スピアフィッシングはなぜ危険なのか?
フィッシングメールは個人情報といった大切な情報を盗み取っていくための仕掛けですが、フィッシングメールより一層悪質な「スピアフィッシングメール」をご存じでしょうか。スピアフィッシング攻撃といっても良いかもしれません。
このスピアフィッシング攻撃はフィッシング攻撃よりもさらに騙されやすい仕組みになっていることから非常に危険な攻撃方法となっています。
スピアフィッシング攻撃を防ぐためにはユーザー一人一人が常に攻撃対象になる可能性を意識し、防御知識を持つことが非常に重要となります。
スピアフィッシング攻撃の概要や仕組みを理解して、通常のフィッシング攻撃路の違いや対策・防御方法を考えてみましょう。
スピアフィッシング攻撃とはどういったもの?
フィッシング攻撃の目的は大切な個人情報の盗み取りですが、セピアフィッシングの目的もほぼ同じです。ですが、スピアフィッシング攻撃はこれまでのフィッシング攻撃とはその仕組みが違っています。
スピアフィッシング攻撃のスピアとは「魚突きのためのヤス」のことで、槍を突き刺して魚をとるように標的を定めて攻撃を行うところが通常のフィッシング攻撃と違っています。
通常のフィッシング攻撃は無差別攻撃でしたからその点が大きく違っています。
メールを使用したスピアフィッシング攻撃も日本では「標的型攻撃メール」と呼ばれることが多いこともその仕組みを表しています。
スピアフィッシング攻撃の仕組み
スピアフィッシング攻撃の主な方法は通常のフィッシング攻撃と同じく「メール」を利用して行われます。
しかしその内容は相反する様相を呈しています。
- フィッシングメール:メールの大量配信を行うことで広範囲・無差別に攻撃し罠を仕掛けます。
- スピアフィッシングメール:企業の社内メールなど配信相手を特定した形で、より騙されやすい形のメールを配信します。
スピアフィッシング攻撃は知り合いや会社の同僚からのメールであるように装い、マルウェアを感染させたり個人情報を盗み取るフィッシングサイトへと誘導したりします。
ユーザーには心当たりがあるであろう自然な装いのメールを送りつけてくることがスピアフィッシング攻撃の最大の特徴です。ユーザーが見て不自然さの感じさせないなりすましメールによって大切な情報を盗み取ろうと攻撃してくるのです。
フィッシング攻撃とスピアフィッシング攻撃の違い
フィッシング攻撃の1種がスピアフィッシング攻撃と呼ばれるものになりますが、両者とも情報を盗もうとする面では同じです。
では両者の違いはどこにあるかといえば
- 攻撃範囲の違い
スピアフィッシング攻撃は事前に収集した情報を元に特定の個人や団体を攻撃目標とするため攻撃範囲が狭いといえます。広範囲にフィッシングメールをばらまくフィッシング攻撃との大きな違いです。 - 攻撃精度の違い
通常のフィッシング攻撃は大量にメールなりをばらまく「下手な鉄砲も数打ちゃ当たる」式に広範囲の攻撃を行うのに対して、スピアフィッシング攻撃は事前に収集した情報に基づいた攻撃目標に狙いを定めているため、相手を狙い撃ちできる攻撃精度が高くなるという特徴があります。
この2つでしょう。
狭く深く正確に、あなたを狙ってくるスピアフィッシング攻撃は恐ろしい存在といえます。
スピアフィッシングの目的
スピアフィッシング攻撃を行う目的ですが、2つ考えられます。
- 直接的な金銭の搾取
- 有益な秘密情報の搾取
さらにはその両方を一度に入手しようとしてきます。
スピアフィッシングの手口
”狭い範囲で精度の高い攻撃を仕掛ける”
これがセピアフィッシングメールの特徴といえます。
通常のフィッシング攻撃のように大規模・無差別に攻撃を行うのではなく、ある傾向のあるメールアドレスのリストを利用したり、メールアドレスの持ち主に関する情報を集めたりして信憑性を高めるように仕向け、効果が得られる可能性の高いメールアドレスに宛ててピンポイントで攻撃を仕掛けてくるのがセピアフィッシングメールなのです。
例を挙げれば、
- ある企業の従業員のメールアドレスリストを入手し社内からの業務連絡を装う
- 個人で取引のある銀行やカード会社からの連絡を装う
と実際にありそうなメールをお送り付け、攻撃の成功率を上げるように工夫がされています。つまり、非常に見分けにくく騙されやすいということになります。
また、
- 企業の一般従業員よりも利益のでそうな情報を扱う確率の高い幹部クラスの社員
- 外部からの情報を大量に扱う部門に関係した従業員
- システム管理者やIT技術者
- 企業の財務情報を扱うことが多い会計部門
など、より利益が得られそうな部門が狙われる確率が高いのも特徴です。
スピアフィッシングの危険性
やっかいな存在であるスピアフィッシング攻撃、そのの危険性はどこにあるのでしょう。
信憑性が高いため騙されやすい
事前収集した情報を元になりすましメールを送ってくるため、受け取ったユーザーが不信感を抱きにくく、容易に騙されてしまうケースが多いといわれています。
スピア・フィッシング・メールは 信憑性が高いため、受信者は騙されやすい。受信者が開いてしまうケースは、スパム・メールが3%に留まるのに対し、スピア・フィッシング・メールの場合は70%に上ります。しかも、スピア・フィッシング・メールを開いた受信者の半数が、受け取ってから1時間以内に本文中のリンクをクリックしています(大量送信されたメールの場合は5%)。10通のメールを送って、うち1通にでも受信者が騙される確率は90%とされています。出展:FireEye
情報流出に気づきにくい
信憑性の高いなりすましメールに騙されることによって情報流出が起こっても、信憑性をユーザーが疑っていないことから情報流出が表沙汰になったところで初めて攻撃されたことに気づくということになるでしょう。
実際に被害が出てから出ないと気づきにくいのがスピアフィッシング攻撃であるといえます。
スピアフィッシングに騙されないための対策
スピアフィッシング攻撃はメールが利用されることが多く、信頼できそうな送信元の名称や実際にありそうなメール内容で送りつけてくるため通常のフィッシング攻撃に比べると騙される確率が高いと言われています。
では騙されない為の対策はあるのかとと問われた場合、残念ですが「決定的な対策は今のところない」というのが現状です。
理想的にはサーバーでブロックし、そういったメールが個人の受信トレイに届かないようにすることなのですが、なかなかそううまくはいきません。
現実的には、メール利用者が個人レベルで細かく注意してメールアドレスやメールの内容、添付されているファイルやURLに怪しいところがないか、スピアフィッシングメールではないかを確認するのが一番の防御といえるでしょう。
- 無意識にメールにあるリンクをクリックしない。まず本物のリンクか疑ってかかる。
- 送信元のドメインも一応確認する
- 対応したセキュリティ対策ソフトを導入・常に最新版にアップデートする
- OSも最新版にアップデートしておく
など、自分で対策をしていくしかありません。
スピアフィッシング攻撃の事例
スピアフィッシング攻撃は対象がピンポイントで特定されているため重要度の高い情報が狙われる確率が高くなります。
事例1 日本年金機構情報流出
2015年に起こった日本年金機構の情報漏洩事件:日本年金機構の年金情報管理システムサーバから個人情報が流出しました。125万人にも及ぶ個人情報が漏洩したとされています。同年5月8日から18日に『厚生年金基金制度の見直しについて(試案)』に関する意見」との件名で大量に送られたコンピューターウイルスメールの添付されていたファイルをを職員が開封したことから年金機構のウイルスに感染、大規模な情報流出が起こった。
『厚生年金基金制度の見直しについて(試案)』だとすると騙されますよね。こういった騙しの手法で被害を広げていくのがスピアフィッシング攻撃メールの特徴なのです。
事例2 電話を使ったスピアフィッシング攻撃(アメリカ)
アメリカでの事例ですが、2020年7月電話を使ったスピアフィッシング攻撃:Twitterから著名人のアカウントを含む大量のアカウントが流出した。このアカウントを悪用したビットコインの詐欺事件が起き被害総額1000万円を超えている。17才の少年を含む3人が特定され刑事訴追されている。
まとめ
スピアフィッシング攻撃は私たちが日常やりとりするメールを利用し攻撃してくるため、メールそのものの信憑性も高く見えるため騙されやすいという危険性がある上、騙されたことにすら気づきにくく情報流出が表沙汰になった段階で初めて疑いを持つという厄介な特徴を持っています。
スピアフィッシング攻撃から身を守る為には個人での注意も効果的ではありますが、
- メールサーバーでブロックしたり
- セキュリティソフトを導入する
などシステムでの対応も行う事でより防御できるでしょう。
システム管理者の技量が問われているのでしょうか?
コメント