TeamPassword Logo Navbar
プランと価格プロダクトツアーブログセキュリティパスワード生成機お客様の声ヘルプ+1 (979)-256-2462ログイン今すぐ始める

パスワードの安全性を高める

始める
CTA icon
スピアフィッシングの被害を防ぐために知っておくべきこと【2024年版】

スピアフィッシングの被害を防ぐために知っておくべきこと【2024年版】

Haruka Ikoma

December 22, 20231 min read

サイバーセキュリティ

オンライン上で安全を確保することは、サイバー犯罪者から身を守るために欠かせない取り組みです。スピアフィッシングは、なりすましメールをより合法的に見せかける最新の手口のひとつです。このような巧妙な攻撃の被害に遭わないようにするには、適切な教育とツールが必要です。

TeamPasswordを使えば、サイバー犯罪者からアカウントを簡単に守ることができます。今すぐ14日間の無料トライアルに登録し、実際にお試しください!

[目次]

フィッシングとは

以下は、「フィッシング」の簡単な定義です。

  • フィッシングの定義:フィッシングとは、一見正当なメール、SMS メッセージ、SNS の投稿を利用して、直接、または偽装されたログインページを通じて、機密性の高いログイン情報を共有させるサイバー攻撃の一種である。

スピアフィッシングとは

スピアフィッシングの簡単な定義は以下のとおりです。

  • スピアフィッシングの定義:スピアフィッシングとは、標準的なフィッシング攻撃の標的型バージョンで、メッセージをより合法的で緊急なものに見せるために、個人情報を使って特定の個人やグループを標的にするものである。

ブルートフォース攻撃(総当たり攻撃)の多くが個別化されたパスワードリストを使用するのと同じように、スピアフィッシングは標的となった被害者がフィッシング攻撃の被害に遭う可能性を高める方法です。

フィッシングとスピアフィッシングは、どちらも「ソーシャルエンジニアリング」と呼ばれ、攻撃者が被害者に自分以外の誰かであると信じ込ませるものです。ソーシャルエンジニアリング攻撃のよくある例としては、銀行員になりすました人物が誰かに電話をかけ、ユーザー名とパスワードを聞き出そうとするケースが挙げられます。

undefined

フィッシングとスピアフィッシングの違い

スピアフィッシングは、実際にはフィッシングをアップグレードし、よりパーソナライズ化したものに過ぎません。フィッシング攻撃の例としては、東京都内のすべての電話番号に「〇〇銀行からです。不審な動きがあるためすぐにログインして手続きを行なってください。」というテキストメッセージを送り、その銀行のホームページになりすましたリンクを貼って、それにアクセスさせるというような手口が考えられます。

または、小さなベンチャー企業の全従業員に対して、CEOからのメッセージのように見せかけ、その会社が使用していることを知っているソフトウェアのログイン情報を確認するようメッセージを送るような手口も考えられます。

その他のフィッシング系の攻撃

フィッシングには他にもいくつかの種類があり、最も大規模で巧妙な攻撃だと、いくつか組み合わされていることが多いです。ここでは、その他のフィッシング系の攻撃を2つ挙げましょう。

1.ホエーリング攻撃: ホエーリングとは、フィッシング攻撃が、例えば CEO や CFO のような高いポジションの個人を標的にし、最大限の報酬を得ることを目的とする攻撃と定義されます。クジラが大きな「魚」であることから、フィッシングという言葉をもじったものです。

2.ビッシング:ビッシング(ボイスフィッシング)はフィッシング攻撃に似ていますが、騙すためにメールの代わりに電話が使われる点が異なります。フィッシングは、多くの場合、ビッシング攻撃の最初のステップであり、複数の個人の名前と役職が明らかになり、IT の専門家をビッシング電話で騙すために使われます。

スピアフィッシングの手口

スピアフィッシングの詐欺を働く人は、そのメッセージが正当なものであると被害者に思わせるために、様々な手口を使います。ここでは、一般的なスピアフィッシングの手口を見ていきましょう。

  • セキュリティアラート:スピアフィッシングを企む人は、「アカウントに不審な動きがあります」というSMS メッセージを送信する。その際、クレジットカードの番号は、そのカードを発行する銀行によって始まりの番号が決まっていることが多いことから「XXXXから始まるお客様のカードは」と記載することで、より正当なメッセージに見せかけることができる。
  • 顧客からの苦情:最近、オンラインで電力会社や銀行について否定的なレビューを書いた場合、スピアフィッシングを目論む人はサイバー攻撃の一部として使うためにそのデータを拾った可能性があり、それでその企業のカスタマーサービス部門を装って、機密情報を提供させようとする可能性がある。
  • なりすまし:銀行やなどの組織を装う代わりに、特定の人物になりすますスピアフィッシング攻撃もあり、よくある例としては、勤務先の CEO や CFO を装ったり、孫を装ったりするものが挙げられる。

スピアフィッシングの例

ニュースでは、有名企業がスピアフィッシングやビッシング攻撃の犠牲になっていることが数多く見られます。そこで、過去10年で起きた大きな出来事をいくつか見てみましょう。

約10年前、RSA の Secure ID 製品がスピアフィッシング攻撃で危険にさらされ、この攻撃では、コードが埋め込まれた Excel ファイルが社内のメールで回覧されました。シマンテックによると、2023年においても、Office のファイルがフィッシング攻撃に利用されるケースが増えているとのことです。

2015年、Ubiquiti 社はスピアフィッシング攻撃で4670万ドルを失い、億万長者の CEO であるロバート・ペラ氏がこのホエーリング攻撃のターゲットにされました。このケースでは、外部の組織によるなりすましによって、サイバー犯罪者は会社の手元資金の約10%を盗むことに成功し、その消えた資金は、FBI が攻撃の可能性を知らせるまで気づかれませんでした。

2023年9月11日、MGM をはじめとする複数のカジノがランサムウェア攻撃によってオフラインになりました。ハッカーは、フィッシングと SNS によって、従業員になりすますのに十分な情報を集めることができ、IT部門にパスワードアカウントをリセットさせてコンピューターシステムに侵入させるためにビッシングという手口が使われました。

同じくラスベガスのカジノである Caesars も、この広範囲に及ぶ攻撃の被害者の一つですが、MGM とは違い、彼らは ransomware-as-a-service(サービスとしてのランサムウェア)のハッカーに「数百万ドル」を支払うことを決めました。対する MGM は、10日間営業ができずに何百万ドルという収益を逃しました。

スピアフィッシング攻撃に脅かされているのは企業だけではなく、政府のインフラも脅かされており、特に学校は格好のターゲットになっています。学校は技術的な負債を抱えている傾向があるため、標的にされやすいだけでなく、技術職の職員に比べたら、さまざまなサイバー脅威に関する訓練を受けていないことが多いのです。

undefined

スピアフィッシングの統計

スパムは送信される全メールの約48%を占め、1日あたり34億通にのぼります。そのうちの5分の1以上がロシアからのもので、そのほとんどがフィッシングを念頭に置いて送られています。これは、潜在的に脅威となりうるメールを検知する訓練をスタッフにしていなければ、彼らがそのようなメールを開いてしまうのは時間の問題です。

また、ソーシャルエンジニアリングによる攻撃は、半数はメールが含まれ、全攻撃の約4分の3にはソーシャルエンジニアリングが関与しています。そして2022年全体では、米国企業を標的とした攻撃の約4分の1がランサムウェアでした。

シマンテック社によると、サイバー攻撃全体の65%がフィッシングに関与しているとのことです。さらに、暗号の台頭によって、ランサムウェア攻撃の回避、防止、起訴が難しくなっています。

多くの場合、唯一の手段は支払いであり、IBM によると、データ侵害の平均コストは約500万ドルとのことです。

フィッシングやスピアフィッシングは、従来だとメールで最近では SMS で行われますが、SNS も詐欺の主要な原因となっており、特に Linkedin がその典型です。個人が勤務先、役職、所在地などの情報を公開することで、スピアフィッシングや訪問者がスタッフに簡単になりすますことができてしまうのです。

スピアフィッシング攻撃を防ぐ方法

実際、企業は毎日のようにスピアフィッシングのメールを受信しています。そのため、まずは教育することでフィッシングの被害を防がなければなりません。メールを開封するときは、必ず送信者のアドレスを確認しましょう。

例えば、Bank of America の公式のメールアドレスの末尾は「@bofa.com」であり、「@bankzofamerica.something.in」ではありません。次に、リンクをクリックする前に、マウスでリンクの上にカーソルを置くと、リンク先を確認することができます。それが本物のアドレスと一致していない場合は、おそらくなりすましのログインページです。

もしそのメールが正当なものだと思うのであれば、さらに取るべき手段があります。例えば、アカウントが危険にさらされていることを警告するメールであれば、メールに記載されている Web サイトをクリックするのではなく、メールに記載されている URL を入力し、アカウントに移動します。

例えば、もしそれが同僚からの緊急で予期せぬメールであるようなら、確認のために社内メールを送りましょう。電話するつもりであれば、メールに書かれた番号を使うのではなく、人事ソフトを開いて相手の電話番号を入手しましょう。

TeamPassword を使ってスピアフィッシング攻撃を防ごう

TeamPassword は、スピアフィッシング攻撃の脅威から皆さんを保護します。アカウントごとにユニークでランダム、かつ強力なパスワードを作成し、安全に保存することで、情報を盗もうとする者が立ち入ることができなくなります。それによって、サイバー犯罪者は個人情報を入手できにくくなり、フィッシングの効き目が薄れます。

さらに、TeamPassword では同僚との認証情報の共有ができるため、ユーザー名やパスワードを探している人はおそらくスパムであり、無視しても問題ないでしょう。

TeamPassword はスピアフィッシングから大切なアカウントを守ります。本当かどうか確かめてみたい方は、こちらから14日間の無料トライアルにサインアップして、ぜひご自身でご体験ください!

facebook social icon
twitter social icon
linkedin social icon
パスワードの安全性を高める

パスワードを生成し、正しく管理させるための最適なソフトウェア

TeamPassword Screenshot
おすすめの記事
ゼロデイ攻撃とは?攻撃の手口や対策について徹底解説

サイバーセキュリティ

April 26, 20241 min read

ゼロデイ攻撃とは?攻撃の手口や対策について徹底解説

現代社会ではデジタル化が進み、インターネットやデジタル端末が欠かせなくなりました。オンラインで何でもできるようになり、便利な世の中になった反面、サイバー攻撃による被害がますます増えています。今回の記事では、そのサイバー攻撃の一種であるゼロデイ攻撃について解説します。

Haruka Ikoma
ビジネスメール詐欺(BEC)とは?手口や過去の事例、対策について解説

サイバーセキュリティ

April 19, 20241 min read

ビジネスメール詐欺(BEC)とは?手口や過去の事例、対策について解説

ビジネスメール詐欺(BEC)は、現代のビジネス環境において深刻な脅威であり、ますます被害が拡大しているサイバー攻撃の一種です。そこで本記事では、ビジネスメール詐欺について、手口や過去の事例から対策まで見ていきます。

Haruka Ikoma
【最新版】スミッシングの手口と対策|TeamPassword

サイバーセキュリティ

April 10, 20241 min read

【最新版】スミッシングの手口と対策|TeamPassword

アメリカでは、毎日約4億通のスパムSMSが送信されており、そのほとんどに、銀行口座や認証情報などの機密情報を盗むために作られた、なりすましホームページへの悪質なリンクが含まれています。本記事では、スミッシングの脅威から自分の身を守るために知っておくべきことを解説します。

Haruka Ikoma

チームのためのパスワードマネージャー

TeamPassword は、チームのIDとパスワードを保存および共有するための、最も速く、最も簡単で、最も安全な方法です。

Team password Logo Footer
プロダクト
プロダクトツアープランと価格パスワード生成機お客様の声
サポート
ブログステータスサポートヘルプ
メディア
LinkedInTwitterFacebookYoutube
リーガル
セキュリティ利用規約プライバシーポリシーConsent Preferences
© 2012-2024 TeamPassword