【注意】スピアフィッシング攻撃による危険性と対策

スポンサーリンク

スピアフィッシング攻撃

フィッシングメールは個人情報といった大切な情報を盗み取っていくための仕掛けですが、フィッシングメールより一層悪質な「スピアフィッシングメール」をご存じでしょうか。スピアフィッシング攻撃といっても良いかもしれません。このスピアフィッシング攻撃はフィッシング攻撃よりもさらに騙されやすい仕組みになっていることから非常に危険な攻撃方法となっています。

スピアフィッシング攻撃とはどういったもの?

フィッシング攻撃の目的は大切な個人情報の盗み取りですが、セプアフィッシングの目的もほぼ同じです。ですが、スピアフィッシング攻撃はこれまでのフィッシング攻撃とはその仕組みが違っています。

スピアフィッシング攻撃のスピアとは「魚突きのためのヤス」のことで、槍を突き刺して魚をとるように標的を定めて攻撃を行うところが通常のフィッシング攻撃と違っています。通常のフィッシング攻撃は無差別攻撃でしたからその点が大きく違っています。

メールを使用したスピアフィッシング攻撃も日本では「標的型攻撃メール」と呼ばれることが多いこともその仕組みを表しています。

スピアフィッシング攻撃の仕組み

スピアフィッシング攻撃の主な方法は通常のフィッシング攻撃と同じく「メール」を利用して行われます。
しかしその内容は相反する様相を呈しています。

  • フィッシングメール:メールの大量配信を行うことで広範囲・無差別に攻撃し罠を仕掛けます。
  • スピアフィッシングメール:企業の社内メールなど配信相手を特定した形で、より騙されやすい形のメールを配信します。

スピアフィッシングの手口とは

”狭い範囲で精度の高い攻撃を仕掛ける”

これがセピアフィッシングメールの特徴といえます。

通常のフィッシング攻撃のように大規模・無差別に攻撃を行うのではなく、ある傾向のあるメールアドレスのリストを利用したり、メールアドレスの持ち主に関する情報を集めたりして信憑性を高めるように仕向け、効果が得られる可能性の高いメールアドレスに宛ててピンポイントで攻撃を仕掛けてくるのがセピアフィッシングメールなのです。

例を挙げれば、

  • ある企業の従業員のメールアドレスリストを入手し社内からの業務連絡を装う
  • 個人で取引のある銀行やカード会社からの連絡を装う

と実際にありそうなメールをお送り付け、攻撃の成功率を上げるように工夫がされています。つまり、非常に見分けにくく騙されやすいということになります。

また、

  • 企業の一般従業員よりも利益のでそうな情報を扱う確率の高い幹部クラスの社員
  • 外部からの情報を大量に扱う部門に関係した従業員
  • システム管理者やIT技術者
  • 企業の財務情報を扱うことが多い会計部門

など、より利益が得られそうな部門が狙われる確率が高いのも特徴です。

スポンサーリンク

スピアフィッシングに騙されないための対策

スピアフィッシング攻撃はメールが利用されることが多く、信頼できそうな送信元の名称や実際にありそうなメール内容で送りつけてくるため通常のフィッシング攻撃に比べると騙される確率が高いと言われています。

では騙されない為の対策はあるのかとと問われた場合、残念ですが「決定的な対策は今のところない」というのが現状です。

理想的にはサーバーでブロックし、そういったメールが個人の受信トレイに届かないようにすることなのですが、なかなかそううまくはいきません。
現実的には、メール利用者が個人レベルで細かく注意してメールアドレスやメールの内容、添付されているファイルやURLに怪しいところがないか、スピアフィッシングメールではないかを確認するのが一番の防御といえるでしょう。

  • 無意識にメールにあるリンクをクリックしない。まず本物のリンクか疑ってかかる。
  • 送信元のドメインも一応確認する
  • 対応したセキュリティ対策ソフトを導入・常に最新版にアップデートする
  • OSも最新版にアップデートしておく

など、自分で対策をしていくしかありません。

スピアフィッシング攻撃の事例

スピアフィッシング攻撃

スピアフィッシング攻撃は対象がピンポイントで特定されているため重要度の高い情報が狙われる確率が高くなります。

事例1 日本年金機構情報流出

2015年に起こった日本年金機構の情報漏洩事件:日本年金機構の年金情報管理システムサーバから個人情報が流出しました。125万人にも及ぶ個人情報が漏洩したとされています。同年5月8日から18日に『厚生年金基金制度の見直しについて(試案)』に関する意見」との件名で大量に送られたコンピューターウイルスメールの添付されていたファイルをを職員が開封したことから年金機構のウイルスに感染、大規模な情報流出が起こった。

『厚生年金基金制度の見直しについて(試案)』だとすると騙されますよね。こういった騙しの手法で被害を広げていくのがスピアフィッシング攻撃メールの特徴なのです。

事例2 電話を使ったスピアフィッシング攻撃(アメリカ)

アメリカでの事例ですが、20207月電話を使ったスピアフィッシング攻撃:Twitterから著名人のアカウントを含む大量のアカウントが流出した。このアカウントを悪用したビットコインの詐欺事件が起き被害総額1000万円を超えている。17才の少年を含む3人が特定され刑事訴追されている。

まとめ

スピアフィッシング攻撃は私たちが日常やりとりするメールを利用し攻撃してくるため、メールそのものの信憑性も高く見えるため騙されやすいという危険性がある上、騙されたことにすら気づきにくく情報流出が表沙汰になった段階で初めて疑いを持つという厄介な特徴を持っています。
スピアフィッシング攻撃から身を守る為には個人での注意も効果的ではありますが、

  • メールサーバーでブロックしたり
  • セキュリティソフトを導入する

などシステムでの対応も行う事でより防御できるでしょう。
システム管理者の技量が問われているのでしょうか?

タイトルとURLをコピーしました