スピアフィッシングの被害を防ぐために知っておくべきこと【2024年版】

オンライン上で安全を確保することは、サイバー犯罪者から身を守るために欠かせない取り組みです。スピアフィッシングは、なりすましメールをより合法的に見せかける最新の手口のひとつです。このような巧妙な攻撃の被害に遭わないようにするには、適切な教育とツールが必要です。

TeamPasswordを使えば、サイバー犯罪者からアカウントを簡単に守ることができます。今すぐ14日間の無料トライアルに登録し、実際にお試しください！

［目次］

• フィッシングとは
• スピアフィッシングとは
• フィッシングとスピアフィッシングの違い
• その他のフィッシング系の攻撃
• スピアフィッシングの手口
• スピアフィッシングの例
• スピアフィッシングの統計
• スピアフィッシング攻撃を防ぐ方法

フィッシングとは

以下は、「フィッシング」の簡単な定義です。

• フィッシングの定義：フィッシングとは、一見正当なメール、SMS メッセージ、SNS の投稿を利用して、直接、または偽装されたログインページを通じて、機密性の高いログイン情報を共有させるサイバー攻撃の一種である。

スピアフィッシングとは

スピアフィッシングの簡単な定義は以下のとおりです。

• スピアフィッシングの定義：スピアフィッシングとは、標準的なフィッシング攻撃の標的型バージョンで、メッセージをより合法的で緊急なものに見せるために、個人情報を使って特定の個人やグループを標的にするものである。

ブルートフォース攻撃（総当たり攻撃）の多くが個別化されたパスワードリストを使用するのと同じように、スピアフィッシングは標的となった被害者がフィッシング攻撃の被害に遭う可能性を高める方法です。

フィッシングとスピアフィッシングは、どちらも「ソーシャルエンジニアリング」と呼ばれ、攻撃者が被害者に自分以外の誰かであると信じ込ませるものです。ソーシャルエンジニアリング攻撃のよくある例としては、銀行員になりすました人物が誰かに電話をかけ、ユーザー名とパスワードを聞き出そうとするケースが挙げられます。

フィッシングとスピアフィッシングの違い

スピアフィッシングは、実際にはフィッシングをアップグレードし、よりパーソナライズ化したものに過ぎません。フィッシング攻撃の例としては、東京都内のすべての電話番号に「〇〇銀行からです。不審な動きがあるためすぐにログインして手続きを行なってください。」というテキストメッセージを送り、その銀行のホームページになりすましたリンクを貼って、それにアクセスさせるというような手口が考えられます。

または、小さなベンチャー企業の全従業員に対して、CEOからのメッセージのように見せかけ、その会社が使用していることを知っているソフトウェアのログイン情報を確認するようメッセージを送るような手口も考えられます。

その他のフィッシング系の攻撃

フィッシングには他にもいくつかの種類があり、最も大規模で巧妙な攻撃だと、いくつか組み合わされていることが多いです。ここでは、その他のフィッシング系の攻撃を２つ挙げましょう。

１．ホエーリング攻撃： ホエーリングとは、フィッシング攻撃が、例えば CEO や CFO のような高いポジションの個人を標的にし、最大限の報酬を得ることを目的とする攻撃と定義されます。クジラが大きな「魚」であることから、フィッシングという言葉をもじったものです。

２．ビッシング：ビッシング（ボイスフィッシング）はフィッシング攻撃に似ていますが、騙すためにメールの代わりに電話が使われる点が異なります。フィッシングは、多くの場合、ビッシング攻撃の最初のステップであり、複数の個人の名前と役職が明らかになり、IT の専門家をビッシング電話で騙すために使われます。

スピアフィッシングの手口

スピアフィッシングの詐欺を働く人は、そのメッセージが正当なものであると被害者に思わせるために、様々な手口を使います。ここでは、一般的なスピアフィッシングの手口を見ていきましょう。

• セキュリティアラート：スピアフィッシングを企む人は、「アカウントに不審な動きがあります」というSMS メッセージを送信する。その際、クレジットカードの番号は、そのカードを発行する銀行によって始まりの番号が決まっていることが多いことから「XXXXから始まるお客様のカードは」と記載することで、より正当なメッセージに見せかけることができる。
• 顧客からの苦情：最近、オンラインで電力会社や銀行について否定的なレビューを書いた場合、スピアフィッシングを目論む人はサイバー攻撃の一部として使うためにそのデータを拾った可能性があり、それでその企業のカスタマーサービス部門を装って、機密情報を提供させようとする可能性がある。
• なりすまし：銀行やなどの組織を装う代わりに、特定の人物になりすますスピアフィッシング攻撃もあり、よくある例としては、勤務先の CEO や CFO を装ったり、孫を装ったりするものが挙げられる。

スピアフィッシングの例

ニュースでは、有名企業がスピアフィッシングやビッシング攻撃の犠牲になっていることが数多く見られます。そこで、過去１０年で起きた大きな出来事をいくつか見てみましょう。

約１０年前、RSA の Secure ID 製品がスピアフィッシング攻撃で危険にさらされ、この攻撃では、コードが埋め込まれた Excel ファイルが社内のメールで回覧されました。シマンテックによると、２０２３年においても、Office のファイルがフィッシング攻撃に利用されるケースが増えているとのことです。

２０１５年、Ubiquiti 社はスピアフィッシング攻撃で４６７０万ドルを失い、億万長者の CEO であるロバート・ペラ氏がこのホエーリング攻撃のターゲットにされました。このケースでは、外部の組織によるなりすましによって、サイバー犯罪者は会社の手元資金の約１０％を盗むことに成功し、その消えた資金は、FBI が攻撃の可能性を知らせるまで気づかれませんでした。

２０２３年９月１１日、MGM をはじめとする複数のカジノがランサムウェア攻撃によってオフラインになりました。ハッカーは、フィッシングと SNS によって、従業員になりすますのに十分な情報を集めることができ、IT部門にパスワードアカウントをリセットさせてコンピューターシステムに侵入させるためにビッシングという手口が使われました。

同じくラスベガスのカジノである Caesars も、この広範囲に及ぶ攻撃の被害者の一つですが、MGM とは違い、彼らは ransomware-as-a-service（サービスとしてのランサムウェア）のハッカーに「数百万ドル」を支払うことを決めました。対する MGM は、１０日間営業ができずに何百万ドルという収益を逃しました。

スピアフィッシング攻撃に脅かされているのは企業だけではなく、政府のインフラも脅かされており、特に学校は格好のターゲットになっています。学校は技術的な負債を抱えている傾向があるため、標的にされやすいだけでなく、技術職の職員に比べたら、さまざまなサイバー脅威に関する訓練を受けていないことが多いのです。

スピアフィッシングの統計

スパムは送信される全メールの約４８％を占め、１日あたり３４億通にのぼります。そのうちの５分の１以上がロシアからのもので、そのほとんどがフィッシングを念頭に置いて送られています。これは、潜在的に脅威となりうるメールを検知する訓練をスタッフにしていなければ、彼らがそのようなメールを開いてしまうのは時間の問題です。

また、ソーシャルエンジニアリングによる攻撃は、半数はメールが含まれ、全攻撃の約４分の３にはソーシャルエンジニアリングが関与しています。そして２０２２年全体では、米国企業を標的とした攻撃の約４分の１がランサムウェアでした。

シマンテック社によると、サイバー攻撃全体の６５％がフィッシングに関与しているとのことです。さらに、暗号の台頭によって、ランサムウェア攻撃の回避、防止、起訴が難しくなっています。

多くの場合、唯一の手段は支払いであり、IBM によると、データ侵害の平均コストは約５００万ドルとのことです。

フィッシングやスピアフィッシングは、従来だとメールで最近では SMS で行われますが、SNS も詐欺の主要な原因となっており、特に Linkedin がその典型です。個人が勤務先、役職、所在地などの情報を公開することで、スピアフィッシングや訪問者がスタッフに簡単になりすますことができてしまうのです。

スピアフィッシング攻撃を防ぐ方法

実際、企業は毎日のようにスピアフィッシングのメールを受信しています。そのため、まずは教育することでフィッシングの被害を防がなければなりません。メールを開封するときは、必ず送信者のアドレスを確認しましょう。

例えば、Bank of America の公式のメールアドレスの末尾は「@bofa.com」であり、「@bankzofamerica.something.in」ではありません。次に、リンクをクリックする前に、マウスでリンクの上にカーソルを置くと、リンク先を確認することができます。それが本物のアドレスと一致していない場合は、おそらくなりすましのログインページです。

もしそのメールが正当なものだと思うのであれば、さらに取るべき手段があります。例えば、アカウントが危険にさらされていることを警告するメールであれば、メールに記載されている Web サイトをクリックするのではなく、メールに記載されている URL を入力し、アカウントに移動します。

例えば、もしそれが同僚からの緊急で予期せぬメールであるようなら、確認のために社内メールを送りましょう。電話するつもりであれば、メールに書かれた番号を使うのではなく、人事ソフトを開いて相手の電話番号を入手しましょう。

TeamPassword を使ってスピアフィッシング攻撃を防ごう

TeamPassword は、スピアフィッシング攻撃の脅威から皆さんを保護します。アカウントごとにユニークでランダム、かつ強力なパスワードを作成し、安全に保存することで、情報を盗もうとする者が立ち入ることができなくなります。それによって、サイバー犯罪者は個人情報を入手できにくくなり、フィッシングの効き目が薄れます。

さらに、TeamPassword では同僚との認証情報の共有ができるため、ユーザー名やパスワードを探している人はおそらくスパムであり、無視しても問題ないでしょう。

TeamPassword はスピアフィッシングから大切なアカウントを守ります。本当かどうか確かめてみたい方は、こちらから１４日間の無料トライアルにサインアップして、ぜひご自身でご体験ください！