な攻撃手法です。

フィッシング攻撃を防ぐためには、まずはユーザー一人ひとりの意識付け・知識付けが大切となります。そのため、この記事のなかでスピアフィッシング攻撃に対する知識を深めましょう。

今回はスピアフィッシング攻撃の概要や仕組みを紹介し、従来のフィッシング攻撃との違いや対策方法を解説します。

スピアフィッシング攻撃とは

スピアフィッシング攻撃は、フィッシング攻撃の一種です。攻撃の目的はユーザーの個人情報などの大切な情報を盗み取ることですが、スピアフィッシングは従来のフィッシング攻撃とは手法が少し異なります。

スピアフィッシング攻撃は槍(spear)を突き刺すように標的を定めて攻撃を行うため、騙されやすく非常に危険な攻撃です。メールによるスピアフィッシング攻撃は、日本では「標的型攻撃メール」と表されることが多いでしょう。

日本におけるスピアフィッシング攻撃の代表的な事例としては、2015年6月に日本年金機構が狙われ、125万件もの個人情報が漏洩してしまった事例が挙げられます。このほかにも、多くの企業や個人を狙ったスピアフィッシング攻撃が多く報告されており、私たちは常にスピアフィッシング攻撃に狙われていると考えたほうがよいほど、注意が必要な攻撃です。

スピアフィッシング攻撃の仕組み

スピアフィッシング攻撃は主にメールを利用して行われます。メールを受信するユーザーにとって、あたかも知り合いや上司などからメールが送信されたように装い、マルウェア感染や情報を盗み取るフィッシングサイトへとアクセスさせるのです。メールに添付されたファイルを実行させたり、メール本文に記載したURLをクリックさせたりすることで攻撃を行います。

スピアフィッシング攻撃は標的に狙いを定めて攻撃するために、ソーシャルエンジニアリングなどによって事前に情報を収集します。収集した情報をもとに、実際にユーザーがやり取りしているであろうメールを装い、攻撃の成功率を高めているのです。

ユーザーにとって不自然ではないメールを送りつけることこそ、スピアフィッシング攻撃の最大の特徴といえるでしょう。社内の人間になりすますメールだけでなく、取引先や銀行・自治体などになりすまし、私たちの大切な情報を狙っています。近年ではSNSを利用しているユーザーも多いため、SNSの発信情報などもスピアフィッシング攻撃を行うための事前情報収集に利用される可能性があります。

フィッシングとスピアフィッシング攻撃の違い

スピアフィッシング攻撃はフィッシング攻撃の一種ですが、具体的にはどのような違いがあるのでしょうか。両者の違いは大きく「攻撃範囲」と「攻撃精度」に分けられます。

攻撃範囲の違い

フィッシング攻撃は標的を絞らず、広い範囲に攻撃を行います。対して、スピアフィッシング攻撃は特定の個人や団体を標的とするため、攻撃範囲は狭いことが特徴です。

たとえるなら、フィッシング攻撃は広範囲に網を張って一度に多くの魚を捕る漁だとすれば、スピアフィッシングは銛を使って一匹の魚に狙いを定めて魚を捕る漁といえるでしょう。

攻撃精度の違い

フィッシング攻撃は広範囲に渡って攻撃を行うため、精度はあまり高くありません。大量に送りつけたメールなどによって、それを受信した人の一部でも引っかかれば良い、という考え方です。

対してスピアフィッシング攻撃は、事前に情報収集を行った結果を元に標的に狙いを定めて攻撃を行うため、精度が高いという特徴を持ちます。

情報があふれる現代において、私たちは常に情報の取捨選択を求められています。そのため、私たちは「自分自身」に向けられた情報しか受け取らないように無意識に行動していますが、スピアフィッシング攻撃はまさに「自分自身」に向けられた情報として受け取られるように作られているため、精度が高くなるのです。

スピアフィッシング攻撃の危険性

スピアフィッシング攻撃は非常に危険性が高い攻撃です。ここでは、具体的にどのような危険性があるのかを解説します。

信憑性が高く騙されやすい

スパムメールなどの不特定多数を対象としたメールを受信者が開いてしまうケースは3%程度であるのに対し、スピアフィッシング攻撃のメールは実に70%もの受信者が開いてしまう、というデータがあります。
さらに、スピアフィッシング攻撃のメールを開いてしまう受信者の半数は、1時間以内に本文中に記載されたリンクをクリックしてしまうとのこと。

たとえば、取引先の担当者からのメールが届いた場合、すぐに開封して内容を確認するのではないでしょうか。スピアフィッシング攻撃では「取引先の担当者」になりすましてメールを送りつけたりするため、信憑性が高く騙されやすいのです。

参照スピア・フィッシング攻撃を防御する業界最高水準のセキュリティ/FIREEYE

情報が流出したことに気づきにくい

もう一つの危険性として、情報流出に気づきにくいことが挙げられます。スピアフィッシング攻撃によって個人情報などの情報を盗まれてしまった場合、私たちは情報の流出が表立ったときにはじめて攻撃されたことに気づくでしょう。

つまり、情報を盗まれた時点では気づくことは難しく、実際に銀行口座などからお金を引き出されたり、社内で管理する顧客の個人情報などがどこかで利用されたりと、実際の被害が発生するまでは気づきにくいのです。

スピアフィッシング攻撃だけでなく、サイバー攻撃は全体的に高度化・複雑化しており、私たちは攻撃を受けたことにすら気づかない場合も考えられます。

スピアフィッシング攻撃への対策方法

スピアフィッシング攻撃への対策方法としては、私たち一人ひとりが不審なメールを開封しない、安易にメールに記載のURLをクリックしない、といった対策方法が挙げられます。

しかし、個人の裁量に任せっきりでは万全な対策が取れているとは言えません。スピアフィッシング攻撃への対策では、システム的な対策方法も検討するべきです。

メールサーバーでブロックする

スピアフィッシング攻撃の最たる攻撃手段はメールです。そのため、メールサーバー側で不審なドメインからのメールをユーザーに配信しないようにブロックしたり、フィッシングの危険度を判定して通知したりするとよいでしょう。

スパム対策、フィッシング対策、標的型攻撃メール対策ができるソリューションは多く存在しています。そのため、それらのソリューションを活用してシステム的にスピアフィッシング攻撃のメールを遮断することで、対策が可能です。

セキュリティ対策製品で多層的に防御する

スピアフィッシング攻撃で情報を盗み取る場合、メールに添付したマルウェアに感染させる方法だけでなく、フィッシングサイトへ誘導して個人情報などを入力させる方法も考えられます。メールに対するセキュリティだけでなく、Webの閲覧やファイル共有なども含めて、多層的にセキュリティ対策を行うことが大切です。

たとえば、次世代型エンドポイント・セキュリティソリューションであれば、プログラムの振る舞いからマルウェアを検知したり、フィッシングサイトの判定が行えたりします。日本でもスピアフィッシング攻撃(標的型攻撃メール)は非常に危険視されているため、対策するためのソリューションも数多く存在しています。

メールセキュリティ、ファイアウォール、エンドポイント・セキュリティなどのセキュリティ対策ソリューションを導入し、多層的に防御することでスピアフィッシング攻撃を防ぐことが可能です。

まとめ

スピアフィッシング攻撃は従来のフィッシング攻撃とは異なり、標的を定めて攻撃を行うため、攻撃範囲が狭く精度が高いという特徴を持つ攻撃です。主にメールを使って攻撃が行われますが、日本では「標的型攻撃メール」とも呼ばれます。

私たちが日常でやり取りするメールを装って攻撃が行われるため、信憑性が高く騙されやすいという危険性があります。さらに、情報が流出したことにも気づきにくいという特徴も挙げられます。

スピアフィッシング攻撃の対策方法としては、私たち一人ひとりが不審なメールを開封しない、安易にメールに記載されているURLをクリックしない、といった対策が取れます。しかし、システム的に対策したほうがより安心できるでしょう。メールサーバーでブロックしたり、スピアフィッシング攻撃を防ぐためのセキュリティ対策製品を導入して多層的に防御したりすることが有効です。このようなソリューションは数多く存在しているため、導入を考えられてはいかがでしょうか。


SNSでもご購読できます。