スピアフィッシングとは？種類と実例

スピアフィッシングとは、偽装メールを通じて機密情報を盗む標的型攻撃です。本ガイドでは、スピアフィッシングの手口、戦術、個人や組織が直面するリスクについて解説します。

効果的な検知・防止策について学びましょう。スピアフィッシングを理解することは、個人および組織のデータを保護するために極めて重要です。

本記事では、スピアフィッシングを詳細に検証します：これらの攻撃が一般的にどのように機能するか、それらを識別する方法、スピアフィッシングと他のフィッシング攻撃との違い、そして組織がそれらから身を守る方法について。

スピアフィッシングとは？

スピアフィッシングとは、ソーシャルエンジニアリング攻撃であり、通常は悪意のあるメールを介して特定の個人や組織を標的とします。攻撃者は標的を綿密に調査し、メールが信頼できる送信者から送られたように見せかけます。

スピアフィッシングメールは通常、受信者に悪意のあるリンクや添付ファイルを開かせるよう仕向ける様々なソーシャルエンジニアリング技術を用いて受信者に悪意のあるリンクや添付ファイルを開かせる。標的がこれに応じると、攻撃者は初期目標を達成できる。

フィッシング攻撃と同様に、スピアフィッシング攻撃の主な目的は通常以下の通り：

• 個人情報の搾取: ログイン認証情報、銀行口座情報、クレジットカード番号など、受信者から個人情報を引き出そうとするスピアフィッシングメールが存在します。
• マルウェアのインストール:他のスピアフィッシングメールは、受信者が自身のデバイスにダウンロードすることを期待してマルウェアを配信します。

広範囲に網を張るフィッシング詐欺とは異なり、スピアフィッシングはより洗練され組織的な攻撃です。これらの攻撃は、組織に侵入するために、よく知られた個人情報を活用したカスタマイズされた罠を用いることが多くあります。

スピアフィッシング攻撃の事例

スピアフィッシングは、ソーシャルエンジニアリング技術を用いて被害者に機密情報を開示させたり、システムへのアクセスを可能にする行動を取らせたりするため、特に効果的なサイバー攻撃の一種です。

標的型フィッシング攻撃の一例として、ウクライナ政府機関やNGOを標的とした2021年の攻撃です。ロシア政府関連サイバー諜報グループ「Gamaredon」は信頼できる連絡先を装い、マルウェアを仕込んだマクロ添付ファイルを含むスピアフィッシングメールを送信しました。メールには開封状況を追跡する「ウェブバグ」も含まれていました。この標的型フィッシング攻撃の最終目的は依然不明だが、使用されたマルウェアファミリーは侵害されたホストからのデータ窃取に頻繁に利用される。

スピアフィッシング攻撃の別の事例として、2020年にプエルトリコ政府機関を標的とした攻撃がある。脅威アクターは従業員退職年金制度の職員のコンピューターをハッキングし、銀行口座の変更を装ったメールを複数の政府機関に送信した。プエルトリコ産業開発公社の職員は、正当な銀行口座だと信じて260万ドルを海外口座に送金しました。

スピアフィッシングの手口とは？

攻撃者は攻撃成功率を高めるため、偵察技術を用いた調査に依存します。その結果、スピアフィッシングメールは発見が難しい場合が多い。

スピアフィッシングの攻撃者は、Facebook や LinkedIn などのソーシャルメディアサイトを頻繁に利用し、標的に関する個人情報を収集する場合がある。脅威アクターの中には、標的の個人的・職業的な人脈ネットワークをマッピングし、より信頼性の高いメッセージを作成するための追加情報を得る者もいます。高度な攻撃者は機械学習（ML）アルゴリズムを用いて大量のデータをスキャンし、潜在的に利益をもたらす標的を特定することさえあります。

標的に関する十分な個人情報を入手すると、スピアフィッシング攻撃者は一見正当なメールを作成し、標的の注意を引きつけます。パーソナライズされていることに加え、スピアフィッシングメールはしばしば緊急性を帯びた口調を用います。この危険な組み合わせにより、受信者は警戒心を緩めてしまう可能性があります。

スピアフィッシング攻撃でよく見られる典型的な手順は以下の通りです：

1. 情報収集（餌）

オンライン上で個人情報を入手するのは、ほとんど労力を必要としません。ソーシャルメディアの普及は、近年における標的型フィッシング攻撃の成功に大きく寄与しています。

例えば、LinkedInのプロフィールには勤務先や同僚のリストが含まれている場合があります。たとえLinkedInプロフィールにメールアドレスが公開されていなくても、脅威アクターがその情報を入手しやすくする可能性があります。

他の脅威アクターは、主要な検索エンジンやリードジェネレーションプラットフォームからスクリプトを用いてメールアドレスを収集し、従業員が業務で使用するメールアドレスを特定する場合もある。場合によっては、[email protected].< といった標準的な業務用メールアドレスの規則に基づいて、単純にメールアドレスを推測しようとする脅威アクターもいる。標的のメールアドレスに加え、脅威アクターは標的組織の調査も行い、使用している可能性のあるソフトウェアを特定しようと試みます。

2. リクエスト（フック）

攻撃者は標的に必要な情報を入手すると、それを餌として目的の行動（悪意のあるリンクのクリックや悪意のあるファイルのダウンロードなど）を実行させることができます。

標的の受信箱にスピアフィッシングメールが届くには、まずアンチウイルスソフトを突破する必要があります。標的組織を簡単に調査すれば、雇用主が使用するアンチウイルスソフトとそのバージョンに関する十分な情報を得られます。この情報を手に入れれば、脅威アクターはサイバーセキュリティ防御を迂回できます。一般的な要求手法の一つに、偽の請求書を使用する方法がある。このシナリオでは、脅威アクターが「信頼できる」送信元を装い、請求書に問題があるとするメールを送信する。デジタルフォームへのリンクを提供し、ターゲットに正しい情報を追加するよう求める場合がある。

このデジタル請求書は正規のものではありませんが、標的が通常財務情報を入力する際に使用するものと全く同じに見える可能性があります。脅威アクターが請求書の支払い情報を入手すると、それを利用して資金を窃取したり、その情報をダークウェブで情報を売買する可能性があります。

3. 攻撃（捕獲）&

攻撃者は、餌と釣り針の両方が成功した時点で攻撃を開始する態勢を整えています。受信者が機密情報（例：ログイン認証情報や支払い情報）を提供した場合、攻撃者はこれを利用してネットワークやシステムへのアクセス、権限昇格、追加データの窃取や侵害、さらにはダークウェブ上での機密情報の販売を行う可能性があります。

受信者がマルウェアをインストールした場合、攻撃者はそれを利用してキーストロークをキャプチャしたり、ファイルへのアクセスをブロックしたり、データを窃取して身代金要求のために保持したりする可能性があります。

スピアフィッシング vs. フィッシング vs. ホーリング

スピアフィッシング、フィッシング、ホーリングは成功のために類似したソーシャルエンジニアリング技術に依存していますが、各攻撃タイプにはいくつかの本質的な違いがあります。

フィッシング攻撃

スピアフィッシングと同様に、フィッシング攻撃は標的にユーザー名やパスワード、銀行口座情報、クレジットカード番号、社会保障番号などの機密情報を漏洩させることを目的としています。これらの攻撃は質よりも量を重視する傾向があり、他のソーシャルエンジニアリング攻撃に比べて参入障壁が低いのが一般的です。

ただし、フィッシングメールのメッセージ内容は非常に汎用的な場合が多い。脅威アクターは、たとえ1人でも被害者が出る確率を高めるため、無作為に選ばれた多数の個人や組織にフィッシングメールを送信することが多い。

スピアフィッシングほど収益性が高くない可能性があるものの、あらゆる種類のフィッシング攻撃は被害者にとって極めて高額な損害をもたらす可能性がある。その他のフィッシング手法には、SMSフィッシング（スミッシング）、音声フィッシング（ヴィッシング）、クローンフィッシング、ドメイン偽装、URLフィッシング、ウォーターホール攻撃、イービルツイン攻撃などがある。

ホエール攻撃（Whaling）

ホエール攻撃はスピアフィッシングよりもさらに標的を絞った攻撃である。企業における重要人物——別名 企業の「大物」です。ホエール攻撃は、経営幹部、取締役、さらには有名人など、より機密性の高いデータにアクセスできる個人を標的とします。

ホエール攻撃は高価値の被害者を標的とするため、しばしば高価値の結果をもたらします。この種の攻撃は、中間業者を効果的に排除します。なぜなら、ホエール攻撃の標的となる人物は、直接送金を行う権限を持っていることが多いからです。これにより、攻撃者が目的を達成するために取る可能性のある余分な手順が排除され、発見される可能性が低くなります。

ホエール攻撃は、個々の標的にとってより重大な結果をもたらすこともあります。多くの場合、攻撃者に「捕獲」された「クジラ」は、不注意を理由に解雇されたり、辞職を余儀なくされたりします。

スピアフィッシングの種類と事例

スピアフィッシングの具体例を詳しく見ることで、脅威アクターが通常上記の手順をどのように実施するかを理解する助けとなるだろう。

偽装リクエスト

脅威の攻撃者は、情報や資金を直接要求するメールを送信する場合があります。これらの要求にはリンクや添付ファイルが含まれることもありますが、この種のメールの目的は、受信者から直接機密情報を引き出すことにあります。

たとえば、マサチューセッツ州フランクリンの町は、脅威の攻撃者が従業員に安全なログイン情報の提供を説得した結果、2020 年に 522,000 ドル の支払いを誤って振り込んでしまいました。

偽のウェブサイト

脅威アクターは、偽装されたウェブサイトへのリンクを含むメールを送信することもあります。偽装サイトは信頼できるサイトのレイアウトを模倣し、標的にアカウント認証情報や財務情報などの機密情報を漏洩させるよう仕向けます。脅威アクターはその情報を悪用し、標的から直接盗む、標的の認証情報で企業ネットワークやシステムにアクセスする、あるいはダークウェブで情報を販売することが可能です。

例えば、PayPalの導入以来、不正メール ユーザーに、誰かが自分のPayPalアカウントで何かを購入したと警告するメールです。これらのメールのリンクをクリックすると、受信者は偽装されたPayPalウェブサイトに誘導され、脅威アクターが入力されたログイン情報を盗む可能性があります。

偽の添付ファイル

マルウェア添付ファイルは、偽の請求書や配送通知の形で届くことが多い。攻撃者は、悪影響を避けるためできるだけ早く開封するよう受信者に促す。受信者が添付ファイルを開くと、マルウェアがターゲットのデバイスに配信され、ネットワークや他のデバイスに拡散する可能性がある。

例えば北朝鮮のラザルスグループは、Crypto.comの公開求人を装ったフィッシング攻撃を継続的に展開し、macOS向けマルウェアを拡散しています。

出典

スピアフィッシング攻撃の見分け方

スピアフィッシング攻撃を防ぐ最善の方法は、リンクをクリックしたり添付ファイルを開いたりする前に、スピアフィッシングメールを見分けることです。スピアフィッシング攻撃の兆候を理解することで、組織とその従業員は攻撃が成功した場合の結果を回避できます。

以下は、スピアフィッシング攻撃を示唆する可能性のある一般的な危険信号です：

送信者

受信メールが正当な送信元からのものか確認してください。送信者がスピアフィッシング攻撃を行っている可能性を示す一般的な兆候には以下が含まれます：

• 認識できないメールアドレスまたは送信者。
• 受信者の組織外にあるメールアドレス。
• 受信者が通常通信しない組織内の送信者からのメールアドレス。
• 不審なドメインからのメールアドレス。

受信者

次に、受信者リストに他に誰が記載されているかを確認します。標的型フィッシングメールの指標には以下が含まれます：

• 認識できないメールアドレスが混在している受信者リスト。
• 不自然な組み合わせの受信者リスト（例：ランダムな受信者グループ、または全員の名字が同じ文字で始まる受信者グループ）。

日付と時刻

送信者がメールを送信した時刻を確認してください。スピアフィッシングメールの兆候には以下が含まれます：

• メールが不自然な日付（例：週末や祝日）に送信されている。
• メールが通常とは異なる時間帯（通常の営業時間外）に送信されている。

件名

メールの件名は、そのメールが偽物かどうかについて受信者に多くの情報を伝えることができます。スピアフィッシングメールには以下が含まれる場合があります：

• 異常に緊急を要する件名。
• メール本文と無関係、または一致しない件名。
• 送信も要求もしていない内容への返信。

ハイパーリンクと添付ファイル

メール内のリンクをクリックしたり添付ファイルをダウンロードする前に、スピアフィッシングの一般的な兆候を確認してください。これには以下が含まれます：

• マウスを乗せた際に表示されるリンク先アドレスが実際のサイトと異なるハイパーリンク。
• 説明のない長いハイパーリンク。
• 一見して明らかでない誤字を含むハイパーリンク。

• メール本文の内容と整合しない、予期しないメール添付ファイル。
• 危険な可能性のあるファイル形式の添付ファイル。
• 追加の説明がない添付ファイル。

内容

他の項目に問題がなければ、メール本文を注意深く確認してください。スピアフィッシングメールは巧妙に作成されていることが多く、個人向けにカスタマイズされているため、内容だけで見分けるのは困難です。

ただし、メール本文を読む際には、以下のスピアフィッシングメールの特徴に注意してください：

• メールに異常な緊急性が感じられる。
• メールが機密情報を要求している。
• メールは、受信者にリンクをクリックしたり添付ファイルを開いたりするよう求め、それによって何か価値のあるものを得たり、悪い結果を回避したりできると主張している。
• メールにスペルミスや文法上の誤りがある。
• メールに不審なリンクや添付ファイルが含まれている。
• メールが受信者をパニックに陥れようとしている。

スピアフィッシング攻撃への防御方法

組織がサイバーセキュリティ防御を強化するために活用できるスピアフィッシング対策のポイントを紹介します。

スピアフィッシングの兆候を認識する

フィッシング攻撃を防ぐ最善の方法は、リンクをクリックしたり、添付ファイルをダウンロードしたり、その他の要求された行動を取る前に、フィッシングメールを識別することです。

受信者が「このメールは偽物か詐欺だ」と直感的に感じた場合、その直感はおそらく正しいでしょう。まず送信者の正当性を確認してください。次に、メール内の主張を直接情報源に照合して検証します。さらにメールの内容を精査し、上記セクションで挙げたスピアフィッシングの手口に該当する兆候を探します。さらに調査してもメールが偽物と思われる場合は、適切なチームメンバーに報告してください。

セキュリティ意識向上トレーニングの提供

すべてのメールを注意深く確認し、スピアフィッシングの手口を見抜く習慣を身につけるには、時間と労力がかかります。従業員にセキュリティ意識向上トレーニングを提供することで、フィッシングメールを定期的に見分け、回避し、報告するために必要なスキルを身につけさせることができます。

在宅勤務者が増加する中、こうしたプログラムは不可欠です。しかし、最も訓練されセキュリティ意識の高い従業員でさえ、急いでいる時やメールが説得力のある内容であれば、フィッシングメールに騙される可能性があります。フィッシングシミュレーションは、従業員がセキュリティ意識向上トレーニングで学んだことを実践する機会となります。この演習は、組織が従業員のフィッシング攻撃への理解度を測定し、トレーニングコースを改善するのにも役立ちます。

定期的な調査の実施

積極的な調査により、攻撃者がよく使用する内容（例：パスワード変更をほのめかす件名）を含む不審なメールを組織が特定できる可能性があります。企業は定期的にパッチ適用を行い、リモートサービス、VPN、多要素認証ソリューションを統合できます。

組織はまた、受信メールメッセージのプロパティ（添付ファイル詳細プロパティを含む）をスキャンし、マルウェア関連の添付ファイルタイプを検出し、追加のマルウェア指標を分析するために自動的に送信することもできます。

セキュリティツールの導入による対策

幸いにも、標的型フィッシングメールがターゲットの受信箱に到達するのを未然に防ぐツールが存在します。メールプロバイダーがプラットフォームにこれらのツールを組み込んでいる場合もありますが、セキュリティギャップを解消する追加対策なしでは、一部のフィッシングメールが従業員に届く可能性は依然として高いです。

例えば、拡張検知・対応（XDR）プラットフォームは、ネットワークの各層を積極的に監視し、マルウェアが被害をもたらす前に検知します。

SentinelOneで標的型フィッシング攻撃を防止

SentinelOneのSingularity XDRプラットフォームは、組織がセキュリティインシデント（スピアフィッシング攻撃を含む）を可視化し、保護し、解決するのを支援します。

Singularity XDRにより、組織はセキュリティの死角を排除し、セキュリティチームが分散したセキュリティソリューションから収集されたデータを、すべてのプラットフォームから単一のダッシュボードで確認できるようになります。&

SentinelOneの行動分析エンジンは、環境を横断した全てのシステム活動を追跡し、悪意のある行動を示す手法や戦術を検知。関連する活動を自動的に相関分析し、統合アラートとして通知します。

拡張脅威検知、調査、対応、ハンティングのための単一統合プラットフォームであるSingularity XDRは以下を提供します：

• 複数のソースからデータを収集・標準化し、優先順位付けされたアラートの単一ソースを提供
• セキュリティ層を横断する攻撃の進行状況を迅速に把握できる統合ビューを提供します。
• 脅威への迅速な対応と積極的なハンティングを可能にする単一プラットフォームを提供します。

SentinelOneが業界をリードする組織をスピアフィッシング攻撃からどのように保護しているかをご覧ください。本日デモに申し込む。